Zero trust se perfila como una de las estrategias de seguridad corporativa más adecuadas hoy día para proteger las infraestructuras de TI y la información sensible de las organizaciones, en un contexto de entornos de TI cada vez más distribuidos, híbridos y abiertos.
Zero trust es un modelo centrado en la protección de los activos de TI, que parte de la premisa de que cualquier elemento de la infraestructura de TI es susceptible de convertirse en un vector de ataque y en una brecha de ciberseguridad. Este enfoque aporta ventajas evidentes, ya que permite a los responsables de TI reducir los riesgos asociados a amenazas internas, actividad maliciosa que se dirige a la cadena de suministro, el que las credenciales de los usuarios se vean comprometidas, la explotación remota de vulnerabilidades y muchos otros tipos de ataque.
“Migrar a IPv6 y combinarlo con DNS permitirán reforzar la postura de seguridad de una arquitectura Zero trust”
Por tanto, para cualquier responsable de TI resulta interesante implementar mejoras que permitan reforzar la postura de seguridad de su arquitectura “Zero trust”. Específicamente, hay dos cosas que se pueden hacer: migrar a IPv6 y combinarlo con seguridad DNS.
“Zero trust” con IPv6 y Seguridad DNS
En los últimos años se ha acelerado la migración de las redes a IPv6 para aprovechar las múltiples ventajas que proporciona este nuevo protocolo: reducción de costes, disminución de la complejidad, posibilidad de implementación de nuevas tecnologías… y posibilidad de mejorar la seguridad de red.
Una de las principales características de IPv6 es la abundancia de direcciones IP que ofrece, que hace obsoleta la necesidad de traducción de direcciones de red (NAT). El uso de NAT, imprescindible dadas las limitaciones de direcciones IPv4, ofusca las direcciones IPv4 del cliente y proporciona anonimato a los atacantes. Con IPv6, y al no tener que utilizar NAT, el servidor de aplicaciones recibe la conexión sin modificación de la dirección IPv6 de origen del cliente. Por otro lado, al disponer las direcciones IPv6 de 128 bits, pueden utilizarse los últimos 64 bits de una dirección (el Identificador de interfaz, o IID) para propósitos de seguridad.
La abundancia de direcciones IPv6 nos permite pensar de manera diferente sobre cómo las direcciones IPv6 se utilizan para proteger las comunicaciones cliente-servidor. Es seguro que IPv6 facilitará más innovación, y veremos muchas más técnicas desarrolladas a lo largo de estos para mejorar la seguridad y ayudar a lograr arquitecturas Zero Trust resilientes.
Entre las posibilidades que proporciona una red basada en IPv6 es sacar mucho más partido a la gestión segura de DNS, con miras a reforzar la seguridad de toda la red. En una red IPv6, DNS se puede convertir en un punto de control “Zero Trust” absoluto, donde cada dirección de Internet se puede escanear para detectar comportamientos potencialmente maliciosos, identificados por inteligencia de amenazas integrada.
Diseñar una arquitectura “zero trust” resiliente con Seguridad DNS
Una estrategia que permite reforzar significativamente la postura de seguridad de la red es integrar los valiosos metadatos residentes en los servicios “core” de red (DDI: DNS, DHCP e IPAM) dentro de la pila de seguridad. Esta información permite detectar rápidamente una amenaza o un comportamiento anómalo y compartir esa información con el resto del ecosistema de seguridad. Utilizando seguridad DNS y aprovechando la información relacionada con DNS dentro de una arquitectura Zero Trust pueden reducir el riesgo en todos los entornos, desde la nube al datacenter local.
“Una estrategia que permite reforzar significativamente la postura de seguridad de la red es integrar los valiosos metadatos residentes en los servicios “core” de red (DDI: DNS, DHCP e IPAM) dentro de la pila de seguridad”
Las capacidades de visibilidad y automatización son esenciales a la hora de desplegar una arquitectura “Zero Trust”, y la seguridad basada en DNS las proporciona: identificación de todos los dispositivos y usuarios conectados a red, tanto en entornos virtualizados, “on-premise” o en nube/s híbridas, eliminación de compartimentos estancos, mediante el acceso compartido a las bases de datos de protocolos, direcciones IP, dispositivos de infraestructura de red, hosts finales, etc., reducción del riesgo de interrupción de los servicios gracias a la detección de dispositivos no autorizados, errores, dispositivos de red no gestionados, etc., que pasa desapercibidos para las herramientas estándar de IPAM.
La gestión de DNS es también una herramienta que proporciona visibilidad y control más centralizados de todos los recursos de TI, incluidos usuarios y servidores en microsegmentos de red y direcciones IP individuales. Debido a que la mayoría del tráfico, incluido el malicioso, pasa primero por la resolución de DNS, éste se convierte en una fuente fundamental de información detallada del dispositivo y ayuda detectar comportamientos anómalos y proteger el tráfico entre microsegmentos. La seguridad DNS también puede verificar, detectar y bloquear las conexiones de C&C y intentos de acceder a sitios web que alojan malware.
“La seguridad DNS proporciona un punto de control único para la gestión segura de todos los entornos de red, incluidos la nube, la red local, WFA y dispositivos móviles”
En definitiva, y por todo lo dicho anteriormente, la seguridad DNS se ha convertido en un elemento crítico a la hora de implementar estrategias de seguridad “Zero Trust” en contextos de red IPv6. La seguridad DNS proporciona un punto de control único para la gestión segura de todos los entornos de red, incluidos la nube, la red local, WFA y dispositivos móviles. Esto proporciona un punto de administración de seguridad DNS para todas pilas de seguridad, y este punto se puede integrar fácilmente con SOAR y otros controles críticos del ecosistema de ciberseguridad. Las organizaciones siempre deben tener el control y tener una visibilidad completa del tráfico DNS. Es una buena práctica que todo el tráfico DNS sea resuelto por servidores controlados por la organización, no por resolutores externos sobre que el equipo de TI no tiene control.