Principios de Zero Trust

enter image description here

Continuamos capacitándonos sobre arquitectura de ZERO TRUST. En este caso con plataformas y herramientas Microsoft Security, quien define tres Principios Básicos al respecto:

  • Comprobar de forma explícita Autentica y autoriza siempre en función de todos los puntos de datos disponibles, lo que incluye la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de datos y las anomalías.

  • Usar el acceso con privilegios mínimos Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.

  • Asumir la vulneración Minimiza el radio del alcance y segmenta el acceso. Comprueba el cifrado de extremo a extremo y usa los análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Adjuntamos un roadmap de Zero Trust desde el enfoque de Microsoft Security y un enlace al sitio web aqui.

Para más información, nos duden en contactarnos o visiten nuestro sitio web.

ISL INFORMATICA, Soluciones IT. Somos su socio tecnológico de confianza.

Modelo de Zero Trust

enter image description here

Mucho se está hablando de este nuevo estándar de seguridad a nivel de redes informáticas. Zero Trust es un enfoque moderno a los problemas de ciberseguridad en las empresas. Hasta el momento los encargados de seguridad informática basaban sus estrategias en la configuración de sistemas de protección de perímetro que podemos definir, a grandes rasgos, como la línea que separa la red interna o intranet con la red pública o Internet. Estas estrategias contemplan métodos para proteger los sistemas y dispositivos suponiendo de los ataques siempre proceden del exterior, por fuera de nuestro perímetro. Se asume que el usuario es de confianza y los sistemas externos no.

El enfoque de Zero Trust va más alla. Su fundamento: DENEGAR accesos a datos y aplicaciones de forma predeterminada, SOLO pudiendo acceder a los recursos quienes verdaderamente tienen permisos y con constante MONITORIZACION. Aplica tres principios básicos: las entidades NO son de confianza de forma predeterminada, se promueve el acceso MENOS privilegiado y se implementa un MONITOREO de seguridad integral y constante. Todos los usuarios, dispositivos, aplicaciones y sistemas ya están comprometidos, tanto dentro como fuera de la red. Requiere que todo se valide antes de que se conceda acceso.

Se requieren políticas de autorización: todos dentro y fuera de la red de la organización deben ser autenticados, autorizados y validados. Se monitorea en forma continua y evalúa usuarios y recursos en busca de riesgos de seguridad. Se supone que NADA conectado a nuestra red es seguro.

A nivel de usuario significa implementar una política dinámica de autenticación y autorización para evaluar el riesgo antes que se conceda el acceso. Para recursos significa monitorear el uso, políticas de seguridad, actualizaciones y parches, ajustar configuraciones, etc.

Zero Trust es una herramienta?? NO, es un modelo. La idea principal es que cada recurso disponga de su propio micro perímetro siempre protegido donde la clave radica en la segmentación. Quien lleva a cabo esta protección es la misma infraestructura inspeccionando tráfico, limitando, controlando y verificando.

¿Como implementar Zero Trust en una nuestra empresa? Algunas herramientas: Microsoft Entra ID, Microsoft Intune, OneLogin, CloudFlare Access, Cisco Umbrella, DNSFilter.

En el sitio de CloudFlare podemos descargar un roadmap de implementación y análisis de herramientas en este enlace.

¿Es Zero Trust de fácil implementacion? La realidad es que depende. Conlleva dedicación, estudio, conocimiento y por sobre todo tiempo. Las tecnologías arraigadas son difíciles de modernizar. Sin embargo, cuando los profesionales de TI comprenden los beneficios de Zero Trust, también comienzan a impulsarla.

Para mas información, nos duden en contactarnos o visiten nuestro sitio web aquí.

ISL INFORMATICA, Soluciones IT. Somos su socio tecnológico de confianza.

Validación de Correos Electrónicos

enter image description here

Tras los cambios que proponen Gmail y Yahoo, sumados a los ya implementados por otros servicios como Exchange Online de Microsoft, a partir de Febrero de 2024 y como requisitos para legitimización de casillas de correo electrónico, será condición obligatoria tener configurados registros específicos en dominios para verificar identidad como remitentes. Se trata de la correcta configuración de SPF, DMARC y DKIM, que intentan proteger nuestras casillas contra spoofing, phishing y evitar que los mensajes se rechazen y sean marcados como SPAM en servicios de reputación. Cabe aclarar que en principio las medidas se proponen para dominios que envíen mas de 500 correos por día a Gmail o Yahoo, pero todos los dominios deberían contar con los registros propuestos, algo que desde hace un tiempo esta marcando tendencia.

SPF es un registro del tipo TXT que autoriza a servidores a enviar correos con nuestro dominio. Sirve para confirmar que los correos enviados desde un dominio específico son realmente enviados desde direcciones IP que están permitidas por dicho dominio.

DKIM es un sistema de firma que permite a los servidores receptores rastrear los correos electrónicos hasta su origen, verificando que el mensaje fue enviado realmente por el remitente y que el mensaje no ha sido alterado desde su emisión. DKIM emplea criptografía de clave pública.

Por su parte, DMARC es un estándar basado en SPF y DKIM. Le permite al propietario del dominio crear una política que indique a los proveedores de correo electrónico qué hacer si el mensaje no supera las comprobaciones SPF y DKIM.

Lo importante es que todas estas configuraciones tienen por objetivo común demostrar a los diferentes servicios de correo electrónico que los remitentes son quienes dicen ser, intentando evitar la suplantación de identidad, las estafas de phishing, los correos spam, etc.

Existen métodos adicionales como SenderID, creado por Microsoft para suplantar a SPF, o BIMI, que adquiere un certificado de cumplimiento basado en DMARC marcando con un logotipo los correos, pero por el momento no son de uso generalizado. Sin embargo, como responsables IT de las empresas debemos estar atentos a los estándares de la industria, estudiarlos y aplicarlos para mejorar la seguridad de los sistemas.

Para mas información, nos duden en contactarnos o visiten nuestro sitio web aquí.

ISL INFORMATICA, Soluciones IT Somos su socio tecnológico de confianza