La forma en que yo describiría la lógica central de la seguridad de la red es un exterior crujiente y un medio suave.
El perímetro era la defensa. Todo lo que había dentro era confiable de forma predeterminada, no porque alguien haya tomado esa decisión explícitamente, sino porque el modelo no los necesitaba. Mientras el exterior sea duro, el interior será blando.
Ese argumento se mantiene hasta que lo hace.
Vicepresidente sénior de Negocios Internacionales en FireMon.
Los entornos de nube, el acceso remoto, la integración de socios y la enorme proliferación de infraestructuras de TI modernas han disuelto el perímetro como una frontera significativa. La confianza cero fue una respuesta, lo que generó la necesidad de validar siempre que el acceso se defina por identidad y contexto en lugar de por su ubicación en la red.
El principio es sólido. El problema es que política e implementación no son lo mismo. La mayoría de las implementaciones de confianza cero funcionan igual de bien en un entorno controlado. En la producción, en el mundo real, se encuentran con algo para lo que el laboratorio no los preparó: la complejidad acumulada de lo que vino antes.
El instinto, mientras la implementación se estanca, es buscar una mejor visibilidad: más paneles, más monitoreo de la red, una imagen más clara de lo que sucede en el entorno. Ese instinto no está mal. Pero la visibilidad por sí sola no mejora la seguridad. Sólo te da conciencia del problema. Y sin acción, la conciencia no cambia nada.
Complicaciones que nadie planeó
Piense en cómo es realmente un entorno de seguridad de red empresarial. Empezaste con un firewall. Lo entiendes: puedes tener la imagen completa en tu cabeza; Sabía qué acceso se necesitaba y era fácil tomar decisiones inteligentes y razonadas en ese sentido. Luego agregaste otra capa. y otro. Pero cada vez que agregabas una capa, la complejidad no aumentaba linealmente. Ha crecido rápidamente.
Ahora tiene cientos de firewalls, cada uno con miles de reglas, cada regla con múltiples orígenes y destinos. Llega al punto, y rápidamente, en el que gestiona miles de millones de rutas de acceso, más de las que nadie puede imaginar.
Hacerlo manejable significa reconocer lo que hay por encima de él: la política. Cada tecnología en la pila de seguridad, desde listas de control de acceso tempranas hasta firewalls de próxima generación y arquitecturas de confianza cero, hace una cosa. Aplica la política que usted defina. Plano de control de políticas. No importa cuán sofisticada se vuelva la tecnología de aplicación de la ley; Si la política es débil, la seguridad es débil.
Y en un entorno de esta complejidad, mantener una política coherente en todos los centros de datos, cargas de trabajo en la nube, infraestructura heredada e integración de socios es un desafío del que depende todo lo demás.
Lo que ya está frente a ti
Vaya a casi cualquier organización y realice una evaluación honesta de su postura de seguridad de la red. Lo que se descubre, de forma fiable, es que el panorama es peor de lo esperado. No porque los ingenieros no sean capaces: lo son y trabajan duro bajo presión real. Pero están preparados para fracasar, porque han heredado complejidades que, para empezar, nunca fueron comprendidas del todo.
Hay reglas que existen desde hace años, incluso décadas, y nadie sabe por qué. Nadie quiere tocarlos, porque si haces algo y algo se rompe, es tuyo. Por eso insisten. El entorno político aumenta. Las brechas y contradicciones se acumulan de manera invisible.
Éste es un problema político superficial. Así como la superficie de ataque se expande con cada nuevo dispositivo y carga de trabajo, la superficie de políticas se expande con cada nueva regla, cada excepción, cada autorización de acceso temporal que se vuelve permanente.
Si no se controla, deja de reflejar una intención deliberada y comienza a reflejar la historia acumulada. Y, lo que es más importante, la superficie de esta política abarca todos los entornos en los que opera la organización (firewalls, controles de la nube, límites de microsegmentación), cada uno de los cuales impone su propia versión de acceso, sin una visión única y coherente de todos ellos.
A un usuario se le niega la capa de red y se le autoriza a través de la capa de aplicación. El acceso autorizado para un fin habilita otro. Los controles son inconsistentes porque la gobernanza no está unificada y las inconsistencias son donde reside la exposición.
Limitación de la confianza cero
Zero Trust no resuelve esto. De hecho, a menudo crea nuevos desafíos de gestión además de los existentes, precisamente porque no se está implementando en un entorno limpio.
Y el medio ambiente es cada vez más difícil de controlar. La superficie de la política se expande con cada nueva identidad que se le agrega: un nuevo empleado, un nuevo contratista, un socio al que se le otorga acceso a un sistema. Cada uno representa una decisión sobre qué acceso es apropiado, cómo son los permisos mínimos requeridos y cómo se revisa y verifica ese acceso a lo largo del tiempo. Esa disciplina es bastante difícil de mantener a nivel humano. Luego vinieron los sistemas que funcionaban de forma autónoma.
