ZTA For Dummies - ES

Estos materiales están protegidos por los derechos de autor de © 2023 John Wiley & Sons, Inc.
Queda estrictamente prohibida toda

difusión, distribución o uso no autorizado.
ZTA
Edición especial de Fortinet
por Lawrence Miller
Estos materiales están protegidos por los derechos de autor de © 2023 John Wiley & Sons, Inc. Queda estrictamente prohibida toda
ZTA for Dummies®, edición especial de Fortinet
Publicado por
John Wiley & Sons, Inc.
111 River St.
Hoboken, NJ 07030-5774
www.wiley.com
Todos los derechos reservados © 2022 por John Wiley & Sons, Inc., Hoboken, Nueva Jersey
Ninguna parte de esta publicación puede ser reproducida, almacenada en un sistema de recuperación
ni transmitida en ninguna forma ni por ningún medio, ya sea electrónico, mecánico, de fotocopiado, de
grabación, de escaneo o de otro tipo, con excepción de lo permitido en las Secciones 107 o 108 de la Ley de
Derechos de Autor de Estados Unidos de 1976, sin el previo permiso por escrito del Editor. Las solicitudes
de permiso al Editor deben enviarse al Departamento de Permisos, John Wiley & Sons, Inc., 111 River Street,
Hoboken, NJ 07030, (201) 748-6011, fax (201) 748-6008, o en línea en http://www.wiley.com/go/permissions.
Marcas comerciales: Wiley, For Dummies, el logotipo de Dummies Man, The Dummies Way, Dummies.com,
Making Everything Easier, y las imágenes relacionadas son marcas comerciales o marcas comerciales registradas
de John Wiley & Sons, Inc., o sus filiales en Estados Unidos y en otros países, y no se pueden usar sin permiso
escrito. Fortinet es una marca registrada de Fortinet, Inc. Todas las demás marcas comerciales pertenecen a sus
respectivos propietarios. John Wiley & Sons, Inc. no está asociado con ningún producto o proveedor mencionado
en este libro.
RESPONSABILIDAD LIMITADA/DESCARGO DE GARANTÍA: AUNQUE EL EDITOR Y LOS AUTORES HAN

PUESTO EL MÁXIMO EMPEÑO EN LA PREPARACIÓN DE ESTA OBRA, NO HACEN NINGUNA DECLARACIÓN
NI OTORGAN GARANTÍA ALGUNA CON RESPECTO A LA EXACTITUD O EXHAUSTIVIDAD DEL CONTENIDO
DE ESTA OBRA Y SE DESLIGAN ESPECÍFICAMENTE DE TODAS LAS GARANTÍAS, INCLUIDAS, ENTRE
OTRAS, LAS GARANTÍAS DE IDONEIDAD PARA UN PROPÓSITO PARTICULAR. NI LOS REPRESENTANTES
DE VENTAS, LOS MATERIALES DE VENTAS ESCRITOS NI LAS DECLARACIONES PROMOCIONALES
PARA ESTA OBRA PUEDEN CREAR NI EXTENDER NINGUNA GARANTÍA. EL HECHO DE QUE EN ESTA
OBRA SE MENCIONE UNA ORGANIZACIÓN, UN SITIO WEB O UN PRODUCTO COMO CITA O FUENTE
POTENCIAL DE INFORMACIÓN ADICIONAL NO SIGNIFICA QUE EL EDITOR O LOS AUTORES PROMUEVAN
LA INFORMACIÓN O LOS SERVICIOS QUE LA ORGANIZACIÓN, EL SITIO WEB O EL PRODUCTO PUEDA
PROVEER O LAS RECOMENDACIONES QUE PUEDA HACER. ESTA OBRA SE VENDE DANDO POR ENTENDIDO
QUE EL EDITOR NO SE INVOLUCRA EN LA PRESTACIÓN DE SERVICIOS PROFESIONALES. LOS CONSEJOS
Y LAS ESTRATEGIAS QUE CONTIENE EL PRESENTE DOCUMENTO PUEDEN NO SER ADECUADOS PARA LA
SITUACIÓN DEL LECTOR. SE DEBE CONSULTAR CON UN ESPECIALISTA SEGÚN CORRESPONDA. ADEMÁS,
LOS LECTORES DEBEN TENER EN CUENTA QUE LOS SITIOS WEB QUE SE MENCIONAN EN ESTA OBRA
PUEDEN HABER CAMBIADO O DESAPARECIDO ENTRE EL MOMENTO EN QUE SE ESCRIBIÓ Y EN EL QUE
SE LEE ESTA OBRA. NI EL EDITOR NI LOS AUTORES SERÁN RESPONSABLES POR NINGUNA PÉRDIDA DE
BENEFICIOS O CUALQUIER OTRO DAÑO COMERCIAL, INCLUIDOS, ENTRE OTROS, DAÑOS ESPECIALES,
INCIDENTALES, CONSECUENTES U OTROS.
Para obtener información general sobre nuestros otros productos y servicios, o sobre cómo crear un libro For
Dummies personalizado para su empresa u organización, póngase en contacto con nuestro Departamento
de Desarrollo Empresarial en Estados Unidos llamando al 877-409-4177, escriba a info@dummies.biz o visite
www.wiley.com/go/custompub. Para obtener información sobre el otorgamiento de licencias de la marca
For Dummies para productos o servicios, póngase en contacto con BrandedRights&Licenses@Wiley.com.
ISBN 978-1-394-21055-8 (pbk); ISBN 978-1-394-21056-5 (ebk)
Agradecimientos del editor
Algunas de las personas que han contribuido a publicar este libro en el mercado
son las siguientes:
Gerente del proyecto: Jen Bingham Director editorial: Rev Mengle
Editora de adquisiciones: Ashley Coffey Especialista de ajuste del contenido:

Mohammed Zafar
Introducción
A
medida que las empresas siguen adoptando la innovación
digital, las aplicaciones en la nube y la nueva normalidad
del trabajo remoto, las redes empresariales se han vuelto
mucho más complicadas y dispersas, con un número cada vez
mayor de fronteras. Como resultado, el perímetro de la red
prácticamente ha desaparecido. A medida que más personas y
dispositivos se conectan a la red desde más lugares, el enfoque
tradicional de la seguridad basado en el perímetro (proteger la red
corporativa de confianza de la Internet no fiable) se ha vuelto cada
vez más ineficaz.
Para proteger esta superficie de ataque tan ampliada frente a las

amenazas modernas, las organizaciones deben implementar un
modelo de confianza cero que implique “nunca confiar; siempre
verificar” que incorpore rigurosos controles de acceso en toda la
red distribuida, de modo que los usuarios, los dispositivos, los
puntos de conexión, las nubes y la infraestructura estén todos
protegidos.
Para implementar correctamente una estrategia de acceso de

confianza cero, las organizaciones deben instalar soluciones de
seguridad estrechamente integradas que ofrezcan una sólida
gestión de identidades y accesos, control de acceso a puntos
de conexión, control de acceso a redes, y control de acceso a
aplicaciones para usuarios y puntos de conexión que trabajen
desde cualquier lugar.
Suposiciones tontas
Se ha dicho que la mayoría de las suposiciones han dejado de
ser útiles, pero este libro da por supuestas algunas cosas.
Principalmente, que usted, lector, es director/a de información
(CIO), director/a de seguridad de la información (CISO),
vicepresidente/a, arquitecto/a, ingeniero/a o administrador/a
que trabaja en un equipo de seguridad, redes o infraestructuras
empresariales. Como tal, este libro está escrito principalmente
para lectores técnicos con al menos un conocimiento básico de las
tecnologías y los retos de seguridad y redes.
Si alguno de estos supuestos lo describe, ¡este libro es ideal para

usted! Si ninguno de estos supuestos lo describe, ¡siga leyendo de
todos modos! Es un gran libro y, cuando termine de leerlo, tendrá
plena confianza en sus conocimientos de confianza cero.
Introducción 1
Íconos utilizados en este libro
A lo largo de este libro, verá iconos especiales que llaman la
atención sobre información importante. Esto es lo que encontrará.
Los casos de estudio ofrecen las mejores prácticas de organizaciones

que han utilizado métodos modernos de intercambio
de datos correctamente.
Este ícono señala información importante que debería guardar en

su memoria no volátil, en su materia gris o en su cabeza, junto
con los cumpleaños y aniversarios.
Este ícono explica la jerga que hay detrás de la jerga, y es la

materia de la que están hechas las leyendas, bueno, los frikis
INFORMACIÓN legendarios.
TÉCNICA
Los consejos se agradecen, pero nunca se esperan. Apreciará estos

útiles recursos de información y consejos útiles.
Estas alertas señalan las cosas sobre las que le advirtió su madre
(bueno, probablemente no, pero ofrecen consejos prácticos para
ayudarle a evitar errores potencialmente costosos o frustrantes).
Más allá de este libro

En este breve libro no hay mucho espacio, así que si al final se
pregunta: “¿Dónde puedo encontrar más información?”, visite
https://fortinet.com.
2 ZTA for Dummies, edición especial de Fortinet
EN ESTE CAPÍTULO
»» Reconocer las amenazas modernas
»» Ir más allá del control de acceso

tradicional
»» Definir conceptos de confianza cero
»» Aprovechar las ventajas

de la confianza cero
Capítulo 1
Comprender la
necesidad del modelo
de confianza cero
E
n este capítulo, aprenderá cómo los actores maliciosos
aprovechan la desaparición del perímetro de la red y la
ampliación de la superficie de ataque para eludir los controles
de acceso tradicionales, y cómo la confianza cero supera estos
retos.
Estudio del panorama

de las amenazas modernas
En las empresas digitales de la actualidad, las aplicaciones y los
datos comerciales están dispersos por todas partes, lejos de los
centros de datos corporativos, de modo que los usuarios ahora
tienen un mayor acceso a los recursos corporativos utilizando
más puntos de conexión desde muchas ubicaciones. El rápido
crecimiento de los dispositivos del Internet de las cosas (IoT,
por sus siglas en inglés) y las iniciativas corporativas de “trae tu
propio dispositivo” (BYOD, por sus siglas en inglés) generaron
un marcado crecimiento en la cantidad de puntos de acceso y
dispositivos de puntos de conexión en la red. Como resultado, el
CAPÍTULO 1 Comprender la necesidad del modelo de confianza cero 3
perímetro tradicional de la red está desapareciendo y la superficie
de ataque se está ampliando. Al mismo tiempo, las ciberamenazas
son cada vez más numerosas, y las técnicas y tácticas de los
atacantes evolucionan y se vuelven más sofisticadas.
IDC prevé que en 2025 habrá 55 700 millones de dispositivos

modificados conectados al IoT en todo el mundo.
Los modelos de seguridad tradicionales parten del supuesto

de que todo lo que está dentro de la red de una organización es
de confianza. Sin embargo, extender automáticamente la confianza
a cualquier dispositivo o usuario pone en peligro a la organización
si alguno de ellos se ve comprometido, sea de forma intencional
o no. Los atacantes, el malware y los dispositivos en peligro que
eluden los puntos de control de seguridad perimetral suelen tener
acceso sin restricciones a la red debido a este modelo de confianza
inherente. Las vulnerabilidades, como el robo de credenciales
y el malware, permiten a los atacantes acceder a cuentas legítimas.
Una vez dentro de la red, pueden desplazarse lateralmente
y aprovechar la red interna de confianza para atacar los recursos
de una organización.
Según el Informe sobre investigaciones de filtraciones de datos

