Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Este artículo ofrece una visión general de marcos de Confianza cero bien conocidos y muestra cómo el modelo de adopción de Confianza cero de Microsoft te ayuda a pasar de comprender estos marcos a adoptarlos a escala.
Confianza cero no es un solo marco. Es un modelo de seguridad que se alinea con varios estándares gubernamentales y del sector. Estos estándares no son soluciones de competencia. Cada uno aborda un aspecto diferente de Confianza cero, como definir conceptos básicos, evaluar el progreso o coordinar la adopción en una organización.
Aunque los marcos del sector ayudan a definir qué Confianza cero deben lograr, las organizaciones siguen necesitando una manera de traducir esa guía en una estrategia y arquitectura específicas para la planificación, el diseño y la implementación de soluciones.
El modelo de adopción Confianza cero de Microsoft hace exactamente eso. Proporciona una estrategia y una arquitectura de referencia, alineadas con marcos de referencia del sector y basadas en ellos, para acelerar la adopción e implementación de Confianza cero.
Tip
Microsoft ofrece una amplia gama de talleres de adopción de la seguridad: los talleres del Marco de adopción de seguridad (SAF). Nuestra guía de modelo de adopción estructurada se alinea con las instrucciones dirigidas por expertos de Microsoft Unified entregadas en esos talleres. Obtenga más información sobre los talleres de SAF.
NIST Confianza cero
National Institute of Standards and Technology (NIST) Publicación especial (SP) 800‑207 Arquitectura de confianza cero establece una definición de la arquitectura de confianza cero reconocida por el sector. Explica qué es Confianza cero y cómo se toman decisiones de confianza, independientemente de cualquier proveedor, producto o hoja de ruta de implementación específicos.
NIST SP 800-207 es más útil cuando las organizaciones necesitan una definición común y autoritativa de los conceptos de Confianza cero que se pueden compartir entre los equipos de seguridad, TI y arquitectura.
Características de NIST
NIST coloca explícitamente Confianza cero como una arquitectura en la que nunca se confía implícitamente el acceso a los recursos.
Los principios de Confianza cero de NIST incluyen:
- Partir de la premisa de un compromiso (brecha) para impulsar un enfoque de seguridad integral y práctico.
- Comprobar la confianza explícitamente antes de conceder acceso a los recursos.
- Limitar el radio de explosión concediéndole el privilegio mínimo necesario.
Los conceptos clave de la arquitectura se centran en:
- Evaluación dinámica continua de solicitudes de acceso mediante señales contextuales.
- Lógica centralizada de toma de decisiones sobre políticas que evalúa las señales en función de la política de la organización.
- La funcionalidad de aplicación de directivas ubicada cerca de los recursos protegidos aplica la decisión.
La arquitectura conceptual de Confianza cero definida por el NIST se centra en cómo se evalúan y aplican las decisiones de acceso mediante motores de políticas, puntos de aplicación y señales contextuales.
Tenga en cuenta que:
- NIST SP 800-270 no define pilares tecnológicos ni dominios de seguridad como identidad, puntos de conexión o protección de datos.
- La identidad, la posición del dispositivo, las aplicaciones y los datos se modelan como temas, recursos y orígenes de contexto que informan a las decisiones de confianza, en lugar de como dominios de arquitectura independientes.
El modelo de adopción de seguridad de Microsoft se basa en esta arquitectura, aplicando sus principios y componentes dentro de un marco operativo.
Aunque NIST define cómo se toman y aplican las decisiones de confianza, nuestro modelo de adopción organiza estas funcionalidades en materias de seguridad y pilares tecnológicos para guiar la planificación empresarial, la propiedad, el diseño de soluciones, la implementación y el seguimiento de progreso.
Implementation
La guía de implementación se proporciona en NIST SP 1800-35 Implementación de una arquitectura de Confianza cero.
