¿Qué es la confianza cero?
Confianza cero como estrategia de seguridad No es un producto o servicio, sino un enfoque para diseñar e implementar el siguiente conjunto de principios de seguridad.
| Principio | Descripción |
|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. |
Este es el núcleo de Confianza cero. En lugar de creer que todo lo que se encuentra detrás del firewall corporativo es seguro, el modelo de Confianza cero presupone que hay brechas y, por consiguiente, comprueba todas las solicitudes como si provinieran de una red no controlada. Independientemente del lugar en el que se origine la solicitud o del recurso al que acceda, el modelo de Confianza cero enseña a "no confiar nunca, a realizar siempre todas las comprobaciones pertinentes".
Confianza cero se ha diseñado para adaptarse a las complejidades del entorno moderno que adopta la fuerza de trabajo móvil y protege las cuentas de usuario, los dispositivos, las aplicaciones y los datos dondequiera que se encuentren.
Un enfoque de confianza cero debería extenderse por todo el estado digital y funcionar como una filosofía de seguridad integrada y una estrategia de extremo a extremo.
Los diferentes requisitos de la organización, las implementaciones tecnológicas existentes y las fases de la seguridad afectan a la forma en que se planea y ejecuta la implementación de un modelo de seguridad de Confianza cero. Gracias a nuestra experiencia en ayudar a los clientes a proteger sus organizaciones, así como en implementar nuestro propio modelo de Confianza cero, Microsoft ha desarrollado instrucciones para evaluar su preparación y ayudarle a elaborar un plan para llegar a la Confianza cero.
Con Confianza cero, se pasa de una perspectiva de confianza predeterminada a otra de confianza por excepción. Una funcionalidad integrada para administrar automáticamente esas excepciones y alertas es importante para que pueda encontrar y detectar amenazas más fácilmente, responder a ellas y evitar o bloquear eventos no deseados en toda una organización.
Confianza cero y la orden ejecutiva de Estados Unidos 14028 sobre ciberseguridad
La orden ejecutiva de EE. UU. 14028, Mejora de la seguridad cibernética de la nación, dirige a las agencias federales a avanzar en medidas de seguridad que reduzcan drásticamente el riesgo de ataques informáticos exitosos contra la infraestructura digital del gobierno federal. El 26 de enero de 2022, la Oficina de Administración y Presupuesto (OMB por sus siglas en inglés) publicó la estrategia Confianza cero en el Memorándum 22-09, en apoyo de EO 14028.
Recomendado para el entrenamiento
| Cursos | Introducción a Confianza cero |
|---|---|
|
Use este módulo para comprender el enfoque de Confianza cero y cómo refuerza la infraestructura de seguridad dentro de su organización. |
| Cursos | Introducción a Confianza cero y marcos de procedimientos recomendados |
|---|---|
|
Use este módulo para obtener información sobre los procedimientos recomendados que usan los arquitectos de ciberseguridad y algunos marcos de procedimientos recomendados clave para las funcionalidades de ciberseguridad de Microsoft. También obtendrá información sobre el concepto de Confianza cero y cómo empezar a trabajar con Confianza cero en su organización. |
Pasos siguientes
Use el contenido adicional de Confianza cero basado en un conjunto de documentación o en los roles de la organización.
Conjunto de documentación
Siga esta tabla a fin obtener los mejores conjuntos de documentación de Confianza cero para sus necesidades.
