Qué Significa Zero Trust Realmente
El principio arquitectónico es simple: nunca confíes, siempre verifica. Ningún usuario, dispositivo o servicio dentro o fuera de tu red es confiable por defecto. El acceso se otorga basado en identidad verificada, salud del dispositivo y autorización explícita — no en la ubicación en la red.
Los Cuatro Pilares de la Arquitectura Zero Trust
1. La Identidad como el Nuevo Perímetro
En una arquitectura zero trust, la verificación de identidad reemplaza la ubicación en red como mecanismo principal de control de acceso. Cada solicitud de acceso debe ser autenticada y autorizada. Esto requiere:
- MFA aplicada universalmente, incluyendo cuentas administrativas y de servicio
- Integración con Proveedor de Identidad (IdP): Azure AD, Okta o Google Workspace
- Políticas de Acceso Condicional que evalúan el cumplimiento del dispositivo y señales de riesgo en tiempo real
- Gestión de Identidades Privilegiadas (PIM) con elevación de acceso just-in-time
2. Verificación del Estado del Dispositivo
Incluso si se verifica la identidad de un usuario, el dispositivo que están usando puede estar comprometido. La arquitectura zero trust requiere evaluación de postura del dispositivo en el punto de acceso.
3. Microsegmentación de Red
La microsegmentación crea zonas de seguridad granulares alrededor de cargas de trabajo individuales. Un endpoint comprometido no puede alcanzar el servidor de base de datos ERP porque la política de firewall no permite ese tráfico.
4. Verificación y Monitoreo Continuo
Zero trust no es un evento de autenticación único. Las sesiones se evalúan continuamente contra la política. El comportamiento anómalo activa autenticación adicional o terminación de sesión.
Ruta de Implementación Práctica
- Fase 1 (Meses 1–3): MFA universal, consolidación de IdP, inscripción MDM
- Fase 2 (Meses 3–6): Políticas de Acceso Condicional, segmentación de red de activos críticos
- Fase 3 (Meses 6–12): Despliegue ZTNA, microsegmentación, EDR con detección de comportamiento
- Fase 4 (Continuo): Evaluación de postura, revisiones de acceso trimestrales, ejercicios de red team