Para obtener esta guía de implementación:
- NIST colaboró con 24 proveedores, incluidos Microsoft, en el desarrollo de una guía con pasos prácticos para las organizaciones que desean implementar diseños de referencia de ciberseguridad para Confianza cero.
- Microsoft participaron como uno de los proveedores que proporcionan tecnología para implementar funcionalidades de Confianza cero en:
- Administración de identidades y acceso.
- Administración y configuración de puntos de conexión.
- Protección y supervisión de amenazas.
- Proteger el acceso a los recursos distribuidos.
Este diagrama es el resultado de la colaboración NIST SP 1800-35. Se puede descargar desde Arquitectura de referencia de ciberseguridad de Microsoft (MCRA). Más información sobre MCRA
Modelo de madurez de CISA Confianza cero
El Modelo de Madurez de Confianza Cero de la Cybersecurity and Infrastructure Security Agency (CISA) se organiza en torno a la adopción y la evaluación. Este modelo de madurez ayuda a las organizaciones a organizar y evaluar su posición actual, priorizar las mejoras y realizar un seguimiento del progreso.
Características de CISA
A diferencia de NIST, CISA no define una arquitectura de referencia y, en su lugar, evalúa las funcionalidades independientemente de patrones de diseño específicos.
- El modelo usa dominios basados en pilar, como identidad, dispositivos, redes,entorno, aplicaciones y cargas de trabajo y datos.
- También define tres funcionalidades transversales: visibilidad y análisis, automatización y orquestación y gobernanza.
- Y captura cuatro fases de madurez: Tradicional, Inicial, Avanzada y Óptima.
- La gobernanza tampoco se trata como un pilar independiente, sino como una funcionalidad transversal que garantiza la alineación empresarial, la propiedad clara y los resultados medibles en todos los dominios.
Implementation
El modelo se ajusta al modelo de adopción de seguridad de Microsoft y lo fundamenta, mientras que Microsoft lo amplía aún más al introducir disciplinas como Arquitectura para tender un puente entre marcos conceptuales como NIST SP 800‑207 y la implementación práctica.
| CISA | Disciplina de adopción/pilar | Detalles |
|---|---|---|
|
Identity La identidad abarca la autenticación, la autorización, el riesgo de identidad, el ciclo de vida. Las aplicaciones y las cargas de trabajo cubren los controles de acceso a las aplicaciones, la identidad de la carga de trabajo y la interacción segura de la aplicación. |
Disciplina: Identidad y acceso Tecnología: identidad |
El control de acceso en Microsoft abarca las capas de identidad y aplicación, mientras que CISA las separa. |
|
Gobernanza Directivas, controles y cumplimiento de toda la empresa. |
Disciplina: Estrategia, Integración, Gobernanza Arquitectura de seguridad Tecnología: Todo. |
Las funcionalidades de directiva y control de CISA se asignan directamente a los resultados de SecOps. Microsoft agrega especial atención a otros aspectos de la gobernanza (alineación empresarial, administración de riesgos, roles, etc.) y se centra en la materia arquitectónica y las arquitecturas de referencia. |
|
Dispositivos Inventario de dispositivos, postura, cumplimiento; segmentación de red, conectividad segura, controles de entorno. Incluir dispositivos no tradicionales, restringidos y especializados. |
Disciplina: Identidad y gestión de accesos, seguridad de la infraestructura, seguridad de OT y de IoT Tecnología: puntos de conexión |
La confianza en la infraestructura se establece a través del estado del dispositivo y la conectividad controlada, en consonancia con el objetivo de Confianza cero minimizar el radio de explosión y el movimiento lateral. Microsoft considera que los dispositivos OT/IoT son una materia distinta debido a la propiedad única y a los motivos de administración de riesgos. |
