Partiendo de la base de que no se puede controlar lo que no se puede ver, las propuestas de Zero Trust se han afianzado sobre el concepto de visibilidad y control granular del tráfico de datos. Esto supone la diferenciación de las fuentes del tráfico (microsegmentación) y sus destinos relacionados, y a partir de ahí, y desde el punto de vista de la seguridad, decidir qué se debe hacer, permitiendo o denegando combinaciones de origen y destino.
El DNS, por naturaleza, observa todas las intenciones del tráfico en el punto más temprano posible del flujo IP, incluso antes de que fluyan los datos de la aplicación en la red. Por defecto, atiende todas las solicitudes desde cualquier fuente a cualquier destino conocido. Pero ¿qué sucede si empleamos esta capacidad integral del DNS para decidir si se otorgan o no algunas combinaciones de origen a destino, como medida de seguridad? La seguridad del DNS ya utiliza listas de denegación como parte del filtrado (zona de política de respuesta) para denegar el acceso a dominios inapropiados (malware, etc.). Entonces, ¿por qué no utilizar las listas de permitidos de DNS como parte de una estrategia de confianza cero para otorgar específicamente a ciertos usuarios acceso solo a aplicaciones concretas? En ciberseguridad, las estrategias de permiso utilizan un mecanismo llamado listas de permisos, que concede explícitamente que usuarios específicos accedan a un privilegio, servicio o aplicación en particular, mientras que el resto se deniega de forma predeterminada.
Índice de temas
Las limitaciones de la autenticación y los firewalls
Echemos un vistazo a las herramientas tradicionales utilizadas para las estrategias Zero Trust. El uso de la autenticación impedirá el acceso a una aplicación, pero no a la infraestructura donde está alojada. Como analogía, imaginemos que hemos perdido la llave de la puerta principal de nuestra casa, pero que vamos a intentar abrir una puerta trasera o una ventana para entrar. Por lo tanto, la autenticación del usuario no solo llega tarde en el proceso de seguridad, lo que posibilita que el usuario genere el tráfico que debería negarse a través de la red, sino que también “deja la puerta abierta” a ataques a la infraestructura.
El filtrado de DNS que utiliza la lista de denegación puede bloquear el acceso a algunos dominios (malware, etc.), pero lo hará para todos los clientes. Aunque es útil y necesario para dominios a los que nadie debe acceder, sea cual sea el motivo (seguridad, legal, rendimiento, etc.), no puede utilizarse como medio para diferenciar el acceso a las aplicaciones desde el punto de vista del cliente.
En última instancia, los enrutadores y los cortafuegos pueden hacer el trabajo, pero como generalmente se ubican en el borde de la red, entre la WAN y la LAN su posición debería cambiar y colocarse detrás de cada puerto de red, de cada cliente y de cada aplicación. Es teóricamente posible, pero complejo de administrar además de carecer de flexibilidad si necesita adaptar su red a los nuevos imperativos comerciales y, sin duda, supondrá un coste notable al final. Entonces, nuevamente, aunque los firewalls son indispensables para proteger las comunicaciones entre sitios, no son la mejor opción para proteger lo que hay dentro de las redes.
Las ventajas de posibilitar listas DNS
Como afirmaba anteriormente, por su propia naturaleza y propósito el DNS analiza todos los intentos de tráfico entre clientes y aplicaciones, dominios y recursos. El DNS atenderá todas las solicitudes de cualquier cliente hacia cualquier destino, denegando el acceso a dominios y sitios no deseados para todos los clientes con filtrado de DNS. En cualquier caso, por defecto, el DNS no explota la información del cliente solicitante para decidir si la solicitud debe ser atendida o no. Y, sin embargo, filtrar las solicitudes del DNS en función de los clientes solicitantes complementaría las soluciones tradicionales de Zero Trust para ayudarlas a superar sus limitaciones obvias. El uso de las listas de permitidos de DNS a nivel de cliente se aplicará al principio del proceso, lo que evitará que el tráfico no deseado se envíe a través de la red. Diferenciará las aplicaciones internas y externas sin tener que implementar ninguna nueva infraestructura de seguridad en la red, así como todos los tipos de clientes, usuarios, máquinas, soluciones IoT y combinaciones de tráfico de cliente a aplicación.
Entre los casos de uso estándar y VIP, esta aproximación tecnológica facilita el filtrado de cualquier lista o de cualquier cliente; entre los casos de uso de NetOps, habilita a la infraestructura el control de acceso al cliente basado en DNS; para los casos de uso de control parental, como beneficios resulta altamente escalable (sin limitación en la cantidad de clientes y aplicaciones) y no genera cuellos de botella en la red; para casos de uso de control de accesos para servicios cloud, destaca la diferenciación y protección granular de aplicaciones externas; de cara a casos de uso empresariales, cabe reseñar la diferenciación y protección de aplicaciones internas ligeras, la actualización de su DNS, y su simplificación para administrar, centralizar y rentabilizar los proyectos frente a los casos de uso de firewalling; para casos de uso de securización del centro de datos, emergen las propuestas App to App controladas, y las comunicaciones machine-to-machine; y para casos de uso de IoT, se recurre a la implementación segura del Internet de las Cosas, al permitir solo la comunicación hacia su ecosistema específico, incluso si el dispositivo se ha visto comprometido.
En definitiva, Zero Trust no se basa en un solo conjunto de soluciones o tecnologías. Por el contrario, cuantas más capas de seguridad existan, más fuerte será la seguridad y protección de sus aplicaciones, usuarios y datos. El control de acceso a aplicaciones en un marco de confianza cero se puede activar fácilmente mediante DNS Client Query Filtering (CQF) de EfficientIP. Esto complementará sus soluciones existentes al expandir la capacidad de filtrar el acceso a cualquier aplicación y recurso a nivel de cliente, aprovechando las listas de permitidos del DNS, y haciendo de éste su primera línea de defensa.