¿Qué es la confianza cero?
Confianza cero como estrategia de seguridad No es un producto ni un servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad.
| Principio | Descripción |
|---|---|
| Verificar de forma explícita. | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
| Utilizar el acceso con menos privilegios | Limite el acceso de usuario con Just-In-Time y Just-Enough-Access (JIT/JEA), directivas adaptables basadas en riesgos y protección de datos. |
| Asunción de que hay brechas | Minimice el radio de explosión y segmente el acceso. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Estos principios son el núcleo de Zero Trust. En lugar de creer que todo lo que se encuentra detrás del firewall corporativo es seguro, el modelo de Confianza cero presupone que hay brechas y, por consiguiente, comprueba todas las solicitudes como si provinieran de una red no controlada. Independientemente del lugar en el que se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero enseña a "no confiar nunca, a realizar siempre todas las comprobaciones pertinentes".
Zero Trust está diseñado para adaptarse a las complejidades del entorno moderno que adopta la fuerza de trabajo móvil. Zero Trust protege las cuentas de usuario, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren.
Un enfoque de confianza cero debe extenderse en toda la organización y servir como una filosofía de seguridad integrada y una estrategia de un extremo a otro.
Los distintos requisitos organizativos, las implementaciones de tecnología existentes y las fases de seguridad afectan a cómo se planea y ejecuta una implementación del modelo de seguridad de Confianza cero. Nuestra guía le ayuda a evaluar su preparación para Confianza cero y le ayuda a crear un plan para llegar a Confianza cero. Nuestra guía se basa en nuestra experiencia ayudando a los clientes a proteger sus organizaciones e implementando nuestro propio modelo de confianza cero para nosotros mismos.
Con Zero Trust, se pasa de una perspectiva de confianza por defecto a una de confianza por excepción. Es importante una funcionalidad integrada para administrar automáticamente esas excepciones y alertas. Puede detectar más fácilmente amenazas, responder a ellas y evitar o bloquear eventos no deseados en toda la organización.
Confianza cero y la Orden Ejecutiva de EE. UU. 14028 sobre ciberseguridad
La orden ejecutiva de Estados Unidos 14028, Mejorar la ciberseguridad de la Nación, dirige a las agencias federales sobre el avance de las medidas de seguridad que reducen drásticamente el riesgo de ciberataques exitosos contra la infraestructura digital del gobierno federal. El 26 de enero de 2022, la Oficina de Gestión y Presupuesto (OMB) lanzó la estrategia federal de Confianza Cero en memorándum 22-09, en apoyo de la Orden Ejecutiva 14028. Microsoft proporciona instrucciones para ayudar a las organizaciones a cumplir estos requisitos: Cumplir los requisitos de identidad del memorándum 22-09 con el id. de Microsoft Entra.
Zero Trust y Microsoft Secure Future Initiative (SFI)
La Iniciativa de futuro seguro (SFI) de Microsoft, lanzada en noviembre de 2023, es un compromiso de varios años que avanza la forma en que Microsoft diseña, compila, prueba y opera nuestra tecnología de Microsoft para asegurarse de que nuestras soluciones cumplan los estándares de seguridad más altos posibles. La iniciativa de futuro seguro de Microsoft es, en gran parte, una implementación rígida de Confianza cero para nuestro entorno único para mejorar nuestra posición de seguridad.
Para obtener más información sobre SFI, consulte el sitio web de Secure Future Initiative.
Conjunto de documentación
Siga esta tabla a fin obtener los mejores conjuntos de documentación de Confianza cero para sus necesidades.
| Conjunto de documentación | Te ayuda... | Roles |
|---|---|---|
| Marco de adopción para soluciones empresariales y resultados clave, proporcionando orientaciones sobre fases y pasos. | Aplique protecciones de Confianza cero desde los directivos a la implementación de TI. | Arquitectos de seguridad, equipos de TI y administradores de proyectos |
| Recurso de evaluación y seguimiento del progreso | Evalúe la preparación de la infraestructura y realice un seguimiento del progreso. | Arquitectos de seguridad, equipos de TI y administradores de proyectos |
| Kit de partners de confianza cero | Ilustraciones de arquitectura, taller y recursos de seguimiento con marca compartida. | Asociados y arquitectos de seguridad |
| Implementación de pilares tecnológicos para información conceptual y objetivos de implementación | Aplique protecciones de confianza cero alineadas con las áreas típicas de tecnología de TI. | Equipos de TI y personal de seguridad |
| Confianza cero para pequeñas empresas | Aplique los principios de Confianza cero a los clientes de pequeñas empresas. | Clientes y asociados que trabajan con Microsoft 365 para empresas |
| Confianza cero para Microsoft Copilots para un diseño escalonado y detallado y orientación para la implementación | Aplicar protecciones de confianza cero a Microsoft Copilots. | Equipos de TI y personal de seguridad |
| Plan de implementación de Confianza cero con Microsoft 365 para obtener instrucciones de diseño e implementación detalladas y escalonadas | Aplicar protecciones de confianza cero a su organización de Microsoft 365. | Equipos de TI y personal de seguridad |
| Respuesta a incidentes con XDR y SIEM Integrado | Establecer herramientas de XDR e integrarlas con Microsoft Sentinel | Equipos de TI y personal de seguridad |
| Confianza cero para los servicios de Azure a fin de obtener instrucciones detalladas de diseño e implementación escalonadas | Aplique protecciones de Confianza cero a las cargas de trabajo y los servicios de Azure. | Equipos de TI y personal de seguridad |
| Integración de partners con confianza cero a fin de obtener instrucciones de diseño para áreas tecnológicas y especializaciones | Aplique protecciones de Confianza cero a las soluciones en la nube de Microsoft asociadas. | Desarrolladores asociados, equipos de TI y personal de seguridad |
| Desarrolla utilizando los principios de Confianza Cero como guía para el diseño de aplicaciones y mejores prácticas. | Aplique protecciones de confianza cero a la aplicación. | Desarrolladores de aplicaciones |
| Guía del Gobierno de Estados Unidos para CISA, DoD y el Memorándum para la arquitectura de confianza cero | Recomendaciones prescriptivas para los requisitos del Gobierno de EE. UU. | Arquitectos de TI y equipos de TI |
Entrenamiento recomendado
| Adiestramiento | Introducción a Confianza Cero |
|---|---|
|
Use este módulo para comprender el enfoque de confianza cero y cómo refuerza la infraestructura de seguridad dentro de su organización. |
| Adiestramiento | Introducción a confianza cero y marcos de procedimientos recomendados |
|---|---|
|
Use este módulo para obtener información sobre los procedimientos recomendados que usan los arquitectos de ciberseguridad y algunos marcos de procedimientos recomendados clave para las funcionalidades de ciberseguridad de Microsoft. También obtendrá información sobre el concepto de Confianza cero y cómo empezar a trabajar con Confianza cero en su organización. |
Pasos siguientes
Descubra el marco de adopción de Microsoft Zero Trust .
Vínculos relacionados:
Información general de confianza cero: en este vídeo se proporciona información sobre:
- Definición de confianza cero
- Principios de confianza cero
- Conceptos básicos de Confianza cero
Confianza cero: el grupo abierto: este vídeo proporciona una perspectiva de Confianza cero desde una organización de estándares.