En las agencias federales de EE.UU. ha llegado el momento del Zero Trust

El desafío cada vez mayor de proteger datos críticos, especialmente en una era de entornos de trabajo móviles y basados en la nube, ha llevado a un número cada vez mayor de agencias federales hacia un modelo de seguridad de Confianza Cero que aborde mejor sus necesidades en este mundo digitalmente robusto.

Según una encuesta reciente , casi la mitad de los ejecutivos de TI del gobierno federal informaron que sus agencias están cambiando hacia estrategias de seguridad centradas en la identidad, o Confianza Cero, para proteger sus recursos digitales. El estudio, elaborado por FedScoop y financiado por Duo Security, descubrió que las agencias federales se están alejando de las tácticas tradicionales de defensa del perímetro de la red y se están volviendo más abiertas a un entorno de datos sin perímetro que utiliza herramientas de identidad y autenticación como medio principal de acceso.

Nada es más revelador del impulso acelerado de Zero Trust y su posterior adopción que la reciente Orden Ejecutiva de Ciberseguridad que resalta su criticidad, especialmente con la reciente publicación por parte de la Casa Blanca de una versión final de su estrategia de arquitectura de Zero Trust, con la intención de mejorar en gran medida la ciberseguridad de los sistemas de las agencias gubernamentales en los próximos años. Este cambio ha coincidido con un aumento drástico de los entornos multicloud y de los trabajadores remotos, dos componentes de un entorno de trabajo moderno que el modelo Zero Trust aborda muy bien.

El uso acelerado del modelo Zero Trust, tanto en agencias federales como en el mundo empresarial en general, coincide con la creciente comprensión de que los métodos tradicionales para proteger el perímetro de una red ya no son suficientes. Debido a que ya no existe una red confiable dentro de un perímetro definido, el enfoque “Confiar, pero verificar” se ha vuelto obsoleto. En cambio, los equipos de seguridad federales deberán adherirse a tres principios más efectivos:

• Nunca confíes, excepto cuando los usuarios y los puntos finales realmente se ganen esa confianza.
  
  
• Verificar siempre: una guía que se aplica al contexto, la aplicação, el análisis del comportamiento de la ubicación y otros componentes que son necesarios para derivar un enfoque basado en el riesgo apropiado para la actividad del punto final.
  
  
• Monitorear continuamente, teniendo en cuenta que no es suficiente autenticarse solo una vez y asumir que el riesgo será bajo de ahí en adelante. Sólo la autenticación continua garantizará una seguridad permanente.

Recientemente, F5 ha sido nombrado como uno de los 18 proveedores que colaborarán con el NCCoE del NIST en el Proyecto de Implementación de una Arquitectura de Confianza Cero para desarrollar enfoques prácticos e interoperables para el diseño y la construcción de Arquitecturas de Confianza Cero. Nuestra profunda experiencia trabajando con las principales organizaciones federales en las primeras líneas de la adopción de Zero Trust ayuda a abordar estos temas importantes. La amplia cartera de seguridad de aplicação de F5 abarca cuatro puntos de control clave dentro de una arquitectura de Confianza Cero, como se describe a continuación:

Puntos finales: Acceso confiable a aplicaciones

F5 Labs informó que las violaciones relacionadas con el acceso en 2020 representaron la mayor proporción de las causas de violaciones conocidas, con un 34%. Una solución de acceso a aplicação confiable es vital en una era en la que las violaciones relacionadas con el acceso están en aumento.

F5 BIG-IP Access Policy Manager (APM) proporciona autenticación moderna para todas las aplicaciones, simplificando y centralizando el acceso a aplicaciones, API y datos independientemente de dónde se encuentren los usuarios y sus aplicaciones. Ya sea que la aplicación esté ubicada localmente o en la nube, el resultado es una mejor experiencia de usuario con SSO y una experiencia de usuario común en un entorno más seguro utilizando la arquitectura Zero Trust.