(DBIR, por sus siglas en inglés) de Verizon de 2021, el 70% de las
filtraciones del año anterior fueron causadas por actores externos;
el 45% implicó la actividad de hackers; el 86% tuvo motivaciones
económicas; el 17% involucró algún tipo de malware (incluido
el ransomware) y el 22% implicó suplantación de identidad o
ingeniería social.
A medida que las empresas modernizan sus redes para adaptarse

a los trabajadores remotos, las arquitecturas multinube y la
innovación digital, sus enfoques de seguridad también deben
cambiar.
Reconocer las limitaciones

del control de acceso tradicional
Las estrategias tradicionales de control de acceso confían
intrínsecamente en un usuario o dispositivo de la red. Esta
noción de confianza suele basarse en la ubicación del usuario o
del dispositivo: Si están en la red, son de confianza. Pero a medida
que el perímetro de la red sigue desapareciendo, proteger los
recursos de la red resulta una tarea cada vez más imposible. Los
usuarios ahora acceden a la red corporativa desde sus hogares y
desde sus dispositivos móviles. Los recursos corporativos también
se encuentran cada vez más en ubicaciones múltiples, más allá de
la red tradicional, como nubes privadas y públicas.
Para superar las limitaciones del control de acceso tradicional,
las organizaciones necesitan una solución que ofrezca lo siguiente:
» Verificación continua de usuarios y dispositivos.
» Segmentación granular de la red para crear zonas

de control, lo que ayuda a limitar el impacto de una
vulneración y establecer más puntos de control.
» Acceso con privilegios mínimos para usuarios y

dispositivos, de manera que a los usuarios solo se les
otorgue el acceso que necesitan para desempeñar sus
funciones. Esto ayuda a limitar el impacto de una identidad
o un dispositivo en peligro.
Las redes actuales tienen perímetros extensos, dinámicos y,

en algunos casos, incluso temporales. El hecho de que muchos
dispositivos suelen estar sin conexión hace que la evaluación
continua del riesgo y la confianza sea aún más difícil. Dado que no
hay forma de verificar que los usuarios o los dispositivos dentro
o fuera de la red sean de confianza, se debe asumir que todos los
dispositivos de la red pueden estar infectados.
Conceptos básicos
de la confianza cero
El modelo de confianza cero es un concepto que introdujo John
Kindervag mientras trabajaba en Forrester Research en 2009.
El principio fundamental en el que se basa la confianza cero es
“nunca confiar, siempre verificar”. La confianza cero desafía el
modelo tradicional de seguridad centrado en el perímetro, en el
que un firewall protege la red corporativa de confianza del Internet
no fiable.
Para ser justos, el modelo centrado en el perímetro no es tan simple

como etiquetar las cosas como fiables o no fiables. A lo largo de los
años, el enfoque centrado en el perímetro se ha ido modificando.
Por ejemplo, las zonas desmilitarizadas (DMZ, por sus siglas
en inglés) generalmente se crean para aplicativos y sitios web
públicos que son “algo fiables”, por así decirlo. Las redes privadas
virtuales o VPN se usan para extender (o agujerear, según se mire)
la red corporativa para usuarios remotos y móviles. Y las redes de
área local virtuales o VLAN y los controles de acceso se usan para
segmentar los departamentos sensibles, como recursos humanos
y finanzas, del resto de la red.
Pero el enfoque de la seguridad centrado en el perímetro tiene un
inconveniente inherente: Otorga una confianza implícita excesiva.
Una vez conectado, ya sea de forma directa o mediante una VPN,
se confía en ti junto con el resto de la red interna.
El modelo de confianza cero aleja la seguridad de la confianza

implícita que se basa en la ubicación en la red de un usuario
o dispositivo. En cambio, la confianza se evalúa por transacción.
Con la confianza cero, tu ubicación en la red o tu dirección IP ya
no transmiten una implicación sobre la confianza. En cambio,
el modelo de confianza cero requiere que la confianza se derive
explícitamente de una combinación de controles basados en la
identidad y el contexto a un nivel muy granular que concede acceso
centrado en los principios de seguridad de privilegio mínimo
y necesidad de saber.
La confianza cero comienza con una postura de negación

predeterminada para todos y para todo, es decir, con confianza
cero. En un modelo de confianza cero, cada vez que un usuario
o dispositivo solicita acceso a un recurso, se debe verificar su
identidad antes de concederle el acceso. La verificación se basa no
solo en la identidad del usuario o del dispositivo, sino también en
otros atributos, incluidos el contexto (como la fecha y la hora), la
localización geográfica y la postura de seguridad del dispositivo.
Sin embargo, el acceso no es cuestión de una sola vez. El hecho de

que a un usuario o dispositivo se le haya concedido acceso a un
recurso no significa que pueda desplazarse libremente por la red. El
acceso se concede a un nivel muy granular. Solamente se concede al
recurso que se necesita para realizar una función específica durante
un tiempo limitado; no a toda la red. Un elemento clave del modelo
de confianza cero es que la confianza debe reevaluarse de manera
continua. Si cambian atributos importantes del usuario o del
dispositivo, se puede revocar la confianza y retirar el acceso al
recurso.
El acceso de confianza cero (ZTA, por sus siglas en inglés) se basa

en el modelo de confianza cero, y se centra en conocer y controlar
quién y qué accede a la red. El control de acceso centrado en roles
(RBAC, por sus siglas en inglés) es un componente crítico del
acceso de confianza cero. Solo sabiendo definitivamente quién es
un usuario se puede conceder el nivel de acceso adecuado según su
función. El acceso de confianza cero cubre los puntos de conexión
de un usuario en los que se requiere control de gestión y visibilidad.
Alinearse con el modelo de confianza cero significa implementar
una política de acceso mínimo que conceda al usuario el nivel
mínimo de acceso a la red necesario para su función y elimina
cualquier posibilidad de ver o acceder a otras partes de la red.
Además de saber quién y qué hay en la red, el acceso de confianza
cero incorpora seguridad para lo que hay en la red. El número
cada vez mayor de dispositivos conectados a la red incluye ahora
los dispositivos de IoT. Estos dispositivos “sin cabeza” no tienen
nombres de usuario ni contraseñas para identificarse a sí mismos
y su función en la red. En cambio, las soluciones de control de
acceso a la red (NAC, por sus siglas en inglés) se pueden usar
para descubrir y controlar el acceso de estos dispositivos. Con las
políticas de control de acceso a la red, se puede aplicar el principio
de confianza cero de acceso mínimo a estos dispositivos de IoT,
concediendo suficiente acceso a la red para realizar su función y
nada más.
El acceso a la red de confianza cero (ZTNA, por sus siglas en

inglés) es un elemento del acceso de confianza cero que permite
controlar el acceso a las aplicaciones independientemente de
dónde se encuentre el usuario o el aplicativo. El usuario puede
estar en una red corporativa, trabajando desde su casa o en
cualquier otro lugar. El aplicativo puede alojarse en un centro de
datos corporativo o en una nube privada o pública.
El ZTNA es la evolución natural de la VPN. Dada la complejidad de

las redes de hoy en día, el acceso a la red de confianza cero ofrece
una mayor seguridad, un control más granular y una mejor
experiencia de usuario que una VPN tradicional. Puedes obtener
más información sobre la ZTNA en el Capítulo 5.
Ventajas de la confianza cero

Para lograr una seguridad efectiva en el panorama moderno de las
amenazas, las organizaciones deben pasar de intentar proteger
perímetros de red dinámicos a proteger las aplicaciones y datos
distribuidos en miles de millones de perímetros, usuarios, sistemas,
dispositivos y otros recursos críticos. Una estrategia de confianza
cero proporciona visibilidad y protección integrales en todos los
dispositivos, usuarios, terminales, la nube y la infraestructura con
un enfoque de la seguridad basado en “nunca confiar; siempre
verificar”.
La confianza cero ofrece las siguientes ventajas a las organizaciones:
» Reduce el riesgo: cuando extiende automáticamente

la confianza a cualquier dispositivo o usuario de su red,
pones a tu organización en peligro si alguno de ellos se ve
comprometido, ya sea intencionalmente o no. La confianza
cero elimina los puntos vulnerables al limitar el acceso de
los usuarios a la red, así como al adoptar una verificación
exhaustiva de su identidad para que los usuarios solo
tengan acceso a los datos y sistemas pertinentes para su
función o puesto en la organización.
» Aumenta la visibilidad: sabes en todo momento quién

y qué está conectado a la red.
» Amplía la seguridad: la seguridad se puede extender

más allá de la red con ZTNA. A diferencia de una VPN,
que se enfoca exclusivamente en la capa de red, ZTNA
va más allá y proporciona seguridad a las aplicaciones
independientemente de la red.
EN ESTE CAPÍTULO
»» Confiar a sus usuarios una

autenticación robusta
»» Usar el control de acceso basado

en funciones (RBAC) para imponer
el privilegio mínimo
»» Proteger el acceso privilegiado
Capítulo 2
Establecer la IAM
como base para
la confianza cero
E
l primer paso para proteger sus recursos de red con el acceso
de confianza cero (ZTA, por sus siglas en inglés) es confiar
a sus usuarios la verificación antes de conceder el acceso. En
este capítulo, aprenderá por qué la gestión de acceso e identidad
(IAM, por sus siglas en inglés) es la piedra angular del ZTA, cómo
gestionar el acceso privilegiado en la red y el papel del control
del acceso basado en roles (RBAC, por sus siglas en inglés) en la
aplicación del principio de privilegio mínimo.
Saber quién se conecta a su red