| Conjunto de documentación | Le ayuda... | Roles |
|---|---|---|
| Marco de adopción para las instrucciones de fases y pasos para soluciones empresariales y resultados clave | Aplique protecciones de Confianza cero desde los directivos a la implementación de TI. | Arquitectos de seguridad, equipos de TI y administradores de proyectos |
| Implementación de pilares tecnológicos para los objetivos conceptuales de información e implementación | Aplique protecciones de Confianza cero alineadas con las áreas típicas de tecnología de TI. | Equipos de TI y personal de seguridad |
| Confianza cero para pequeñas empresas | Aplique los principios de Confianza cero a los clientes de pequeñas empresas. | Clientes y asociados que trabajan con Microsoft 365 para empresas |
| Plan de modernización rápida de Confianza cero (RaMP) para obtener instrucciones de administración de proyectos y listas de comprobación para obtener victorias fáciles | Implemente rápidamente capas clave de protección de Confianza cero. | Arquitectos de seguridad e implementadores de TI |
| Plan de implementación de Confianza cero con Microsoft 365 para obtener instrucciones de diseño e implementación detalladas y escalonadas | Aplique protecciones de Confianza cero al inquilino de Microsoft 365. | Equipos de TI y personal de seguridad |
| Confianza cero para Microsoft Copilots para un diseño escalonado y detallado y orientación para la implementación | Aplicar protecciones Confianza cero a copilotos de Microsoft. | Equipos de TI y personal de seguridad |
| Confianza cero para los servicios de Azure a fin de obtener instrucciones detalladas de diseño e implementación escalonadas | Aplique protecciones de Confianza cero a las cargas de trabajo y los servicios de Azure. | Equipos de TI y personal de seguridad |
| Integración de asociados con Confianza cero a fin de obtener instrucciones de diseño para áreas tecnológicas y especializaciones | Aplique protecciones de Confianza cero a las soluciones en la nube de Microsoft asociadas. | Desarrolladores asociados, equipos de TI y personal de seguridad |
| Desarrollo con principios de Confianza cero para la guía de diseño de desarrollo de aplicaciones y procedimientos recomendados | Aplique protecciones de confianza cero a la aplicación. | Desarrolladores de aplicaciones |
Su rol
Siga esta tabla a fin de obtener los mejores conjuntos de documentación para los roles de la organización.
| Role | Conjunto de documentación | Le ayuda... |
|---|---|---|
| Arquitecto de seguridad Jefe de proyectos de TI Implementador de TI |
Marco de adopción para las instrucciones de fases y pasos para soluciones empresariales y resultados clave | Aplique protecciones de Confianza cero desde los directivos a la implementación de TI. |
| Miembro de un equipo de TI o seguridad | Implementación de pilares tecnológicos para los objetivos conceptuales de información e implementación | Aplique protecciones de Confianza cero alineadas con las áreas típicas de tecnología de TI. |
| Cliente o asociado para Microsoft 365 para empresas | Confianza cero para pequeñas empresas | Aplique los principios de Confianza cero a los clientes de pequeñas empresas. |
| Arquitecto de seguridad Implementador de TI |
Plan de modernización rápida de Confianza cero (RaMP) para obtener instrucciones de administración de proyectos y listas de comprobación para obtener victorias fáciles | Implemente rápidamente capas clave de protección de Confianza cero. |
| Miembro de un equipo de TI o de seguridad de Microsoft 365 | Plan de implementación de Confianza cero con Microsoft 365 a fin de obtener instrucciones de diseño e implementación detalladas y escalonadas para Microsoft 365 | Aplique protecciones de Confianza cero al inquilino de Microsoft 365. |
| Miembro de un equipo de TI o de seguridad de Microsoft Copilot | Confianza cero para Microsoft Copilots para un diseño escalonado y detallado y orientación para la implementación | Aplicar protecciones Confianza cero a copilotos de Microsoft. |
| Miembro de un equipo de TI o de seguridad para los servicios de Azure | Confianza cero para los servicios de Azure a fin de obtener instrucciones detalladas de diseño e implementación escalonadas | Aplique protecciones de Confianza cero a las cargas de trabajo y los servicios de Azure. |
| Desarrollador asociado o miembro de un equipo de TI o de seguridad | Integración de asociados con Confianza cero a fin de obtener instrucciones de diseño para áreas tecnológicas y especializaciones | Aplique protecciones de Confianza cero a las soluciones en la nube de Microsoft asociadas. |
| Desarrollador de aplicaciones | Desarrollo con principios de Confianza cero para la guía de diseño de desarrollo de aplicaciones y procedimientos recomendados | Aplique protecciones de Confianza cero a la aplicación. |
Vínculos relacionados
Información general de Confianza cero: en este vídeo se proporciona información sobre lo siguiente:
- Definición de confianza cero
- Principios de confianza cero
- Conceptos básicos de confianza cero
- Resultados rápidos del Plan de modernización rápida (RaMP)
Confianza cero: el grupo abierto: en este vídeo se proporciona una perspectiva de Confianza cero desde una organización de estándares.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de