Con Identity Aware Proxy (IAP), APM implementa una validación del modelo Zero Trust que protege cada solicitud de acceso a la aplicación. En las agencias federales, el proceso para autenticar usuarios privilegiados comienza con APM mostrando un logotipo de EE. UU. Banner de advertencia del gobierno para el usuario, que requiere aceptación antes de continuar con la autenticación. APM también solicita credenciales seguras al usuario mediante varias opciones diferentes, como compararlas con una Lista de revocación de certificados o un servidor de Protocolo de estado de certificados en línea para garantizar que las credenciales no se hayan revocado.

Una vez que al usuario privilegiado se le permite acceder al sistema, APM consultará atributos adicionales para determinar a qué recursos puede acceder el usuario. También hay varias funciones avanzadas para garantizar la integridad del cliente, como verificar que el cliente esté usando equipo proporcionado por el gobierno (GFE), que cumpla con el sistema de seguridad basado en host (HBSS) y/o que esté ejecutando un sistema operativo compatible.

Infraestructura de red: SEGURIDAD DE APLICACIONES

Se necesita infraestructura de red para garantizar que las aplicaciones sean seguras y estén disponibles para lograr Confianza Cero. Una investigación de F5 Labs revela que casi el 90% de las cargas de páginas están cifradas con SSL/TLS, lo que significa que el cifrado se ha convertido en la norma en estos días. Sin embargo, las amenazas cifradas persisten. De hecho, es común que los atacantes utilicen el cifrado para ocultar cargas maliciosas y eludir los controles de seguridad.

Considere una solución de visibilidad SSL para eliminar amenazas al proporcionar un cifrado/descifrado robusto del tráfico SSL/TLS entrante y saliente con control de cifrado centralizado. Esta solución debe proporcionar una orquestación basada en políticas para eliminar puntos ciegos y proporcionar una orquestación basada en políticas que permita una visibilidad rentable en toda la cadena de seguridad para cualquier topología de la red, dispositivo o aplicação.

Aplicações: Seguridad de la capa de aplicação para la protección de la agencia

Nuestra investigación de F5 Labs revela que las organizaciones, en promedio, implementan 765 aplicaciones. Dado que los ciberatacantes tienen tantos objetivos potenciales, las agencias deberán permanecer alertas para proteger estas aplicaciones como parte de su estrategia de Confianza Cero.

Sus soluciones de seguridad de capa de aplicación (ya sea que las aplicaciones estén en la nube, en las instalaciones, basadas en SaaS o totalmente administradas) deben brindar seguridad en la aplicação o cerca de ella y proteger la pila de aplicação en una arquitectura de Confianza Cero.

Sus soluciones WAF federales también deben proteger contra ataques DoS de capa 7 con análisis de comportamiento que monitoreen continuamente el estado de las aplicaciones. Otras capacidades deberían incluir protección de credenciales para evitar el acceso no autorizado a las cuentas de usuario y proteger las aplicaciones contra ataques API.

Servicio de identidad: ASOCIACIONES

Considere implementar una solución de un proveedor con asociaciones profundas establecidas con organizaciones como Microsoft , Okta y Ping . Al integrar soluciones confiables de acceso a aplicaciones con estos proveedores de identidad como servicio (IDaaS), usted cierra la brecha de identidad entre las aplicações basadas en la nube, SaaS, críticas para la misión y personalizadas para ofrecer una experiencia de acceso unificada y segura para los usuarios.

Las agencias federales también necesitan desarrollar alianzas sólidas para garantizar una implementación exitosa del modelo Confianza Cero. Le invitamos a ponerse en contacto con nosotros para obtener la experiencia y las soluciones que necesita. Nuestro objetivo es ayudarlo a migrar a Zero Trust de la manera más fluida posible para que pueda comenzar a cosechar los beneficios para el mejoramiento de su agencia.

Bill Church
Director de Tecnología – F5 US Federal Solutions

(Una versión anterior de este contenido se publicó a finales de 2020. (Actualizado a principios de 2022).