Los equipos de seguridad necesitan saber quién está en la red en
todo momento. Es fundamental que las organizaciones conozcan
a cada usuario y el rol que desempeña en la empresa para que el
departamento de TI pueda conceder acceso de forma segura solo a
los recursos necesarios para cada rol o trabajo cuando sea necesario.
CAPÍTULO 2 Establecer la IAM como base para la confianza cero 9
Sin embargo, las organizaciones corren un mayor riesgo de que
los usuarios se conecten a sus redes con contraseñas débiles. Dado
que hoy en día muchas cuentas en línea requieren credenciales
de usuario, las contraseñas suelen ser demasiado sencillas
o se reutilizan en varias cuentas, lo que facilita a los atacantes
la tarea de comprometerlas mediante vulnerabilidades como
la suplantación de identidad y la ingeniería social. Incluso cuando
las organizaciones exigen contraseñas complejas a sus usuarios,
las contraseñas por sí solas no bastan.
La autenticación sólida, o autenticación multifactor (MFA, por sus

siglas en inglés), se refiere al uso de múltiples factores para verificar
que un usuario es quien dice ser a través de una combinación
de factores, como los siguientes:
» Algo que sepa (por ejemplo, un nombre de usuario

y una contraseña)
» Algo que tenga (por ejemplo, un token de hardware

o software, o un certificado digital instalado en un
dispositivo)
» Algo que usted sea (por ejemplo, un indicador biométrico

como una huella dactilar o un patrón de iris)
La autenticación adaptativa o contextual evalúa atributos

adicionales del usuario durante un intento de inicio de sesión,
como la hora del día, la ubicación geográfica o la red (de confianza
o no) para evaluar el riesgo antes de permitir el acceso. Esta
técnica puede utilizarse para cualquier de estas acciones:
» Permitir el acceso a los usuarios cuando el riesgo

se considere bajo.
» Exigir la autenticación de dos factores (2FA, por sus siglas

en inglés) cuando se considere que el riesgo es alto.
Por ejemplo, utilizando el atributo de red de la autenticación

adaptativa, el sistema no solicitará una 2FA a un usuario in
situ porque está en la red corporativa. Sin embargo, al mismo
usuario que inicie sesión desde una red pública o doméstica e
intente acceder a recursos corporativos se le solicitará la 2FA para
verificar aún más la identidad del usuario.
El estándar Fast Identity Online (FIDO) proporciona las
experiencias de inicio de sesión más seguras y rápidas para
aplicaciones y servicios en línea. FIDO admite el estándar Universal
Authentication Framework (UAF; la autenticación sin contraseña)
INFORMACIÓN
TÉCNICA como Universal 2nd Factor (U2F, es decir, la autenticación universal
de dos factores).
Otro reto al que se enfrentan las organizaciones hoy en día es

la dispersión geográfica de la mano de obra. Los empleados
trabajan desde distintos lugares, como la oficina principal, las
sucursales y las oficinas en sus hogares. Para hacer frente a la
naturaleza cambiante del trabajo (incluido el trabajo desde casa
y desde cualquier lugar tras la pandemia mundial) y al continuo
paso a la nube, las organizaciones necesitan una forma mejor de
conectar de forma segura a sus empleados con las aplicaciones
empresariales esenciales.
Los ataques contra endpoints están aumentando. Según un

informe reciente de Ponemon Sullivan sobre privacidad, el 68 %
de los encuestados afirma que la frecuencia de los ataques contra
los puntos de conexión ha aumentado en los últimos 12 meses,
y el informe de Verizon sobre Investigaciones de filtraciones de
datos reveló que el 30 % de las filtraciones estaban relacionadas
con programas malware instalados en los endpoints.
En la actualidad, no existe prácticamente ninguna estandarización

de las configuraciones de los dispositivos móviles personales
permitidos en entornos del tipo “trae tu propio dispositivo”
(BYOD). Los riesgos de red asociados a los dispositivos móviles
BYOD incluyen los siguientes:
» Fuga de datos
» Wi-Fi no seguro
» Suplantación de red
» Vulnerabilidades sin parches en dispositivos rooteados

o con jailbreak
» Malware y spyware
» Criptografía rota
» Manejo inadecuado de la sesión
Por último, las organizaciones corren riesgos cuando los permisos

de acceso se basan en la confianza supuesta de dispositivos
previamente examinados. Muchas organizaciones han sufrido
ataques de antiguos empleados y contratistas. Un dispositivo
perdido o robado puede revelar contraseñas que permitan una
infiltración en la red. Por eso es tan importante un abordaje
de seguridad de confianza cero. A medida que los delincuentes
informáticos se centran en poner en peligro la amplia gama de
dispositivos de red, los equipos de seguridad necesitan una mejor
visibilidad y detección de cada dispositivo que se conecta a la red.
Los entornos de identidad empresarial actuales se componen de

varios sistemas que pueden incluir dispositivos de red, servidores,
servicios de directorio y aplicaciones en la nube. Gestionar una
identidad que reside en estos diversos sistemas puede convertirse
rápidamente en un reto administrativo tan grande que afecte
negativamente a usuarios, administradores y desarrolladores de
aplicaciones. La identidad federada es una solución que permite a
los usuarios de un grupo de organizaciones vinculadas compartir
el mismo método de verificación de usuario para diversas
aplicaciones y recursos. Para ello, conecta las identidades en
línea de los usuarios a través de múltiples dominios y redes.
La identidad federada resuelve varios problemas comunes de
acceso y seguridad para las organizaciones. Las organizaciones
pueden gestionar el acceso de los usuarios y facilitar el acceso
a las aplicaciones utilizando herramientas de seguridad como la
autenticación multifactor y el inicio de sesión único. Un ejemplo
de acceso federado es una organización que permite a los usuarios
acceder a sitios web asociados, Active Directory y aplicaciones
web sin tener que iniciar sesión cada vez.
Una solución de IAM robusta debe tener las siguientes capacidades:
» Establecer la identidad mediante el inicio de sesión,

la autenticación multifactor y los certificados digitales,
que pueden evolucionar para añadir la autenticación
contextual.
» Admitir opciones de token de hardware y software para

autenticación multifactor, así como FIDO, UAF y U2F.
» Proporcionar información basada en roles a partir

de una fuente de autenticación para su uso en accesos
privilegiados.
» Establecer y aplicar políticas de acceso con privilegios

mínimos basadas en funciones.
» Proporcionar seguridad añadida con soporte para el inicio

de sesión único a fin de ayudar a mejorar el cumplimiento
y la adopción por parte de los usuarios.
» Aprovechar el Lenguaje de Marcado para Confirmaciones
de Seguridad (SAML, por sus siglas en inglés) para
autenticar a los usuarios en el acceso a aplicaciones
de software como servicio (SaaS, por sus siglas en inglés)
basadas en la nube.
» Verificar las conexiones de acceso a la red de confianza

cero (ZTNA) para dispositivos y usuarios por sesión
a aplicaciones individuales.
Aplicación del acceso de mínimo

privilegio basado en roles
Gestionar los permisos de cuentas de usuarios individuales para
unos pocos cientos de usuarios puede ser un reto desalentador.
En una empresa con miles de usuarios puede ser imposible de
gestionar. El control de acceso basado en roles (RBAC) permite
a los administradores de TI gestionar de forma más eficiente
los permisos asignados a los usuarios mediante la asignación
de conjuntos de permisos a grupos o roles. De este modo, los
usuarios de todo un departamento, por ejemplo, pueden acceder
rápidamente a una aplicación financiera sensible o a un archivo
compartido en la red. Además, a medida que los usuarios rotan
por diferentes funciones (por ejemplo, debido a ascensos o
traslados), los administradores pueden revocar fácilmente los
permisos asociados a la función anterior y asignar los permisos
asociados a la nueva función. Active Directory suele desempeñar
un papel clave en la administración del RBAC.
Sin embargo, el RBAC puede ser un arma de doble filo. Los roles
deben estar claramente definidos y se les deben asignar solo los
permisos mínimos necesarios para realizar las funciones requeridas
para ese rol. Este es el principio del privilegio mínimo. Si los roles
se definen con demasiada amplitud, es posible que se asignen
permisos excesivos a grandes grupos de usuarios en un esfuerzo
por abordar las necesidades de todos con una pincelada amplia. Los
roles mal definidos pueden malinterpretarse con facilidad, lo que
puede dar lugar a una asignación incorrecta de funciones a los
usuarios. Por último, los roles deben gestionarse de manera activa
para garantizar que se revoquen y asignen adecuadamente, y para
garantizar que los permisos asociados a los roles reflejen los
cambios en la organización o la infraestructura de TI. Si no se
revocan las funciones o los permisos, puede producirse una
“escalada de permisos” dentro de la organización, con el resultado
de un exceso de permisos para grandes grupos de usuarios.
Gestión del acceso privilegiado
Las cuentas que tienen asociados permisos de acceso privilegiado
son objetivos especialmente valiosos para los atacantes. Estas
cuentas suelen tener acceso a sistemas y recursos críticos de la
red, así como a datos confidenciales o sensibles. El acceso con
privilegios permite al usuario hacer cambios administrativos en los
sistemas, las aplicaciones y la infraestructura de red y seguridad,
como instalar software (o malware), alterar (o eliminar) archivos
o datos críticos del sistema, crear nuevas cuentas y restablecer las
contraseñas de los usuarios.
Los permisos de acceso privilegiado pueden asignarse a cuentas

o roles utilizados por humanos tales como administradores
de dominio, administradores locales, cuentas de emergencia,
superusuarios y usuarios empresariales con privilegios. Los
INFORMACIÓN
TÉCNICA permisos de acceso privilegiado también pueden asignarse a
cuentas que no son utilizadas por humanos, como las cuentas de
aplicaciones y servicios.
La gestión de acceso privilegiado (PAM, por sus siglas en inglés)

es un subconjunto de la IAM. Mientras que la IAM se usa para
autenticar y autorizar a todos los usuarios de una organización,
la PAM se centra específicamente en gestionar y proteger las
cuentas de administrador y de usuario con privilegios elevados
(es decir, acceso privilegiado).
UTILITY CO. MEJORA
LA SEGURIDAD EN LAS
INFRAESTRUCTURAS TI Y TO
Falu Energi & Vatten (energía y agua) es una empresa municipal
de servicios públicos con productos y servicios de electricidad,
calefacción y refrigeración, agua, alcantarillado y reciclado en
el municipio sueco de Falun.
Desafíos
Ya en 2009, antes que muchas otras empresas de servicios

públicos, Falu Energi & Vatten se dio cuenta tanto del potencial
como de la necesidad de la transformación digital, embarcándose
en un proyecto a largo plazo de modernización y digitalización de
los innumerables procesos y herramientas en los que se basaban
sus operaciones.
Para Falu Energi & Vatten, el primer paso en la preparación

de estos cambios fue darse cuenta de que su red de TI y su
infraestructura de seguridad necesitarían un nivel de visibilidad,
control e integración completos que su anterior arquitectura
de firewalls era incapaz de proporcionar.
Soluciones
Tras una detallada evaluación de las posibles soluciones,

Falu Energi & Vatten eligió Fortinet.
La red resultante incluía firewalls de última generación

