Arquitectura Zero Trust — Nunca Confíes, Siempre Verifica

Overview

Zero Trust es un modelo de seguridad que elimina el concepto de perímetro de red confiable. En lugar de asumir que el tráfico dentro de la red es seguro, Zero Trust verifica cada solicitud como si proviniera de una red no confiable. Cada usuario, dispositivo y aplicación debe ser autenticado, autorizado y continuamente validado antes de obtener acceso a recursos.

When to Use

• Tienes una fuerza laboral distribuida con necesidades de acceso remoto
• Estás migrando de una red basada en perímetro a arquitectura nativa de cloud
• Necesitas cumplir con requisitos regulatorios estrictos (SOC 2, ISO 27001, NIST)
• Quieres minimizar el radio de explosión de credenciales comprometidas

Principios Core

Verificar Explícitamente

Autenticar y autorizar cada solicitud de acceso basándose en todos los puntos de datos disponibles: identidad, salud del dispositivo, ubicación y detección de anomalías.

Usar Acceso de Privilegio Mínimo

Otorgar solo los permisos mínimos requeridos para la tarea específica y limitarlos temporalmente cuando sea posible.

Asumir Brecha

Diseñar sistemas como si un atacante ya estuviera dentro. Minimizar el radio de explosión mediante segmentación y encriptación.

Componentes de Arquitectura

Proveedor de Identidad (IdP)

La base de Zero Trust. Todas las decisiones de acceso comienzan con verificación de identidad fuerte.

┌─────────────┐
│   Usuario   │
└──────┬──────┘
       │
       ▼
┌─────────────────┐
│   MFA + Biométrico│  ◀── Paso 1: Verificar identidad
│   Atributos Dispositivo│
└────────┬────────┘
         │
         ▼
┌─────────────────┐
│   Proveedor     │
│   de Identidad  │
│   (OAuth/OIDC)  │
└────────┬────────┘
         │
         ▼
┌─────────────────┐
│   Motor de      │  ◀── Paso 2: Evaluar contexto
│   Políticas     │
│   (OPA, Cedar)  │
└────────┬────────┘
         │
         ▼
┌─────────────────┐
│   Recurso       │  ◀── Paso 3: Otorgar acceso limitado
└─────────────────┘

Confianza del Dispositivo

Asegurar que solo dispositivos saludables y gestionados puedan acceder a recursos corporativos.

Señal	Qué Verifica	Ejemplo de Herramienta
Detección de endpoint	AV activo, sin malware	CrowdStrike, SentinelOne
Nivel de parcheo del OS	Últimas actualizaciones de seguridad	Intune, Jamf
Encriptación de disco	BitLocker/FileVault activo	Política de cumplimiento de dispositivo
Certificado	Dispositivo gestionado corporativamente	Certificado emitido por MDM

Micro-Segmentación

Dividir la red en zonas pequeñas e aisladas para que una brecha en una no se propague.

┌─────────────────────────────────────────────┐
│                    VPC                        │
│  ┌─────────┐  ┌─────────┐  ┌─────────┐     │
│  │   Web   │  │   API   │  │   BD    │     │
│  │  Tier   │──│  Tier   │──│  Tier   │     │
│  │         │  │         │  │         │     │
│  └─────────┘  └─────────┘  └─────────┘     │
│       │            │            │         │
│  ┌────┴────┐  ┌────┴────┐  ┌────┴────┐     │
│  │  FW L7  │  │  FW L7  │  │  FW L7  │     │
│  │  + WAF  │  │  + AuthZ│  │  + AuthZ│     │
│  └─────────┘  └─────────┘  └─────────┘     │
└─────────────────────────────────────────────┘

Validación Continua

La confianza no es un evento único. Re-evaluar acceso basado en comportamiento.

# Pseudocódigo para evaluación continua de acceso
def evaluate_access(user, resource, context):
    risk_score = 0
    
    if context.location != user.usual_location:
        risk_score += 30
    if context.device_trust_score < 0.8:
        risk_score += 40
    if context.time_of_day not in user.working_hours:
        risk_score += 20
    
    if risk_score > 50:
        return Deny("Sesión de alto riesgo detectada")
    if risk_score > 20:
        return StepUpAuth("Verificación adicional requerida")
    
    return Allow()

Patrones de Implementación

BeyondCorp (Modelo Zero Trust de Google)

• Todo el acceso es mediado por un proxy de acceso
• El inventario y salud del dispositivo son prerequisitos
• La identidad del usuario está vinculada a un proveedor de identidad corporativo
• No se requiere VPN; el acceso es independiente de la ubicación

Perímetro Definido por Software (SDP)

• La red está oscura hasta que la autenticación tiene éxito
• Un broker de confianza valida la identidad antes de revelar IPs de recursos
• Todas las conexiones están encriptadas (mTLS)

Acceso de Red Zero Trust (ZTNA)

• Reemplaza VPN con acceso a nivel de aplicación
• Los usuarios obtienen acceso solo a aplicaciones específicas, no a toda la red
• Opciones de despliegue basadas en agente o sin agente

Pasos Prácticos de Implementación

1. Inventariar activos — datos, aplicaciones, dispositivos y segmentos de red
2. Mapear flujos de transacciones — cómo usuarios y servicios interactúan
3. Arquitecturar Zero Trust — diseñar puntos de aplicación de políticas
4. Desplegar proveedor de identidad — con MFA y acceso condicional
5. Implementar micro-segmentación — en las capas de aplicación y red
6. Monitorear y mejorar — usar SIEM y UEBA para detección de anomalías

Errores Comunes

• Comprar un producto y llamarlo Zero Trust — es una arquitectura, no un SKU
• Ignorar la experiencia de usuario — la fricción excesiva conduce a IT en la sombra
• Enfocarse solo en usuarios, no en servicios — el tráfico servicio-a-servicio también necesita identidad
• Sobre-segmentar — demasiadas zonas crean complejidad operacional
• Sin visibilidad — no puedes validar lo que no puedes monitorear

FAQ

¿Zero Trust es solo para grandes empresas? No. Equipos pequeños pueden implementar principios core: MFA, privilegio mínimo y micro-segmentación con herramientas nativas de cloud.

¿Zero Trust reemplaza el firewall? Los firewalls se convierten en un punto de aplicación entre muchos. El perímetro se disuelve; cada recurso se convierte en su propio perímetro.

¿Cómo mido la madurez Zero Trust? Usa el Modelo de Madurez Zero Trust de CISA o el marco Zero Trust eXtended de Forrester. Ambos proveen etapas claras de legacy a avanzado.