|
Aplicaciones y cargas de trabajo Aplicaciones y cargas de trabajo cubren los controles de acceso a las aplicaciones, la identidad de la carga de trabajo y la interacción segura de la aplicación. |
Disciplina: Seguridad de desarrollo Tecnología: Aplicaciones |
El enfoque de la carga de trabajo de CISA se alinea con los objetivos de DevSecOps mediante la inserción de la seguridad en los ciclos de vida de aplicación y servicio, en lugar de tratarlo como una actividad posterior a la implementación. |
|
Redes Segmentación de red, conectividad segura, controles de entorno. |
Disciplina: Identidad y acceso Tecnología: Redes |
Microsoft combina todo el acceso (identidad, aplicaciones y redes) en una sola materia para ayudar a impulsar una estrategia clara, arquitectura y coherencia de directivas entre tecnologías. |
|
Datos Clasificación de datos, inventario, control de acceso, cifrado y protección independientemente de la ubicación de red. |
Disciplina: Seguridad de datos Tecnología: Datos |
Ambos modelos sitúan los datos como objetivo principal de protección y refuerzan el cambio de la seguridad perimetral a controles centrados en los datos propio de Confianza cero. |
|
Visibilidad y análisis, automatización y orquestación Recopilación de telemetría, supervisión continua, detección, automatización de respuestas y aplicación de directivas a escala. |
Disciplina: SecOps Tecnología: todo |
Las funcionalidades transversales de CISA se asignan directamente a los resultados de SecOps que incluyen la detección de amenazas, la automatización de la respuesta y la reasignación continua de la confianza en todos los dominios. |
| Fases de madurez en todos los pilares | Posición de seguridad | La gestión de la postura es el objetivo principal del modelo de CISA: evaluar el estado actual, identificar carencias, priorizar mejoras y hacer un seguimiento del progreso hacia Confianza cero a lo largo del tiempo. |
Para obtener información, consulte Implementación del modelo de madurez Confianza cero CISA con servicios en la nube de Microsoft.
Modelo de referencia Confianza cero de The Open Group
Open Group Confianza cero Reference Model se aproxima Confianza cero desde una perspectiva de integración y funcionalidad empresarial. En lugar de definir pasos de implementación específicos, describe las funcionalidades y las estructuras de gobernanza que las organizaciones necesitan definir, integrar y operar Confianza cero a escala.
Abrir características de grupo
Características incluidas:
- Las funcionalidades y los bloques de creación de arquitectura (ABB) definen funcionalidades de seguridad que impulsan resultados de seguridad duraderos y las personas, procesos y tecnología para habilitarlos.
- Los modelos de colaboración e integración muestran cómo integrar la seguridad con la estrategia, la administración de riesgos, las operaciones y otros aspectos de la organización.
Las funcionalidades se componen de personas, procesos y elementos tecnológicos que trabajan conjuntamente:
- Personas: definidas como roles en el estándar de roles y glosario de The Open Group
- Proceso: definido en forma de componentes básicos de arquitectura (ABB) en la misma norma del Modelo de Referencia de Confianza cero
- Technology: definida como ABBs en el mismo estándar del Modelo de Referencia de Confianza cero
En este diagrama se muestran estas funcionalidades:
En este diagrama se muestra cómo estas funcionalidades se alinean con las funciones del marco de ciberseguridad de NIST (NIST CSF):
Implementation
El modelo se corresponde con nuestro modelo de adopción recomendado.