(NGFW, por sus siglas en inglés) de FortiGate, FortiSwitch
y puntos de acceso inalámbricos FortiAP. Se agregó FortiClient,
FortiAuthenticator y FortiToken para garantizar que todos
los usuarios y dispositivos conectados estuvieran fuertemente
autenticados y cumplieran sus requisitos de acceso
de confianza cero.
Con su módulo de inventario de software integrado, FortiClient
proporcionó a Falu Energi & Vatten una mayor visibilidad
del software instalado en el endpoint. Además de gestionar
las licencias, el inventario de software puede mejorar la higiene
de la seguridad. Cuando el software instalado no es necesario
para fines empresariales, introduce innecesariamente
vulnerabilidades potenciales y, por lo tanto, aumenta
la probabilidad de que existan riesgos.
Impacto empresarial
• Mejoró la seguridad, fiabilidad y eficacia de los servicios

esenciales mediante la supervisión y el control centralizados
de las políticas de seguridad.
• Sentó las bases para la integración continua de TI y tecnología

operativa (TO).
• Proporcionó la visibilidad, el control y la automatización

centralizados necesarios para la transformación digital
de la empresa.
Gracias a la infraestructura de red resultante, Falu Energi & Vatten

dispone ahora de una base sólida sobre la que construir un futuro
más seguro, fiable y eficiente para su empresa y la comunidad
de Falun.
EN ESTE CAPÍTULO
»» Explorar la evolución de las capacidades

de EDR
»» Integrar EDR en una estrategia

de confianza cero
Capítulo 3
Aprovechar
capacidades de EDR
para la confianza cero
L
os puntos de conexión (incluidas las computadoras de
escritorio y portátiles, servidores, dispositivos de IoT,
etc.) constituyen el mayor vector de ataque en un entorno
informático empresarial. Los atacantes se centran en los puntos
de conexión porque su seguridad suele ser menos robusta que la
del centro de datos, y las decisiones de seguridad cotidianas en
el punto de conexión (por ejemplo, si descargar e instalar o no
un archivo desconocido, abrir un adjunto de correo electrónico
potencialmente malicioso o hacer clic en un enlace sospechoso) se
dejan en manos del usuario final.
En este capítulo, aprenderá cómo la solución de detección

y respuesta de puntos de conexión (EDR, por sus siglas en inglés)
ha pasado de ser una herramienta rudimentaria para investigar
incidentes manualmente a una solución de detección y reparación
de puntos de conexión altamente automatizada, y por qué EDR
es fundamental para una estrategia eficaz de confianza cero.
CAPÍTULO 3 Aprovechar capacidades de EDR para la confianza cero 17
Evolución de la detección y respuesta
en los puntos de conexión
Tradicionalmente, la protección de los puntos de conexión se ha
centrado en evitar que el malware y otras amenazas conocidas
infecten una computadora de escritorio o portátil. Prácticamente
desde que existen estos dispositivos, se ha recomendado a los
usuarios que usen software antivirus y lo mantengan actualizado.
Con el paso de los años, el software antivirus evolucionó hasta
convertirse en software antimalware o en plataformas de
protección de puntos de conexión (EPP, por sus siglas en inglés)
para abarcar ampliamente otras formas de malware, como
gusanos, troyanos, spyware, rootkits, vulnerabilidades, scripts
maliciosos, etc. Aunque las herramientas antimalware han
mejorado mucho desde su introducción, aprovechando cada vez
más el aprendizaje automático y el análisis del comportamiento
para evitar que amenazas conocidas y desconocidas infecten una
computadora personal, la lamentable realidad es que la prevención
no siempre es posible.
Cuando falla la prevención, la detección y respuesta en los puntos

de conexión (EDR) proporciona a los equipos de seguridad las
herramientas para detectar y responder a las amenazas en los
puntos de conexión y en la red. Desgraciadamente, las primeras
soluciones de EDR son demasiado lentas y complejas para funcionar
en un entorno de amenazas rápido y dinámico. Estas soluciones de
EDR de primera generación requieren equipos de seguridad
altamente calificados que ejecuten consultas manuales para buscar
indicadores específicos de peligro (IoC, por sus siglas en inglés) en
la telemetría de los puntos de conexión y, a continuación,
clasifiquen y respondan manualmente a las amenazas detectadas.
En la actualidad, la mayoría de las organizaciones simplemente no
disponen de los recursos calificados necesarios para manejar con
eficacia estas herramientas EDR.
A lo largo de los años, las soluciones de EDR de primera generación

han evolucionado con la incorporación de algunas funciones
complementarias clave, como las que se enumeran a continuación:
» Inteligencia contra amenazas: la correlación

automatizada de la telemetría de los puntos de conexión
con los IoC a partir de fuentes de inteligencia contra
amenazas reduce la necesidad de realizar consultas
manuales para detectar amenazas.
» Visualización del ataque: las amenazas pueden
mapearse para ayudar a los analistas de seguridad
a obtener una imagen más completa de un ataque
en curso o de un ataque que ya se produjo.
» Reparación automatizada: las capacidades de respuesta

básicas suelen incluir la capacidad de bloquear direcciones
IP y procesos específicos, aislar puntos de conexión
de la red y consultar el punto de conexión para obtener
datos adicionales.
» Seguimiento de amenazas: las funciones de búsqueda

avanzada y el acceso a datos forenses permiten la
detección proactiva de amenazas en el entorno de red.
Las soluciones de EDR de segunda generación ofrecen

a las organizaciones una mayor visibilidad de sus puntos
de conexión y su entorno de red, una estrecha integración con las
herramientas de prevención (como el antimalware) y la mitigación
automatizada de riesgos basada en políticas mediante estrategias
personalizables. Un ejemplo de acción de una estrategia podría ser
bloquear comunicaciones de ataque salientes específicas, revertir
automáticamente cualquier daño en el sistema provocado por un
ransomware o impedir el acceso malicioso al sistema de archivos.
Estas funciones permiten la detección rápida y la corrección
automatizada de amenazas y ataques en tiempo real, así como un
análisis de investigación forense completo.
EDR y la confianza cero

EDR es un componente esencial en una estrategia de confianza
cero, lo que permite a las organizaciones extender la postura
de seguridad “nunca confiar; siempre verificar” de confianza cero
a sus puntos de conexión.
EDR proporciona a las organizaciones una herramienta central para

recopilar, organizar y analizar datos de los puntos conectados a su
red. EDR puede coordinar las alertas y automatizar las respuestas
ante amenazas inminentes. Esto implica la incorporación
de tres elementos:
» Los agentes de recopilación de datos de puntos
de conexión supervisan las terminales y recopilan datos.
Esto incluye datos sobre procesos, actividades que ocurren
en el punto de conexión, las conexiones a estos puntos
y los datos transferidos hacia y desde estos puntos.
» La respuesta automatizada ante incidentes utiliza

reglas personalizadas basadas en políticas para identificar
amenazas y, a continuación, activa una respuesta
automática. La respuesta automatizada puede reconocer
la amenaza y determinar de qué tipo de amenaza se trata.
A continuación, puede activar una respuesta, como enviar
una alerta de que se cerrará la sesión del usuario
del punto de conexión, hacerlo y aislar ese punto.
» El análisis de los datos de los puntos de conexión

en tiempo real permite al EDR diagnosticar rápidamente
las amenazas, aunque no coincidan necesariamente con
los parámetros de amenaza preconfigurados. El análisis
también utiliza herramientas forenses para examinar
la naturaleza de la amenaza y determinar cómo se ejecutó
el ataque una vez contenido y erradicado.
Estos tres elementos de EDR trabajan juntos como parte de una

estrategia eficaz de confianza cero para permitir la detección,
contención, investigación y erradicación de amenazas en su
entorno en los puntos de conexión y las redes.
Detección
Cuando una amenaza elude los controles preventivos de sus puntos
de conexión y penetra en su entorno de red, la detección rápida es
fundamental para minimizar los daños. Sin embargo, la detección
puede resultar extremadamente difícil, sobre todo cuando se
trata de una amenaza avanzada que ya eludió las herramientas
de protección de los puntos de conexión. EDR utiliza el análisis
continuo de archivos y la inteligencia sobre ciberamenazas
para detectarlas rápidamente. EDR examina cada archivo que
interactúa con el punto de conexión y puede marcar cualquier
archivo que pueda representar una amenaza. La inteligencia
contra ciberamenazas aprovecha una combinación de inteligencia
artificial (IA) y grandes repositorios de datos sobre amenazas
pasadas y en evolución para detectar las amenazas que se dirigen
a sus puntos de conexión.
Contención
Una vez detectada una amenaza, EDR la contiene mediante
segmentación para evitar que se propague por la red. Esto implica
aislar áreas específicas de la red para que una amenaza no pueda
infiltrarse en elementos de red adyacentes. Sin embargo, esto
puede no ser suficiente. Por lo tanto, además de la segmentación,
una solución EDR eficaz también contiene la propia amenaza.
La contención es especialmente importante cuando se trata
de ransomware. Dado que el ransomware puede tomar como
rehén a un punto de conexión, es necesario contenerlo para evitar
que se infecten otros.
Pruebas de archivos
El entorno de pruebas o sandbox permite al EDR contener
una amenaza dentro de un entorno diseñado para simular
las condiciones existentes en una sección de su red con el fin
de comprender la naturaleza de la amenaza. Una vez confinada
la amenaza en esta zona segura y aislada, EDR la vigila de cerca
y analiza su comportamiento. Esta información puede producir
ideas útiles y procesables que se pueden usar para mejorar la
postura general de seguridad de la organización y se pueden
transmitir al sistema de inteligencia de ciberamenazas para
ayudarlo a evolucionar y hacer frente a futuras amenazas.
Eliminación
Aunque las demás facetas de EDR proporcionan conocimientos
críticos sobre la amenaza, esa información es inútil si no se
emplea para eliminarla y eliminar amenazas similares en el
futuro. El proceso de eliminación depende de la recopilación de
información crítica sobre la amenaza y su posterior utilización
para ejecutar un plan de acción. Por ejemplo, el sistema tiene
que averiguar de dónde procede la amenaza y adónde ha ido. La
información sobre el origen de la amenaza puede usarse para
mejorar las futuras medidas de seguridad. El sistema también
necesita determinar con precisión las aplicaciones y los datos que
el archivo malicioso ha afectado o intentado atacar, así como si el
archivo se ha replicado para continuar su ataque.
EN ESTE CAPÍTULO
»» Saber qué está conectado a la red
»» Ver y controlar los dispositivos
»» Implementar la respuesta
automatizada y la orquestación
de redes
Capítulo 4
Confianza cero
en la seguridad
de los dispositivos
S
i los ciberdelincuentes escribieran un libro titulado Los siete
hábitos de los hackers altamente eficaces, sin duda habría
un capítulo titulado “Empezar con el endpoint en mente”.
Los endpoints son el vector de ataque inicial preferido por los
ciberdelincuentes para acceder a los recursos de red más valiosos.
En este capítulo, aprenderá a aplicar una estrategia de confianza
cero a la seguridad de sus dispositivos.
Descubrir e identificar dispositivos