La IA agente (sistemas que actúan en nombre de los usuarios, toman decisiones e interactúan con sistemas distintos de la persona en el circuito) introduce una nueva categoría de gestión de identidades en un entorno de acceso ya complejo.
Los agentes tienen identidades. Necesitan acceso para realizar sus funciones. Interactúan con otros agentes, realizan llamadas API, atraviesan infraestructura y lo hacen todo a una velocidad y un volumen que ningún proceso de supervisión manual puede igualar. Más identidades, más rutas de acceso, más necesidad de validación continua, se acumulan más rápido de lo que la mayoría de los procesos de gobernanza fueron diseñados para manejar.
El alcance de una mala decisión de acceso a una oportunidad está determinado por las políticas que la rodean. El hecho de que un agente no tenga una razón legítima para tocar el sistema o los datos a los que llega (registros de clientes, datos financieros, tecnología operativa) no cambia esa política. Se agudiza. Si esas políticas de control de acceso son consistentes, actuales y continuamente válidas, entonces el radio es limitado.
Si son producto de derivas y excepciones no controladas, se desconoce el radio. La IA agente introduce nuevos riesgos. ¿Está su entorno político lo suficientemente bien gestionado como para contenerlo?
Gobernanza desde la conciencia
Entonces, ¿qué significa trabajar en la visibilidad, en lugar de simplemente tener visibilidad por sí misma? Comienza con un relato honesto de lo que existe actualmente: qué reglas existen, qué permiten, qué es innecesario, qué se contradice entre sí, qué nunca se ha revisado.
Ese proceso de limpieza es maravilloso, pero también inevitable. No se puede gestionar un entorno político que no se comprende, y la mayoría de las organizaciones, si son honestas consigo mismas, no las comprenden del todo. Ciertamente no tienen una visión unificada de los controles de firewall, nube y microsegmentación simultáneamente.
A partir de ahí, el desafío se vuelve operativo: cada día surgen nuevas solicitudes de acceso, que deben ser gestionadas por un equipo de seguridad que ya está al límite. La presión para decir sí rápidamente, no para frenar los negocios, es real, y así es exactamente como se aceleran los flujos de políticas.
La disciplina que se resiste a esto no es reactiva. Es una práctica verificar la intención antes de implementar cambios: garantizar que cada nueva solicitud de acceso se evalúe con respecto a políticas definidas, que lo que se proporciona refleje una decisión deliberada en lugar de una decisión conveniente, y que el efecto acumulativo de los cambios individuales no destruya la coherencia del entorno de acceso más amplio.
La gestión de políticas de seguridad de red proporciona la capa de gobernanza necesaria para definir, verificar y mantener objetivos de políticas en firewalls, nube y controles de microsegmentación. Esto es lo que permite a las organizaciones pasar de la visibilidad a la seguridad operativa comprobable: la capacidad de decir con confianza que cada política refleja una decisión intencional y, cuando se introduce algo nuevo, el acceso se define por intención en lugar de heredarse de forma predeterminada.
El principio nunca desaparecerá.
Las tecnologías subyacentes seguirán evolucionando. Los firewalls han pasado de listas de control de acceso a inspecciones de estado y arquitecturas de próxima generación con reconocimiento de aplicaciones. El Marco de Confianza Cero se encuentra por encima de todo esto: un conjunto de principios que esas tecnologías deben hacer cumplir.
Y ese es precisamente el punto: por muy sofisticada que sea la tecnología de la aplicación, sigue haciendo una cosa. Aplica la política que usted defina. Plano de control de políticas. Si la política es débil, la seguridad es débil. La estructura no cambia esa ecuación. Ni tecnología.
Lo que está cambiando es si las organizaciones tratan las políticas como una disciplina viva (algo que debe mantenerse, validarse y alinearse continuamente con la verdadera intención) o como un artefacto de decisiones pasadas que no hay tiempo ni confianza para revisar. Y para hacer realidad la verdadera promesa de Zero Trust, estas preguntas deben responderse con honestidad.
La visibilidad es donde todo comienza. La gobernanza es lo que la hace importante.
Contamos con el mejor Cloud Firewall (WAF)..
Este artículo fue producido en parte Perspectiva profesional de TechRadarNuestro canal para mostrar las mejores y más brillantes mentes de la industria tecnológica actual.
Las opiniones expresadas aquí son las del autor y no necesariamente las de TechRadarPro o Future plc. Si está interesado en contribuir, obtenga más información aquí:
