Zero Trust
Modelo de seguridad que no confía implícitamente en ningún usuario o sistema, verificando cada request independientemente de su origen dentro o fuera de la red.
seed#zero-trust#security#identity#network#authentication#authorization
¿Qué es?
Zero Trust es un modelo de seguridad basado en «nunca confiar, siempre verificar». A diferencia del modelo tradicional de perímetro (confiar en todo dentro de la red), Zero Trust verifica cada request independientemente de su origen.
Principios
- Verificar explícitamente: autenticar y autorizar cada request
- Mínimo privilegio: dar solo los permisos necesarios
- Asumir breach: diseñar como si el atacante ya estuviera dentro
Pilares
- Identidad: autenticación fuerte (MFA, passwordless)
- Dispositivos: verificar estado y compliance del dispositivo
- Red: microsegmentación, no confiar en la red interna
- Aplicaciones: acceso basado en identidad, no en red
- Datos: clasificación y protección de datos sensibles
Implementación
- Identity-aware proxies (BeyondCorp, Cloudflare Access)
- Service mesh con mTLS
- Políticas de acceso basadas en contexto
- Logging y monitoreo exhaustivo
Modelo perimetral vs zero trust
| Aspecto | Perímetro tradicional | Zero Trust |
|---|---|---|
| Confianza | Implícita dentro de la red | Ninguna — verificar siempre |
| Acceso | VPN + firewall | Identity-aware proxy |
| Segmentación | VLANs, subnets | Microsegmentación por servicio |
| Autenticación | Una vez (al entrar a la red) | Cada request |
| Lateral movement | Fácil una vez dentro | Bloqueado por defecto |
| Trabajo remoto | Requiere VPN | Nativo — la ubicación es irrelevante |
Pasos de adopción
- Inventario de identidades: mapear usuarios, servicios y dispositivos
- MFA en todo: autenticación multifactor como requisito, no como opción
- Microsegmentación: aislar servicios con service mesh y mTLS
- Políticas de acceso contextual: evaluar identidad + dispositivo + ubicación + hora
- Monitoreo continuo: detectar anomalías en patrones de acceso
¿Por qué importa?
El modelo de seguridad perimetral asume que todo dentro de la red es confiable. Zero trust elimina esa suposición: cada request se autentica y autoriza independientemente de su origen. Es el modelo de seguridad que refleja la realidad de sistemas distribuidos y trabajo remoto.
Referencias
- BeyondCorp — Implementación de Google.
- NIST Zero Trust Architecture — SP 800-207.
- CISA Zero Trust Maturity Model — CISA, 2023. Modelo de madurez para implementación de zero trust.