Además de saber quién está en la red (tema tratado en el Capítulo
2), las organizaciones necesitan saber qué dispositivos hay en la red.
Estos dispositivos incluyen lo siguiente:
» Equipos de oficina conectados en red (como impresoras)
» Sistemas de venta al por menor (por ejemplo, sistemas

de punto de venta)
CAPÍTULO 4 Confianza cero en la seguridad de los dispositivos 23
» Tecnología operativa (TO)
» Sensores y dispositivos del Internet de las cosas (IoT)
El desafío de gestionar todos estos dispositivos radica en su amplia

implementación, los distintos niveles de gestión de dispositivos,
los controles de configuración incoherentes y la falta
de compatibilidad con protocolos de comunicación estándar en
muchos dispositivos heredados.
El perímetro de red tradicional prácticamente ha desaparecido,

ya que la proliferación de dispositivos que se conectan a la red ha
creado una superficie de ataque exponencialmente mayor que las
organizaciones deben proteger, pues cada dispositivo de endpoint
constituye esencialmente un microperímetro. El resultado de
esta explosión de dispositivos y de la ampliación de la superficie
de ataque es que muchas organizaciones están perdiendo
visibilidad y control porque ya no saben con certeza qué
dispositivos se conectan a sus redes. Y como cada microperímetro
está asociado a un dispositivo individual, estos endpoints se
convirtieron en un objetivo privilegiado para las infecciones de
malware y las vulnerabilidades sofisticadas.
Los ataques contra dispositivos del IoT están aumentando,

y la escala y el impacto de un ataque del IoT exitoso pueden
ser devastadores. Por ejemplo, la Agencia de Seguridad de
Infraestructura y Ciberseguridad (CISA, por sus siglas en inglés), en
colaboración con varias empresas de seguridad del sector, descubrió
recientemente una vulnerabilidad en millones de dispositivos
de cámaras inteligentes del IoT que permite a un atacante acceder
a las cámaras, ver transmisiones de video en directo y crear
botnets.
El área de mayor crecimiento en la superficie de ataque a endpoints es

la explosión de dispositivos del IoT. Los ciberataques a dispositivos
del IoT están en auge a medida que las organizaciones conectan
cada vez más dispositivos inteligentes a sus redes. Los atacantes
aprovechan estos dispositivos para realizar ataques distribuidos
de denegación de servicio (DdoS) y otras actividades maliciosas.
Para proteger los endpoints, las empresas deben tener una

visibilidad completa de la ubicación de cada dispositivo, qué hace
y cómo se conecta a otros dispositivos a través de la topología de
la red. La falta de visibilidad deja a una organización vulnerable
a riesgos invisibles, y muchas organizaciones no cuentan con una
estrategia para hacer frente a los ataques a los dispositivos del
IoT. Los equipos de seguridad deben ser capaces de descubrir
e identificar todos los dispositivos en los perímetros de la red.
Algunas organizaciones usan la segmentación de red tradicional,
pero es difícil definir segmentos seguros centrados en la red que
puedan ser accesibles simultáneamente para todos los usuarios
y aplicaciones autorizados, y completamente inaccesibles para
todos los demás. La segmentación basada en políticas permite
una estrategia de segmentación de red más dinámica y granular
que puede adaptarse automáticamente para garantizar el mínimo
privilegio en una red de confianza cero.
Visibilidad y control de endpoints

Las soluciones de control de acceso a la red (NAC, por sus siglas en
inglés) ayudan a las organizaciones a hacer frente a la creciente
superficie de ataque asociada a la proliferación de endpoints
y dispositivos en la red. Las soluciones NAC ofrecen visibilidad
del entorno de red para la aplicación y el control dinámico de
las políticas. Tanto si los dispositivos se conectan desde dentro
como desde fuera de la red, las soluciones NAC pueden responder
automáticamente a dispositivos en peligro o a actividades
anómalas. Con las soluciones NAC, las organizaciones pueden
hacer lo siguiente:
» Descubrir, identificar, perfilar y analizar todos

los dispositivos en busca de vulnerabilidades.
» Establecer y garantizar el control permanente de la red.
» Establecer y aplicar políticas que limiten el acceso solo

a lo necesario para ese dispositivo.
» Mantener la respuesta automatizada y la orquestación

de la red (se trata más adelante en este capítulo).
Una solución NAC puede identificar y perfilar automáticamente

cada dispositivo a medida que solicita acceso a la red y analizarlo
en busca de vulnerabilidades. Los procesos NAC deben completarse
en pocos segundos para minimizar el riesgo de comprometer el
dispositivo. Las soluciones NAC que se basan en la exploración del
tráfico permiten que los dispositivos se conecten a la red durante
la identificación. Sin embargo, el proceso de escaneo del tráfico
puede durar hasta media hora, tiempo durante el cual la red puede
ser vulnerada por un dispositivo o endpoint comprometido.
Una solución NAC debe ser fácil de implementar desde una

ubicación central y ofrecer un funcionamiento coherente en redes
cableadas e inalámbricas.
Respuesta automatizada
y orquestación de la red
Para acelerar y ampliar el alcance y la escala de sus ataques,
los ciberdelincuentes recurren a una amplia automatización.
Aunque la visibilidad de la red puede ayudar a detectar amenazas
potenciales, la respuesta a estas amenazas puede ser fragmentada
e ineficaz debido a la lentitud de los flujos de trabajo manuales.
Sin la ventaja de procesos de seguridad avanzados, los equipos de
seguridad suelen operar en desventaja, lo que aumenta el riesgo
de una organización.
Los ataques son más sofisticados y los analistas de seguridad

se enfrentan a infraestructuras de seguridad cada vez más
complejas y fragmentadas, con demasiados productos puntuales
de distintos proveedores.
Para garantizar la seguridad de una red en constante evolución

es fundamental conocer su composición: no se puede proteger lo
que no se ve. Una plataforma NAC eficaz proporciona automatización
y orquestación de la seguridad basada en políticas que permite el
descubrimiento de cada endpoint y dispositivo de infraestructura
de red, proporciona conocimiento contextual para implementar
un control de acceso a la red dinámico y ofrece la capacidad
de contener un ciberataque mediante una respuesta automatizada
a las amenazas.
GRUPO UNIVERSAL GANA
VISIBILIDAD Y CONTROL
CON FORTINAC
Grupo Universal es uno de los principales conglomerados
de República Dominicana, formado por 10 filiales que ofrecen
soluciones para organizaciones de seguros, financieras
y de otros servicios.
Desafíos
La seguridad informática y la disponibilidad de la infraestructura

informática son esenciales para Grupo Universal. En 2017,
la empresa puso en marcha uno de sus proyectos más importantes
desde su fundación en 1964: su transformación tecnológica y digital.
Dadas las exigencias tecnológicas de la economía digital actual,

almacenar los datos en arquitecturas centralizadas limita el acceso
de los empleados y la respuesta de los usuarios. Los equipos
informáticos de Grupo Universal reconocieron los riesgos
de una base de datos centralizada y decidieron evolucionar hacia
un modelo de conexión inalámbrica que, a pesar de presentar
también algunos retos, permitió a la empresa satisfacer las
exigencias de seguridad de la red de los clientes y usuarios internos.
Para ayudar con el proyecto de infraestructura descentralizada,

Grupo Universal eligió asociarse con Fortinet.
Soluciones
Con el fin de reducir la complejidad administrativa para los

equipos operativos, Grupo Universal propuso contar con una
gestión centralizada que redujera los riesgos y mantuviera una
infraestructura de comunicaciones actualizada.
A través de la integración de Fortinet Secure SD-WAN con
otras soluciones de Security Fabric, Grupo Universal fue capaz
de desplegar una infraestructura de comunicaciones de alto
rendimiento y seguridad integral. Las soluciones de gestión
y análisis como FortiManager y FortiAnalyzer ofrecen una visibilidad
completa con un único panel de control y gestión centralizada
de políticas.
El control de acceso a la red FortiNAC proporciona una visibilidad

completa de todos los dispositivos de la red, lo que permite un
control total del nivel de acceso concedido a cada dispositivo,
y FortiClient ofrece una protección avanzada y proactiva de
los endpoints frente a las amenazas de día cero. Se integra
perfectamente con FortiSandbox para la detección avanzada
de amenazas.
La puerta de enlace de correo electrónico segura FortiMail

protege los servicios de correo electrónico basados en la nube
de amenazas avanzadas para mantener seguros a los usuarios
y los datos. Con el firewall de aplicaciones web FortiWeb, Grupo
Universal pudo acceder de forma segura a aplicaciones críticas
para la empresa basadas en la nube. La incorporación de FortiAP
en toda la organización lo unió todo y garantizó un acceso
inalámbrico seguro para los dispositivos de las sucursales.
Impacto empresarial
• Mejora del rendimiento y la velocidad de las comunicaciones

con enlaces redundantes en todas las ubicaciones.
• Ahorro de costos de $30 000 al año en enlaces de comunicación

y $70 000 al año en optimización de la WAN.
• Acceso más rápido a la nube y aplicaciones alojadas en la nube

con escapes locales.
Gracias a este proyecto, Grupo Universal no solo amplió

adecuadamente su infraestructura de comunicaciones y TI,
centralizó la administración, y mejoró la gestión del control
y la respuesta a los riesgos, sino que también consiguió reducir
costos y aumentar la disponibilidad de la red al 99,9 %. Con el
apoyo de Fortinet, Grupo Universal pudo integrar eficazmente
sus comunicaciones y seguridad en su proceso de transformación
tecnológica y digital.
EN ESTE CAPÍTULO
»» Reconocer las limitaciones de las redes

privadas virtuales
»» Presentar el acceso a la red

de confianza cero
»» Mejorar la seguridad del acceso remoto

y la experiencia del usuario con un
acceso a la red de confianza cero
Capítulo 5
Replantear la VPN
con confianza cero
A
unque las redes privadas virtuales (VPN, por sus siglas
en inglés) se han convertido en algo habitual, muchas
organizaciones ahora buscan mejores soluciones para
conectar de forma segura a sus trabajadores, cada vez más remotos
y móviles. En este capítulo, aprenderá cómo el acceso a la red
de confianza cero (ZTNA) mejora la seguridad, permite un control
más granular y ofrece una mejor experiencia de usuario que las
VPN tradicionales.
Adiós a las VPN

Las VPN han sido durante mucho tiempo el método “decretado”
para acceder remotamente a las redes corporativas, pero tienen
algunos problemas serios, sobre todo en términos de seguridad.
La reciente proliferación del trabajo a distancia (necesario por la
pandemia mundial) ha vuelto a poner de relieve las limitaciones
de las redes privadas virtuales tradicionales.
Para las organizaciones que confían en una VPN tradicional para

proteger a sus trabajadores remotos y oficinas domésticas, existen
muchos inconvenientes, entre ellos:
CAPÍTULO 5 Replantear la VPN con confianza cero 29
» Las VPN usan el enfoque (anticuado e ineficaz)
de seguridad centrado en el perímetro. Una vez que los
usuarios se conectan a la red corporativa con un cliente
VPN, suelen tener un amplio acceso a todos los recursos
de la red. Este acceso prácticamente sin restricciones
expone al resto de la red corporativa a amenazas que
utilizan el endpoint como vector de ataque. Si el túnel
dividido está activado, un usuario puede navegar por
Internet (sin pasar por el firewalls de la empresa)
mientras sigue conectado a la red corporativa. El riesgo
de una vulneración de datos, un ataque de ransomware
o una infección de malware en la red corporativa aumenta
exponencialmente si se permite a los usuarios instalar un
cliente VPN en dispositivos de propiedad personal que ya
pueden estar comprometidos.
» Las VPN no tienen visibilidad del tráfico que entregan.

Las VPN se usan para conectarse a la red corporativa a
través de un túnel cifrado cuando se trabaja desde
hoteles, cafeterías o desde casa. Este túnel impide que
los ciberdelincuentes husmeen en la sesión, pero también
que los controles de seguridad inspeccionen el tráfico.
Dado que la mayoría de las oficinas domésticas y puntos
de acceso públicos están conectados a redes inseguras
en gran medida, son un objetivo relativamente fácil
de explotar para los ciberdelincuentes mediante tácticas
de ingeniería social y malware.
» Las VPN no están diseñadas para los recursos de red

altamente distribuidos de hoy en día. Las aplicaciones
y los datos ahora están repartidos entre centros de datos
corporativos, entornos multinube y sucursales y oficinas
domésticas distribuidas. La mayoría de las soluciones VPN
no se diseñaron para gestionar este nivel de complejidad.
Una conexión VPN reenvía todo el tráfico a través de
la red corporativa para su inspección, lo que consume
mucho ancho de banda y provoca latencia. La tunelización
dividida puede resolver esta ineficacia, pero crea su propio
conjunto de desafíos (tratado anteriormente).
Crear una conexión remota segura
para la empresa actual
El ZTNA ofrece una solución de acceso remoto mejor que las VPN
tradicionales y también resuelve los problemas de acceso a las
aplicaciones. El ZTNA parte de la premisa de que la ubicación no
confiere confianza: El lugar donde se encuentre físicamente un
usuario o un dispositivo es irrelevante. Cualquier usuario es capaz
de comportarse de forma maliciosa y cualquier dispositivo puede
verse comprometido. El ZTNA se basa en esta realidad.
El ZTNA concede acceso a aplicaciones y flujos de trabajo

individuales por sesión únicamente después de que un usuario
o dispositivo haya sido autenticado. Los usuarios son verificados
y autenticados para garantizar que pueden acceder a una
aplicación antes de que se les conceda el acceso. También se
comprueba cada dispositivo cada vez que se accede a una
aplicación para garantizar que el dispositivo cumpla con la política
de acceso a aplicaciones. La autorización utiliza diversa
información contextual, como el rol del usuario, el tipo de
dispositivo, la conformidad del dispositivo, la ubicación, la hora y
la forma en que un dispositivo o usuario se conecta a la red o al
recurso.
Con el ZTNA, una vez que el usuario y el dispositivo están

debidamente autenticados (por ejemplo, mediante una
combinación de autenticación multifactor [MFA] y validación
de endpoints), pueden conectarse de forma segura a la red
y obtener acceso con mínimos privilegios a los recursos solicitados.
El principio del mínimo privilegio significa que el usuario y el
dispositivo solamente pueden acceder a las aplicaciones o los
recursos necesarios para realizar una tarea o función autorizada,
y nada más.
El control de acceso no termina en el punto de acceso. El ZTNA

opera en términos de identidad en vez de proteger un lugar en la
red, lo que permite que las políticas sigan las aplicaciones y otras
transacciones de forma integral. Al establecer mayores niveles de
control de acceso, el ZTNA es una solución más eficaz para los
usuarios finales y proporciona la aplicación de políticas allí donde
se necesite.
Aunque el proceso de autenticación de ZTNA proporciona puntos

de autenticación, a diferencia de una VPN tradicional, no especifica
cómo tiene lugar esa autenticación. A medida que se implementan
soluciones de autenticación nuevas o diferentes, pueden añadirse
sin problemas a la estrategia de ZTNA.
En la actualidad, existen dos enfoques principales para aplicar
el ZTNA:
» ZTNA iniciado por el cliente: A veces denominado

ZTNA iniciado por el endpoint, el modelo ZTNA iniciado
por el cliente se conocía inicialmente como perímetro
definido por software y se basa en la arquitectura de la
Cloud Security Alliance (CSA). Este enfoque usa un agente
instalado en un dispositivo para crear un túnel seguro.
Cuando un usuario quiere acceder a una aplicación,
el agente recopila información como la identidad del
usuario, la ubicación del dispositivo, la red y la aplicación
que se está utilizando, y construye un perfil de riesgo para
evaluar la postura global de seguridad. A continuación,
se conecta de nuevo a la aplicación a través de una
conexión proxy y, si el perfil de riesgo cumple los
requisitos de la política de la organización, se concede
al usuario y al dispositivo acceso a la aplicación para la
sesión. Las aplicaciones pueden ser locales o estar en
la nube. Utilizar el modelo iniciado por el cliente puede
suponer un reto, pues la gestión de los agentes en los
dispositivos puede convertirse en un dolor de cabeza
para el departamento de TI, salvo que una solución
de gestión central pueda coordinar la implementación
y la configuración. Además, los dispositivos no gestionados
deben manejarse por otros medios, como un controlador
de acceso a la red (NAC).
» ZTNA iniciado por el servicio: El modelo de ZTNA iniciado

por el servicio utiliza una arquitectura de proxy inversa,
que a veces también se denomina ZTNA iniciado por la
aplicación. Según el modelo de BeyondCorp, la mayor
diferencia con respecto al ZTNA iniciado por el cliente
es que no requiere un agente de endpoint. Utiliza un
complemento del navegador para crear un túnel seguro
y realizar la evaluación del dispositivo y la comprobación
de la postura. Una desventaja clave es que se limita a
aplicaciones en la nube. Dado que los protocolos de la
aplicación deben basarse en el Protocolo de transferencia
de hipertexto (HTTP)/Protocolo Seguro de transferencia
de hipertexto (HTTPS), limitan el enfoque a aplicaciones
y protocolos web, como Secure Shell (SSH) o el Protocolo
de escritorio remoto (RDP) sobre HTTP. Aunque algunos
proveedores nuevos ofrecen compatibilidad adicional con
protocolos, el modelo no es adecuado para las empresas
que tienen una combinación híbrida de aplicaciones en la
nube y locales.
Las organizaciones deben tener cuidado de seleccionar soluciones
de ZTNA que se integren con su infraestructura existente. Construir
una solución ZTNA completa requiere una serie de componentes:
un cliente, un proxy, autenticación y seguridad. A menudo,
estas soluciones las proporcionan distintos proveedores y los
componentes pueden funcionar en sistemas operativos diferentes
y usar consolas distintas para la gestión y configuración, por lo
que establecer un modelo de confianza cero entre proveedores
puede resultar difícil o imposible.
Ventajas del acceso a la red

de confianza cero
Adoptar un enfoque de confianza cero en la seguridad es un
proceso que afecta a muchos sistemas y que puede llevar años
a algunas organizaciones. Pero abordar el acceso remoto es un buen
primer paso hacia la implementación del modelo de seguridad
de confianza cero. Las soluciones del ZTNA ofrecen muchas
ventajas sobre las VPN tradicionales, como las siguientes:
» Las organizaciones pueden extender el modelo de

confianza cero más allá de la red. A diferencia de una
VPN, que opera en la capa de red, el ZTNA se centra en
la capa de transporte, proporcionando seguridad a las
aplicaciones independientemente de la red.
» El ZTNA funciona de forma transparente en segundo

plano, lo que mejora la experiencia del usuario. Para los
usuarios, el ZTNA es más fácil de gestionar que una VPN.
Los usuarios ya no tienen que recordar cuándo utilizar la
VPN ni pasar por el proceso de conexión. Tampoco hay
riesgo de que los túneles queden abiertos accidentalmente
porque alguien haya olvidado desconectar el cliente de
la VPN. Con el ZTNA, un usuario simplemente inicia la
aplicación e inmediatamente obtiene una conexión segura,
tanto si la aplicación está en las instalaciones como en una
nube. Este túnel cifrado se crea a petición y en segundo
plano, de forma totalmente transparente para el usuario.
Como la red corporativa ya no es una zona de confianza
implícita, se crea el mismo túnel tanto si el usuario está
en la red como si está fuera de ella.
» Los usuarios y dispositivos se verifican y validan antes
de concederles acceso a una aplicación o recurso.
Este proceso incluye una comprobación de la postura
de seguridad que verifica que el endpoint ejecuta el
firmware y el software de protección de endpoints
adecuados para comprobar que es seguro conectarse
a la aplicación. La verificación es granular, por sesión,
utilizando la misma política de acceso tanto si un usuario
accede a recursos que están en las instalaciones como en
la nube. La misma política controla también quién puede
acceder a esa aplicación en función del perfil del usuario
y el dispositivo que se autentifica.
» Dado que el ZTNA se centra en el acceso a las

aplicaciones, no importa en qué red se encuentre
el usuario. El ZTNA crea automáticamente conexiones
seguras con las aplicaciones, independientemente
de dónde se encuentre el usuario. En cada sesión de
aplicación, el ZTNA verifica la postura de seguridad tanto
del usuario como del dispositivo, incluso cuando los
usuarios están en la oficina.
» El ZTNA reduce la superficie de ataque ocultando

de Internet las aplicaciones críticas para la empresa.
En cuanto a la aplicación, dado que el usuario se conecta
de nuevo al punto de aplicación y luego envía esa conexión
a la aplicación, la aplicación puede existir en
las instalaciones o en una nube, todo ello oculto de
Internet. La aplicación solo necesita establecer una
conexión con los puntos de aplicación, manteniéndolos
a salvo de los ciberdelincuentes.
Cada vez más organizaciones reconocen la necesidad de abandonar

las redes privadas virtuales tradicionales. El ZTNA está
demostrando ser una solución mejor, más fácil de usar y que
proporciona una mayor seguridad a las aplicaciones.
EN ESTE CAPÍTULO
»» Adaptarse a la nueva realidad laboral
»» Implementar la confianza cero

en el acceso a aplicaciones
»» Mantener la seguridad de los endpoints,

las redes y las nubes
Capítulo 6
Extender el control
de confianza cero
fuera de la red
E
n las redes actuales, un usuario, dispositivo o aplicación puede
conectarse desde cualquier lugar, lo que cambia el paradigma
de la seguridad. El antiguo modelo de seguridad centrado en
el perímetro se enfocaba en la ubicación: ¿Desde dónde se conecta
el usuario? ¿Dónde está alojada la aplicación? ¿Dónde está instalado
el servidor? En este capítulo, aprenderá por qué la seguridad debe
evolucionar para proteger a los usuarios, los dispositivos y las
aplicaciones dondequiera que se encuentren.
Proteger a la nueva fuerza laboral

