Pilares tecnológicos de la Confianza cero, parte 2
En esta unidad, analizaremos los objetivos de implementación restantes de Confianza cero.
Protección de datos con Confianza cero
Los tres elementos principales de una estrategia de protección de datos son:
- Conocer los datos : si no sabe qué datos confidenciales tiene en el entorno local y en los servicios en la nube, no puede protegerlo adecuadamente. Debe detectar datos en toda la organización y clasificar todos los datos por nivel de confidencialidad.
- Proteger tus datos y prevenir la pérdida de datos - Es necesario proteger los datos confidenciales mediante políticas de protección de datos que etiqueten y cifren datos o para evitar el exceso de intercambio de datos. Esto garantiza que solo los usuarios autorizados puedan acceder a los datos, incluso si estos salen fuera del entorno corporativo.
- Supervisión y corrección : debe supervisar continuamente los datos confidenciales para detectar infracciones de directivas y comportamientos de usuario de riesgo. Esto le permite tomar las medidas adecuadas, como revocar el acceso, bloquear a los usuarios y ajustar las directivas de protección.
Objetivos de implementación de Confianza cero para la protección de datos
Una estrategia de protección de la información debe abarcar todo el contenido digital de la organización. Como base de referencia, debe definir etiquetas, detectar datos confidenciales y supervisar el uso de etiquetas y acciones en todo el entorno. Al final de esta guía se describe el uso de las etiquetas de confidencialidad.
Al implementar un marco de confianza cero de un extremo a otro para los datos, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Las decisiones de acceso se rigen por el cifrado.
II. Los datos se clasifican y etiquetan automáticamente.
Una vez completados estos pasos, céntrese en estos objetivos de implementación adicionales:
III. La clasificación se refuerza con modelos inteligentes de Machine Learning.
IV. Las decisiones de acceso se rigen por un motor de directivas de seguridad en la nube.
V. Evite la pérdida de datos mediante directivas de DLP basadas en una etiqueta de confidencialidad y la inspección del contenido.
Protección de puntos de conexión con Confianza cero
Confianza cero se adhiere al principio" "Nunca confíe, compruebe siempre". En términos de puntos de conexión, esto significa comprobar siempre todos los puntos de conexión. Esto incluye no solo dispositivos contratistas, asociados y invitados, sino también aplicaciones y dispositivos usados por los empleados para acceder a los datos de trabajo, independientemente de la propiedad del dispositivo.
En un enfoque con Confianza cero, se aplican las mismas directivas de seguridad independientemente de si el dispositivo es propiedad corporativa o personal mediante Bring Your Own Device (BYOD), tanto si el dispositivo está totalmente administrado por TI como si solo se protegen las aplicaciones y los datos. Las directivas se aplican a todos los puntos de conexión, ya sean PC, Mac, smartphone, tablet, portable o dispositivo IoT dondequiera que estén conectados, ya sea la red corporativa segura, la banda ancha doméstica o la red pública de Internet.
Objetivos de implementación de Confianza cero para protección de puntos de conexión
Al implementar un marco de confianza cero de un extremo a otro para proteger los puntos de conexión, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Los puntos de conexión se registran con proveedores de identidades en la nube. Para supervisar la seguridad y el riesgo en varios puntos de conexión usados por cualquier persona, necesita visibilidad en todos los dispositivos y puntos de acceso que puedan acceder a los recursos.
II. El acceso solo se concede a aplicaciones y puntos de conexión administrados en la nube y compatibles. Establezca reglas de cumplimiento para asegurarse de que los dispositivos cumplen los requisitos mínimos de seguridad antes de conceder el acceso. Además, establezca reglas de corrección para los dispositivos no conformes de modo que los usuarios sepan cómo resolver el problema.
III. Las directivas de prevención de pérdida de datos (DLP) se aplican para los dispositivos corporativos y de tipo BYOD. Controle lo que el usuario puede hacer con los datos después de acceder a ellos. Por ejemplo, impida que los archivos se puedan guardar en ubicaciones que no sean de confianza (como un disco local) o que se puedan compartir datos mediante la función copiar y pegar en una aplicación de comunicación de consumidores o una aplicación de chat, a fin de proteger los datos.
Una vez completados estos pasos, céntrese en estos objetivos de implementación adicionales:
IV. La detección de amenazas de puntos de conexión se usa para supervisar el riesgo de los dispositivos. Use un único panel con transparencia en ventanas para administrar todos los puntos de conexión de manera coherente, y use un SIEM para enrutar los registros y las transacciones de los puntos de conexión de forma que se reciban menos alertas, pero que estas sean prácticas.
V. El control de acceso se regula en base al riesgo del punto de conexión para los dispositivos corporativos y BYOD. Integre los datos de Microsoft Defender para punto de conexión u otros proveedores de defensa contra amenazas móviles (MTD) como origen de información para las directivas de cumplimiento de los dispositivos y las reglas de acceso condicional de los dispositivos. El riesgo del dispositivo influirá directamente en los recursos a los que el usuario de ese dispositivo podrá acceder.
Protección de la infraestructura con Confianza cero
Azure Blueprints, Azure Policy, Microsoft Defender for Cloud, Microsoft Sentinel y Azure Sphere pueden contribuir en gran medida a mejorar la seguridad de la infraestructura implementada y habilitar un enfoque diferente para definir, diseñar, aprovisionar, implementar y supervisar la infraestructura.
Objetivos de la implementación de Confianza cero en la infraestructura
Al implementar un marco de confianza cero de un extremo a otro para administrar y supervisar la infraestructura, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Las cargas de trabajo se supervisan y se alerta sobre cualquier comportamiento anómalo.
II. A cada carga de trabajo se le asigna una identidad de aplicación, y se configura e implementa de forma coherente.
III. Para acceder a los recursos, las personas necesitan acceso Just-In-Time.
Una vez completados estos pasos, céntrese en estos objetivos de implementación adicionales:
IV. Las implementaciones no autorizadas se bloquean y se desencadena una alerta.
V. La visibilidad granular y el control de acceso están disponibles en todas las cargas de trabajo.
VI. Acceso de usuarios y recursos segmentado para cada carga de trabajo.
Protección de redes con Confianza cero
En lugar de creer que todo lo que hay detrás del firewall corporativo es seguro, una estrategia integral de Confianza cero asume que las vulneraciones son inevitables. Esto significa que debe comprobar cada solicitud como si se origina en una red no controlada; la administración de identidades desempeña un papel fundamental en esto.
Objetivos de la implementación de Confianza cero para redes
Al implementar un marco de confianza cero de un extremo a otro para proteger las redes, se recomienda centrarse primero en estos objetivos de implementación iniciales:
I. Segmentación de red: muchos microperímetros de nube de entrada o salida con alguna microsegmentación.
II. Protección contra amenazas: filtrado nativo en la nube y protección para amenazas conocidas.
III. Cifrado: se cifra el tráfico interno de usuario a aplicación.
Una vez completados estos pasos, céntrese en estos objetivos de implementación adicionales:
IV. Segmentación de red: microperímetros de nube de entrada o salida totalmente distribuidos y microsegmentación más profunda.
V. Protección contra amenazas: protección contra amenazas basada en aprendizaje automático y filtrado con señales basadas en contexto.
VI. Cifrado: todo el tráfico está cifrado.