Arquitectura de confiança zero

L'arquitectura de confiança zero (ZTA) o seguretat sense perímetre és una estratègia de disseny i implementació de sistemes informàtics. El principi és que els usuaris i els dispositius no s'han de confiar per defecte, encara que estiguin connectats a una xarxa privilegiada, com ara una LAN corporativa i fins i tot si s'han verificat prèviament.

ZTA s'implementa establint la verificació d'identitat, validant el compliment del dispositiu abans de concedir l'accés i garantint l'accés amb privilegis mínims només als recursos autoritzats explícitament. La majoria de les xarxes corporatives modernes consisteixen en moltes zones interconnectades, serveis i infraestructures al núvol, connexions a entorns remots i mòbils i connexions a TI no convencionals, com ara dispositius IoT.

L'enfocament tradicional de confiar en usuaris i dispositius dins d'un "perímetre corporatiu" nocional o mitjançant una connexió VPN normalment no és suficient en l'entorn complex d'una xarxa corporativa. L'enfocament de confiança zero advoca per l'autenticació mútua, inclosa la comprovació de la identitat i la integritat dels usuaris i dispositius sense respecte a la ubicació, i proporcionar accés a aplicacions i serveis basat en la confiança de la identitat de l'usuari i del dispositiu i l'estat del dispositiu en combinació amb l'autenticació de l'usuari.^[1] S'ha proposat l'arquitectura de confiança zero per al seu ús en àrees específiques com les cadenes de subministrament.^[2]^[3]

Els principis de confiança zero es poden aplicar a l'accés a les dades i a la gestió de les dades. Això genera una seguretat de dades de confiança zero on cada sol·licitud d'accés a les dades s'ha d'autenticar de manera dinàmica i garantir l'accés als recursos amb menys privilegis. Per determinar si es pot concedir l'accés, es poden aplicar polítiques basades en els atributs de les dades, qui és l'usuari i el tipus d'entorn mitjançant el control d'accés basat en atributs (ABAC). Aquest enfocament de seguretat de dades de confiança zero pot protegir l'accés a les dades.^[4]

Història

L'abril de 1994, el terme "confiança zero" va ser encunyat per Stephen Paul Marsh en la seva tesi doctoral sobre seguretat informàtica a la Universitat de Stirling. El treball de Marsh va estudiar la confiança com una cosa finita que es pot descriure matemàticament, afirmant que el concepte de confiança transcendeix factors humans com la moralitat, l'ètica, la legalitat, la justícia i el judici.

Els problemes del model Smartie o M&M de la xarxa (la descripció precursora de la desperimetització) van ser descrits per un enginyer de Sun Microsystems en un article Network World el maig de 1994, que va descriure la defensa perimetral dels tallafocs, com una carcassa dura al voltant d'un centre, com un ou de Cadbury.^[5]

L'any 2001 es va publicar la primera versió de l'OSSTMM (Open Source Security Testing Methodology Manual) i això es va centrar en la confiança. La versió 3 que va sortir al voltant de 2007 té un capítol sencer sobre la confiança que diu "La confiança és una vulnerabilitat" i parla sobre com aplicar els controls OSSTMM 10 basats en els nivells de confiança.

Hi ha diverses maneres d'implementar tots els principis de ZT; una solució ZTA completa inclourà elements dels tres:

Ús de govern de la identitat millorat i controls d'accés basats en polítiques.
Utilitzant la microsegmentació
Ús de xarxes superposades o perímetres definits per programari

El 2019, el Centre Nacional de Seguretat Cibernètica (NCSC) del Regne Unit va recomanar que els arquitectes de xarxa consideressin un enfocament de confiança zero per als nous desplegaments de TI, especialment quan es preveu un ús important dels serveis al núvol.^[6] NCSC adopta un enfocament alternatiu però coherent per identificar els principis clau darrere de les arquitectures de confiança zero:

Única font forta d'identitat d'usuari
Autenticació d'usuari
Autenticació de màquina
Context addicional, com ara el compliment de les polítiques i la salut del dispositiu
Polítiques d'autorització per accedir a una aplicació
Polítiques de control d'accés dins d'una aplicació

Referències

↑ «Mutual TLS: Securing Microservices in Service Mesh» (en anglès americà). The New Stack, 01-02-2021. [Consulta: 20 febrer 2021].
↑ Collier, Zachary A.; Sarkis, Joseph International Journal of Production Research, 59, 11, 03-06-2021, pàg. 3430–3445. DOI: 10.1080/00207543.2021.1884311. ISSN: 0020-7543.
↑ do Amaral, Thiago Melo Stuckert. «Integrating Zero Trust in the cyber supply chain security». A: 2021 Workshop on Communication Networks and Power Systems (WCNPS) (en anglès), November 2021, p. 1–6. DOI 10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6.
↑ Yao, Qigui. «Dynamic Access Control and Authorization System based on Zero-trust architecture». A: 2020 International Conference on Control, Robotics and Intelligent System (en anglès). New York, NY, USA: Association for Computing Machinery, 2021-01-04, p. 123–127 (CCRIS '20). DOI 10.1145/3437802.3437824. ISBN 978-1-4503-8805-4.
↑ «Internet hackers beware: corporate LANs protected» (en anglès). IDG Network World Inc, 23-05-1994.
↑ «Network architectures» (en anglès). www.ncsc.gov.uk. [Consulta: 25 agost 2020].

[1] «Mutual TLS: Securing Microservices in Service Mesh» (en anglès americà). The New Stack, 01-02-2021. [Consulta: 20 febrer 2021].

[2] Collier, Zachary A.; Sarkis, Joseph International Journal of Production Research, 59, 11, 03-06-2021, pàg. 3430–3445. DOI: 10.1080/00207543.2021.1884311. ISSN: 0020-7543.

[3] Amaral, Thiago Melo Stuckert. «Integrating Zero Trust in the cyber supply chain security». A: 2021 Workshop on Communication Networks and Power Systems (WCNPS) (en anglès), November 2021, p. 1–6. DOI 10.1109/WCNPS53648.2021.9626299. ISBN 978-1-6654-1078-6.

[4] Yao, Qigui. «Dynamic Access Control and Authorization System based on Zero-trust architecture». A: 2020 International Conference on Control, Robotics and Intelligent System (en anglès). New York, NY, USA: Association for Computing Machinery, 2021-01-04, p. 123–127 (CCRIS '20). DOI 10.1145/3437802.3437824. ISBN 978-1-4503-8805-4.

[5] «Internet hackers beware: corporate LANs protected» (en anglès). IDG Network World Inc, 23-05-1994.

[:04-6] «Network architectures» (en anglès). www.ncsc.gov.uk. [Consulta: 25 agost 2020].

[1]

[2]

[3]

[4]

[5]

[6]