híbrida
Aunque las empresas llevan años facilitando cada vez más los
escenarios de trabajo móvil y a distancia, la pandemia mundial
obligó a muchas empresas a realizar la transición al trabajo
a distancia para gran parte de su plantilla prácticamente de la noche
a la mañana. Incluso cuando las organizaciones empiezan a llevar
a sus empleados de vuelta a la oficina, tienen que replantearse
CAPÍTULO 6 Extender el control de confianza cero fuera de la red 35
el entorno de oficina y planificar una nueva realidad, que incluya
el apoyo permanente a los modelos de trabajo remoto o híbrido
desde casa (WFH) o desde cualquier lugar (WFA).
Según el centro de investigación Pew Research Center, el 54 %
de los adultos empleados en una encuesta reciente afirman que
quieren trabajar desde casa todo o casi todo el tiempo cuando
acabe el brote de COVID-19.
Esta adopción acelerada de modelos de trabajo remotos e híbridos
ha provocado una proliferación del número de dispositivos
y ubicaciones que deben protegerse, pues la superficie de ataque
digital se ha ampliado y ahora hay más aplicaciones, dispositivos,
datos y usuarios expuestos. Es fundamental comprender y
controlar el flujo de tráfico en estos entornos tan dispersos.
El trabajo desde casa o desde cualquier lugar requiere tanto
de conectividad como de seguridad. Las aplicaciones que sus
empleados necesitan para realizar sus funciones laborales
pueden estar alojadas en un centro de datos local, en una nube
privada o en una nube pública, por lo que la identificación,
autenticación, autorización y permisos de acceso de los usuarios
son fundamentales.
En la nube pública, las aplicaciones pueden alojarse como una
oferta de software como servicio (SaaS, por sus siglas en inglés)
o pueden ejecutarse como una plataforma como servicio (PaaS,
por sus siglas en inglés) o una carga de trabajo de infraestructura
como servicio (IaaS, por sus siglas en inglés).
Para implementar el WFH/WFA de forma segura, cada vez son
más las organizaciones que recurren al acceso de confianza cero
(ZTA). El ZTA limita el acceso de usuarios y dispositivos a las
redes, lo que garantiza la identidad. El acceso a la red de confianza
cero (ZTNA) limita entonces el acceso de usuarios y dispositivos a
las aplicaciones que los usuarios necesitan para hacer su trabajo.
La combinación de ZTA y ZTNA refuerza la seguridad de la
empresa.
Desde la perspectiva del WFH/WFA, las soluciones de perímetro
de servicio de acceso seguro (SASE, por sus siglas en inglés)
proporcionan acceso seguro a empleados, clientes y socios
en todos los entornos operativos, protegiendo a cualquier usuario,
en cualquier dispositivo y en cualquier lugar de la red. Un agente
de seguridad de acceso a la nube (CASB, por sus siglas en inglés),
que es un componente clave de los SASE, se sitúa entre sus
usuarios (trabajadores remotos) y las aplicaciones en la nube
y puede utilizarse para supervisar la actividad y aplicar políticas
de seguridad.
El SASE (pronunciado “sassy”) es un servicio en la nube que
combina funciones de red y seguridad con capacidades de red
de área amplia definida por software (SD-WAN) para satisfacer
las necesidades de acceso dinámico y seguro de las organizaciones
INFORMACIÓN
TÉCNICA híbridas actuales. Conceptualmente, el SASE amplía las
capacidades de red y seguridad más allá de donde suelen estar
disponibles, lo que permite a los usuarios, independientemente
de su ubicación, beneficiarse de ZTNA, CASB, firewalls como
servicio (FWaaS, por sus siglas en inglés), puerta de enlace web
segura (SWG, por sus siglas en inglés) y diversas funciones de
detección de amenazas.
BANCO MIGRA SU PLANTILLA

A UN ENTORNO REMOTO SEGURO
Fundado en 1988, Banco Fibra es un banco mayorista que
garantiza precisión, transparencia y rapidez a las empresas
de Brasil. Su estrategia empresarial se centra en atender a
empresas medianas y grandes en los más diversos segmentos
y la agroindustria. Fibra está constituido por personas, pero
depende en gran medida de la tecnología. Esta combinación
garantiza a los clientes soluciones empresariales ágiles,
flexibles y personalizadas.
La seguridad de la información es una prioridad máxima en

el Banco Fibra. Como institución financiera y objetivo potencial
de ciberataques, la empresa siempre ha preservado
diligentemente la confianza de sus clientes protegiendo la
integridad y confidencialidad de sus datos. Esta preocupación
impulsó hace varios años el recorrido de transformación del
banco, que sería clave para posicionar estratégicamente a la
empresa en el nuevo entorno digital del mundo empresarial.
Desafíos
Banco Fibra ya era cliente de Fortinet y utilizaba las soluciones

FortiGate y FortiClient antes de la cuarentena por el COVID.
Inicialmente, el banco pretendía utilizar estas soluciones para
proporcionar seguridad a la red y a los endpoints y mejorar la
(continúa)
(continúa)
eficiencia operativa. Ahora, ante un escenario sin precedentes, se

presentaba la oportunidad de aprovechar las funcionalidades de estas
soluciones y migrar rápidamente la plantilla a un modelo remoto.
Tras la implementación inicial del nuevo modelo de teletrabajo,

fueron necesarias muchas adaptaciones para satisfacer las
demandas tecnológicas de los empleados, sobre todo para definir
los perfiles de usuario y garantizar el acceso seguro y el correcto
funcionamiento de las aplicaciones. Otro reto era hacer funcionar
su solución de softphone a través de las VPN. Garantizar el
desempeño de la solución de softphone era importante porque
se integraba con la aplicación de gestión de relaciones con los
clientes (CRM, por sus siglas en inglés) que el banco utiliza
para ofrecer servicio al cliente y supervisar su experiencia.
Soluciones
En cuestión de días, Banco Fibra desplegó las redes privadas virtuales

(VPN) necesarias utilizando las soluciones de seguridad existentes.
En menos de 10 días, Banco Fibra pudo configurar su entorno
de trabajo remoto con las políticas, reglas de acceso y autenticaciones
de usuario adecuadas, entre otras características.
Impacto empresarial
• Transición rápida de los equipos a un modelo de trabajo

a distancia, manteniendo las operaciones del banco en
funcionamiento durante la pandemia por el COVID-19.
• Mantenimiento de la alta calidad de su servicio al cliente

en un entorno de trabajo a distancia.
• Ampliación del alto nivel de seguridad de la oficina bancaria

a los domicilios de sus 350 empleados.
• Creación de las bases para intensificar la transformación

digital del banco.
En la actualidad, el banco está considerando ampliar su solución

VPN para conseguir aún más redundancia y disponibilidad. Otro
proyecto consiste en ampliar el perímetro de seguridad al centro
de datos, proporcionando aún más escalabilidad y un mejor uso
de los recursos de la nube en un formato nativamente seguro.
Mejorar el acceso a las aplicaciones
y la seguridad
En el modelo de confianza cero, el acceso a las aplicaciones se controla
por sesiones, y cada usuario y dispositivo debe verificarse, tanto si
se conecta remotamente como si lo hace desde la red corporativa.
El acceso a las aplicaciones debe asignarse a la función del individuo,

de modo que solo estén disponibles las aplicaciones necesarias para
que el usuario desempeñe las funciones de su puesto de trabajo.
Independientemente de si una aplicación se ejecuta en un centro
de datos local o en un entorno de nube, se aplica la confianza cero.
El acceso de confianza cero (ZTA), del que se habla en el Capítulo 2,

se centra en el control del acceso a la red basado en los roles (RBAC).
El acceso a la red de confianza cero (ZTNA), del que se habla en el
Capítulo 5, gestiona el acceso de los agentes a las aplicaciones.
Soluciones de seguridad y acceso a aplicaciones de confianza cero:
» Verificar usuarios y dispositivos para cada sesión

de aplicación.
» Controlar el acceso de los usuarios a las aplicaciones

en función de las políticas.
» Aplicar la política de acceso a las aplicaciones con

independencia de la ubicación del usuario.
» Crear una conexión segura y automática entre el usuario

y el punto proxy ZTNA.
» Trabajar con firewalls físicos, dispositivos virtuales

y plataformas de perímetro de servicio de acceso
seguro (SASE).
Prestación de servicios de seguridad

a endpoints, redes y la nube
Las iniciativas de transformación digital y las tendencias de
movilidad de la fuerza de trabajo (incluidos WFH/WFA) han cambiado
y ampliado la superficie de ataque de la empresa, abriendo nuevos
vectores de ataque que pueden ser explotados por los actores de
amenazas, tanto dentro como fuera de la red. Una estrategia integral
de seguridad de confianza cero debe ampliar los sólidos servicios de
seguridad de la empresa a los endpoints, las redes corporativas y las
nubes privadas y públicas.
Una de las principales razones de la creciente superficie de ataque es

la proliferación de IoT y los dispositivos inteligentes que acceden a
la red. Los equipos de seguridad a menudo carecen de visibilidad
sobre la avalancha de dispositivos que acceden a sus redes. Un
enfoque de confianza cero permite a las organizaciones identificar y
proteger los endpoints y dispositivos del IoT desconocidos que
acceden a la red. La visibilidad integrada de los endpoints, el control
granular, la protección avanzada y las funciones de evaluación de
endpoints basadas en políticas y contextos se combinan en una
solución ZTA para garantizar la protección de las organizaciones
frente a dispositivos en peligro.
Al implementar un marco de ZTNA que identifique, segmente

y supervise continuamente todos los dispositivos que se conectan
a sus redes, las organizaciones pueden sustituir sus redes planas de
alto riesgo para garantizar que los recursos internos permanezcan
seguros y que los datos, las aplicaciones y la propiedad intelectual
estén protegidos. Esta estrategia no solo reduce los riesgos asociados
a la seguridad tradicional basada en el perímetro, sino que también
aumenta la visibilidad y el control de los dispositivos fuera de la red,
al tiempo que simplifica la gestión general de la red y la seguridad.
A medida que los ataques se vuelven más sofisticados y avanzados,

el enfoque tradicional de la seguridad centrado en el perímetro ya
no es suficiente. Dependiendo de la naturaleza y la sofisticación de
la amenaza, ningún punto de la infraestructura de seguridad de una
organización tiene visibilidad de todos los aspectos de la amenaza.
El ZTA confirma la identidad de los usuarios y dispositivos que se
conectan a su red y garantiza que solo tienen el nivel mínimo de
permisos de acceso necesarios para realizar una función o trabajo.
Las organizaciones confían cada vez más en entornos híbridos

y multinube para respaldar sus cambiantes requisitos de
transformación digital. Según un informe reciente de Fortinet, el 76
% de las organizaciones encuestadas afirmaron utilizar al menos dos
proveedores de nube. Del mismo modo, el Informe sobre el Estado
de la nube 2021 de Flexera reveló que el 92 % de las empresas tienen
una estrategia multinube, el 80 % una estrategia de nube híbrida,
y los encuestados utilizan una media de 2,6 nubes públicas y 2,7
nubes privadas en sus entornos. El resultado es que las aplicaciones
pueden residir en cualquier lugar, desde las instalaciones hasta la
sucursal, el centro de datos o la nube. Y ahora que ha llegado la
era del WFH/WFA, las organizaciones se están replanteando cómo
proteger los perímetros de sus redes, tanto en las instalaciones
como en la nube.
EN ESTE CAPÍTULO
»» Evaluar la criticidad de los procesos

de negocio de sus activos
»» Comprender qué aplicaciones se usan
»» Aplicar controles de acceso basados

