La NSA publica directrices de implementación de Zero-Trust

La Agencia de Seguridad Nacional de EE.UU. (NSA) ha publicado un nuevo conjunto de Directrices de Implementación de Confianza Cero (Zero Trust Implementation Guidelines - ZIGs) que detallan cómo las organizaciones pueden progresar hacia la madurez de confianza cero a nivel objetivo.

La guía presenta las Fases Uno y Dos de las ZIG, diseñadas para respaldar el marco de Zero Trust del Departamento de Guerra de EE.UU. (DoW), anteriormente Departamento de Defensa, y la estrategia general de ciberseguridad del gobierno estadounidense.

Las fases recién publicadas tienen como objetivo que las organizaciones avancen desde la etapa de Descubrimiento hasta la implementación a nivel objetivo. Describen las actividades, dependencias y resultados necesarios, a la vez que ofrecen flexibilidad para que las empresas adapten la adopción en función de las necesidades y limitaciones operativas.

La Fase Uno establece una base segura. Define 36 actividades que respaldan 30 capacidades de confianza cero, lo que ayuda a las organizaciones a desarrollar o perfeccionar los controles fundamentales antes de una integración más profunda.

La Fase Dos se basa en este trabajo con 41 actividades que habilitan 34 capacidades adicionales, centrándose en la integración de soluciones esenciales de confianza cero en todos los entornos de componentes.

Transición de la seguridad perimetral a la evaluación continua

La guía refuerza la transición de la seguridad perimetral a la autenticación y autorización continuas de usuarios, dispositivos y aplicaciones. La confianza cero se basa en los principios de "nunca confiar, siempre verificar" y "asumir la brecha", un enfoque que se considera cada vez más necesario a medida que evolucionan las ciberamenazas.

La evaluación continua debe realizarse después del inicio de sesión, no solo al iniciarla. Muchos ataques exitosos ahora ocurren después de la autenticación, donde las comprobaciones básicas de identidad y las evaluaciones de la postura del dispositivo ofrecen una protección limitada sin visibilidad de lo que sucede dentro de las aplicaciones.

Las directrices se basan en varios marcos establecidos desarrollados bajo la Orden Ejecutiva 14028, incluyendo la Publicación Especial 800-207 del NIST, el Modelo de Madurez de Confianza Cero de CISA Versión 2.0 y la Arquitectura de Referencia de Confianza Cero del DoW. La NSA desarrolló las directrices en estrecha colaboración con el CIO del DoW para organizar 152 actividades de Confianza Cero en fases estructuradas.

Sin embargo, muchas organizaciones aún aplican incorrectamente la Confianza Cero al centrarse demasiado solo en los controles de acceso a la red. Tratar el acceso a la red de Confianza Cero como una solución completa pasa por alto cómo las aplicaciones toman y aplican sus propias decisiones de acceso.

La NSA afirmó que la guía actual tiene como objetivo ayudar a los profesionales capacitados a lograr el nivel objetivo de madurez de confianza cero, y que es posible que se desarrollen fases avanzadas adicionales en el futuro.

Fuente: InfoSecurity

Suscríbete a nuestro Boletín