| Abrir grupo | Disciplina de adopción | Alineación |
|---|---|---|
|
Estrategia y gobernanza de Confianza cero Define cómo las organizaciones establecen Confianza cero como una estrategia alineada con la empresa, incluida la gobernanza, la administración de riesgos, la propiedad de las directivas y la alineación de personas, procesos y tecnología. |
Estrategia, integración y gobernanza | Tanto Open Group como Microsoft sitúan explícitamente Confianza cero como una estrategia empresarial, no como un conjunto de controles técnicos. Esto respalda directamente la alineación de la dirección, la asunción de responsabilidades y la integración en toda la organización. |
|
Arquitectura Confianza cero basada en capacidades Proporciona bloques de creación arquitectónicos y agrupaciones de funcionalidades para diseñar arquitecturas Confianza cero, sin recetar tecnologías o productos específicos. |
Arquitectura de seguridad | Esto rellena el espacio entre la arquitectura abstracta y la guía de implementación de NIST, lo que permite a los arquitectos traducir Confianza cero principios en diseños a escala empresarial. |
|
Funcionalidades de identidad, autenticación, autorización y cumplimiento de directivas Define las funcionalidades necesarias para comprobar la identidad, evaluar la confianza dinámicamente y aplicar decisiones de acceso coherentes en todos los entornos. |
Identidad y acceso | Se alinea directamente con la seguridad de acceso como una materia de adopción: quién puede acceder a qué, en qué condiciones y cómo se aplica esa decisión. |
|
Funcionalidades de protección centradas en datos Destaca la protección de la información independientemente de la ubicación, incluida la clasificación de datos, la protección y el acceso controlado por directivas. |
Seguridad de datos | Refleja el cambio de Confianza cero desde la seguridad perimetral hacia la seguridad centrada en los datos, en consonancia natural con la protección de datos como ámbito de adopción. |
|
Funcionalidades de visibilidad, supervisión, análisis y respuesta Incluye funcionalidades para recopilar telemetría, supervisar señales de confianza y adaptar la directiva en función del riesgo observado. |
SecOps | Permite la evaluación continua y la imposición—fundamental para las operaciones de Confianza cero y la supervisión de seguridad a gran escala. |
|
Funcionalidades de seguridad de interacción de aplicaciones y servicios Aborda cómo las aplicaciones y los servicios se integran en Confianza cero, incluidas las interacciones seguras, la identidad del servicio y la aplicación de políticas en tiempo de ejecución. |
Seguridad de desarrollo | Admite la integración de Confianza cero en los ciclos de vida de las aplicaciones modernas y la comunicación entre servicios. |
|
Funcionalidades de seguridad de plataforma y entorno Trata el funcionamiento seguro de plataformas, redes y entornos que hospedan cargas de trabajo, sin tratar la red como límite de confianza. |
Seguridad de la infraestructura | Alinea la seguridad de la infraestructura con los principios de Confianza cero al considerar la infraestructura como susceptible de aplicación, pero no intrínsecamente fiable. |
|
Entorno ampliado y compatibilidad con activos no tradicionales Reconoce explícitamente la convergencia de TI/OT/IoT y la necesidad de capacidades de Confianza cero en entornos restringidos y heterogéneos. |
Infraestructura (seguridad de OT/IoT) | Coincide con la realidad de adopción en la que OT/IoT requiere una propiedad distinta, pero aún debe alinearse con la estrategia de Confianza cero empresarial. |
|
Madurez basada en funcionalidades y mejora continua Proporciona un modelo de funcionalidad diseñado para evaluar el estado actual, guiar la mejora y adaptarse a lo largo del tiempo a medida que evolucionan las amenazas y la tecnología. |
Posición de seguridad | Presenta Confianza cero como un programa continuo, no como un despliegue puntual, alineándose directamente con los objetivos de gestión de la postura. |
Asocie las tecnologías de Microsoft al modelo
El modelo de referencia de Confianza cero también incluye un resumen general de los componentes de Confianza cero. Este diagrama muestra cómo las tecnologías de Microsoft se corresponden con esos componentes:
Estrategia de confianza cero de DoD
El Departamento de Defensa de Estados Unidos publicó una estrategia y una hoja de ruta de confianza cero del DoD.
Para obtener información sobre cómo configurar Microsoft servicios en la nube para la estrategia de Confianza cero doD, consulte Configure servicios Microsoft for the DoD Confianza cero strategy.
Pasos siguientes
Elija un escenario empresarial y aprenda cómo las disciplinas de seguridad se aplican a ese escenario.