en los roles
»» Verificar de manera continua
Capítulo 7
Diez pasos hacia
la confianza cero
L
a implementación de una estrategia de confianza cero en su
organización es un recorrido, no un destino. En este capítulo
se ofrecen diez pasos clave para ayudarle a tener éxito en su
viaje hacia el acceso de confianza cero (ZTA).
Evaluación de sus activos y criticidad

de sus procesos comerciales
No puede proteger todos los activos y recursos de su red al mismo
nivel. Es importante priorizar sus esfuerzos determinando primero
qué activos y recursos son los más críticos para sus procesos
comerciales. Una vez que haya determinado por dónde comenzar,
puede empezar a implementar su estrategia de ZTA para proteger
primero sus recursos más críticos y sus activos más valiosos.
El carácter crítico de sus procesos empresariales (y de los sistemas

y aplicaciones de los que dependen) determinará otras decisiones
importantes, como los controles adicionales de las políticas
de seguridad, los acuerdos de nivel de servicio (SLA) y los acuerdos
de nivel operativo (OLA), así como los objetivos de tiempo
de recuperación (RTO) y los objetivos de punto de recuperación
(RPO) para la continuidad del negocio y la recuperación en caso
de desastres.
CAPÍTULO 7 Diez pasos hacia la confianza cero 41
Identificación de los usuarios/
entidades y roles de su red
Identificar a todos los usuarios y entidades de su red es fundamental
para establecer una estrategia de ZTA eficaz. Una vez establecida
la identidad, las políticas de acceso vienen determinadas por
la función del usuario en la organización. La política de acceso
de mínimo privilegio se utiliza para conceder acceso solamente
a los recursos necesarios para desempeñar un papel o trabajo
específico. El acceso a recursos adicionales solamente se concede
en función de las necesidades.
El control de acceso basado en los roles (RBAC) es un componente

crítico de la gestión de accesos. La capacidad de autenticar
y autorizar usuarios con RBAC proporciona una postura
de seguridad sólida de red que beneficia a toda la organización,
incluidos sus socios, proveedores y contratistas.
Identificación de los dispositivos

de su red
El siguiente paso en la adopción de una estrategia de confianza cero
es descubrir e identificar todos los dispositivos de su red, ya sea
el teléfono o la computadora portátil de un usuario final, un
servidor virtual, una impresora de red, un dispositivo de Internet
de las Cosas (IoT) sin cabeza o un lector de tarjetas de seguridad.
La proliferación de aplicaciones y dispositivos está ampliando el

perímetro tradicional de la red y crea miles de millones de
perímetros que deben gestionarse y protegerse. Las herramientas
de control de acceso a la red (NAC) ofrecen visibilidad de los
dispositivos de su red.
Identificación de las aplicaciones
que usa su organización
Las aplicaciones son el núcleo de las operaciones y los procesos
empresariales. Hoy en día, estas aplicaciones no solo incluyen
las que están instaladas en endpoints o servidores en su centro
de datos. El panorama de las aplicaciones consiste ahora en
ofertas de software como servicio (SaaS) y cargas de trabajo de
aplicaciones alojadas en nubes privadas y públicas.
Creación de zonas de control dentro

de su red y sus activos
La segmentación de la red se ha utilizado durante mucho tiempo
para limitar el tráfico en determinadas áreas de la red y para
proporcionar controles de seguridad adicionales dentro de la red.
Quizás el ejemplo más antiguo sea la zona desmilitarizada (DMZ)
que muchas organizaciones crean para las aplicaciones web de
cara al público entre Internet y la red corporativa.
Los firewalls de segmentación interna establecen la visibilidad

y el control dentro de la red, y proporcionan la capacidad
de escanear, proteger y bloquear el tráfico.
Aplicación de controles de acceso

basados en los roles a sus activos
Los controles de acceso basados en los roles (RBAC) se utilizan para
gestionar de manera eficaz los permisos que se conceden a grupos
de usuarios sobre un activo específico, en función de su trabajo
o rol dentro de la organización.
A menudo, las organizaciones se centran en garantizar que las

afiliaciones a los grupos se mantengan correctamente y sean
exactas. Aunque este es un aspecto importante de los RBAC,
es solo una cara de la moneda. Igual de importante es asegurarse
de que los permisos asignados a un rol no sean excesivos. El alcance
debe limitarse al recurso específico que requiere el rol y solo deben
concederse los permisos necesarios para realizar una función
dentro de ese rol (es decir, el acceso con mínimos privilegios).
Control de dónde se pueden comunicar
los dispositivos de su red
Un enfoque de seguridad de confianza cero utiliza la
microsegmentación para crear zonas de confianza granular en
torno a recursos individuales, lo que ayuda a aplicar el principio
de acceso con mínimos privilegios. A los usuarios y entidades solo
se les concede acceso a los recursos necesarios para desempeñar
una función o trabajo específicos. La microsegmentación impide
que los usuarios (y los atacantes) se muevan libremente por la red.
La microsegmentación añade un elemento dinámico basado en

políticas a la segmentación del tráfico, lo que permite un control
mucho más granular que la segmentación de red normal.
INFORMACIÓN
TÉCNICA
Ampliación del control

de los dispositivos cuando los
empleados están fuera de la red
La mayor movilidad en el lugar de trabajo y el mayor énfasis en el
trabajo remoto (incluido el trabajo desde casa [WFH] y el trabajo
desde cualquier lugar [WFA]) ha provocado un mayor interés en
la seguridad de los endpoints, incluida la visibilidad, el control, la
exploración, la aplicación de parches y el filtrado web fuera de la
red.
Con una estrategia de confianza cero, las organizaciones pueden

afrontar el reto de proteger los dispositivos fuera de la red
mejorando la visibilidad de los endpoints. El escaneado de
vulnerabilidades, las políticas de parcheado sólidas y el filtrado
web son elementos fundamentales de una estrategia de confianza
cero. Además, un enfoque de confianza cero puede permitir el
acceso remoto seguro a los recursos en red. Esto permite a los
equipos de seguridad ver, controlar y proteger todos los activos,
tanto dentro como fuera de la red. Más allá de la VPN, ZTNA
amplía el acceso a la red ZTA tradicional al uso por aplicación, de
modo que los administradores no solo saben quién está en la red,
sino incluso qué aplicaciones están utilizando en ese momento,
con transacciones y uso constantemente supervisados e
inspeccionados.
Aplicación del control de acceso
a las aplicaciones
Una estrategia de ZTA eficaz aborda tanto la conexión a la red como
el acceso a las aplicaciones basándose en el supuesto subyacente
de que ningún usuario o dispositivo es intrínsecamente fiable. No
se concede confianza para ninguna transacción sin antes verificar
que el usuario y el dispositivo estén autorizados a tener acceso.
Verificación y autenticación continuas

de usuarios y dispositivos
La ZTA requiere la autenticación, verificación y supervisión
continuas de los usuarios y dispositivos conectados a la red. Iniciar
sesión con éxito en la red no le otorga a un usuario o dispositivo
acceso ilimitado a los recursos de su red. Puede ser necesaria una
autenticación adicional para acceder a determinados recursos
sensibles en zonas restringidas, y también debe limitarse la
duración de las sesiones de usuario. Esto garantiza que las sesiones
no puedan ser vulneradas y que puedan aplicarse los controles
adecuados si, por ejemplo, el estado del dispositivo cambia
durante la sesión y su postura de riesgo se vuelve inaceptable.
WILEY END USER LICENSE AGREEMENT
Go to www.wiley.com/go/eula to access Wiley’s ebook EULA.

ZTA For Dummies - ES

Cargado por

Información del documentohacer clic para expandir la información del documentoConfiguración de acceso cero confianza a redes

Información del documentohacer clic para expandir la información del documento

Copyright:

Formatos disponibles

ZTA For Dummies - ES

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ZTA For Dummies - ES

Cargado por

Copyright:

Formatos disponibles

Estos materiales están protegidos por los derechos de autor de © 2023 John Wiley & Sons, Inc.

Queda estrictamente prohibida toda

por Lawrence Miller

RESPONSABILIDAD LIMITADA/DESCARGO DE GARANTÍA: AUNQUE EL EDITOR Y LOS AUTORES HAN

ISBN 978-1-394-21055-8 (pbk); ISBN 978-1-394-21056-5 (ebk)

Agradecimientos del editor

Gerente del proyecto: Jen Bingham Director editorial: Rev Mengle

Editora de adquisiciones: Ashley Coffey Especialista de ajuste del contenido:

Para proteger esta superficie de ataque tan ampliada frente a las

Para implementar correctamente una estrategia de acceso de

Si alguno de estos supuestos lo describe, ¡este libro es ideal para

Los casos de estudio ofrecen las mejores prácticas de organizaciones

Este ícono señala información importante que debería guardar en

Este ícono explica la jerga que hay detrás de la jerga, y es la

Los consejos se agradecen, pero nunca se esperan. Apreciará estos

Más allá de este libro

2 ZTA for Dummies, edición especial de Fortinet

»» Reconocer las amenazas modernas

»» Ir más allá del control de acceso

»» Definir conceptos de confianza cero

»» Aprovechar las ventajas

Estudio del panorama

CAPÍTULO 1 Comprender la necesidad del modelo de confianza cero 3

IDC prevé que en 2025 habrá 55 700 millones de dispositivos

Los modelos de seguridad tradicionales parten del supuesto

Según el Informe sobre investigaciones de filtraciones de datos

A medida que las empresas modernizan sus redes para adaptarse

Reconocer las limitaciones

4 ZTA for Dummies, edición especial de Fortinet

» Verificación continua de usuarios y dispositivos.

» Segmentación granular de la red para crear zonas

» Acceso con privilegios mínimos para usuarios y

Las redes actuales tienen perímetros extensos, dinámicos y,

Para ser justos, el modelo centrado en el perímetro no es tan simple

CAPÍTULO 1 Comprender la necesidad del modelo de confianza cero 5

El modelo de confianza cero aleja la seguridad de la confianza

La confianza cero comienza con una postura de negación

Sin embargo, el acceso no es cuestión de una sola vez. El hecho de

El acceso de confianza cero (ZTA, por sus siglas en inglés) se basa

6 ZTA for Dummies, edición especial de Fortinet

El acceso a la red de confianza cero (ZTNA, por sus siglas en

El ZTNA es la evolución natural de la VPN. Dada la complejidad de

Ventajas de la confianza cero

La confianza cero ofrece las siguientes ventajas a las organizaciones:

» Reduce el riesgo: cuando extiende automáticamente

CAPÍTULO 1 Comprender la necesidad del modelo de confianza cero 7

» Aumenta la visibilidad: sabes en todo momento quién

» Amplía la seguridad: la seguridad se puede extender

8 ZTA for Dummies, edición especial de Fortinet

»» Confiar a sus usuarios una

»» Usar el control de acceso basado

»» Proteger el acceso privilegiado

Saber quién se conecta a su red

CAPÍTULO 2 Establecer la IAM como base para la confianza cero 9

La autenticación sólida, o autenticación multifactor (MFA, por sus

» Algo que sepa (por ejemplo, un nombre de usuario

» Algo que tenga (por ejemplo, un token de hardware