Quién debería leer este libro

¿Te ha resultado restrictiva la sobrecarga de los cortafuegos centralizados? ¿Quizá incluso te ha parecido que su funcionamiento es ineficaz? ¿Has luchado con los dolores de cabeza de las VPN, la configuración de TLS en una miríada de aplicaciones e idiomas, o las dificultades de cumplimiento y auditoría? Estos problemas representan sólo un pequeño subconjunto de los que aborda el modelo de confianza cero. Si piensas que tiene que haber una forma mejor, estás de suerte: este libro es para ti.

Los ingenieros de redes, los ingenieros de seguridad, los directores de tecnología y todos los demás pueden beneficiarse de los conocimientos sobre confianza cero. Incluso sin un conjunto de habilidades especializadas, muchos de los principios incluidos pueden entenderse claramente, ayudando a los líderes a tomar decisiones que les acerquen a la realización del modelo de confianza cero, mejorando su postura general de seguridad de forma incremental.

Además, los lectores con experiencia en el uso de sistemas de gestión de la configuración verán la oportunidad de utilizar esas mismas ideas para construir un sistema en red más seguro y operativo, en el que los recursos sean seguros por defecto. Les interesará saber cómo los sistemas de automatización pueden permitir un nuevo diseño de red capaz de aplicar controles de seguridad de grano fino con mayor facilidad.

Por último, este libro también explora el diseño maduro de confianza cero, que permite a quienes ya han incorporado las filosofías básicas aumentar la solidez de sus sistemas de seguridad.

Por qué escribimos este libro

Empezamos a hablar de nuestro enfoque del diseño de sistemas y redes en conferencias del sector en 2014. En aquel momento, utilizábamos sistemas de gestión de la configuración para definir rigurosamente el estado del sistema, aplicando cambios programáticamente como reacción a los cambios topológicos. Como resultado de aprovechar las herramientas de automatización para este fin, nos encontramos de forma natural calculando mediante programación los detalles de aplicación de la red en lugar de gestionar dicha configuración a mano. Descubrimos que utilizar la automatización para capturar el diseño del sistema de este modo nos permitía implementar y gestionar las funciones de seguridad, incluidos el control de acceso y el cifrado, con mucha más facilidad que en sistemas anteriores. Aún mejor, hacerlo nos permitió depositar mucha menos confianza en la red de la que normalmente depositarían otros sistemas, lo cual es una consideración clave de seguridad cuando se opera en y a través de nubes públicas.

Por esas mismas fechas, se publicó en el primer documento BeyondCorp de Google, en el que se describía cómo se estaban replanteando el diseño de sistemas y redes para eliminar la confianza de la red. Vimos muchas similitudes filosóficas en la forma en que Google enfocaba la seguridad de su red y en la forma en que nosotros abordábamos problemas similares en nuestros propios sistemas. Estaba claro que reducir la confianza en la red no era sólo nuestra propia preferencia/opinión de diseño, sino la dirección general hacia la que se dirigía la industria. Con la comprensión adquirida al comparar el documento de BeyondCorp con nuestros propios esfuerzos, empezamos a compartir una comprensión más amplia de esta arquitectura y filosofía en varias conferencias.

Los asistentes estaban comprometidos e interesados en lo que hacíamos, pero la pregunta que oíamos con frecuencia era: "¿Dónde puedo aprender más sobre cómo hacer esto en mi propio sistema?". Por desgracia, la respuesta solía ser "Bueno, no hay mucho... ven a verme después". La falta de información y orientación a disposición del público se convirtió en una laguna evidente que queríamos corregir. Este libro pretende llenar ese vacío.

Mientras escribíamos este libro, hablamos con personas de docenas de empresas para conocer su perspectiva sobre los diseños de seguridad de las redes. Descubrimos que muchas de esas empresas estaban reduciendo ellas mismas la confianza de sus redes internas. Aunque cada organización adoptó un enfoque ligeramente distinto en su propio sistema, estaba claro que todas trabajaban bajo el mismo modelo de amenaza y, como resultado, estaban construyendo soluciones que compartían muchas propiedades.

Nuestro objetivo con este libro no es presentar una o dos soluciones concretas para construir este tipo de sistemas, sino definir un modelo de sistema que no confíe en su red de comunicaciones. Por lo tanto, este libro no se centrará en el uso de software o implementaciones específicas, sino que explorará los conceptos y filosofías que se utilizan para construir una red de confianza cero. Esperamos que te resulte útil tener un modelo mental claro de cómo construir este tipo de sistema cuando construyas tu propio sistema, o mejor aún, soluciones reutilizables para los problemas que aquí se describen.

Redes de Confianza Cero Hoy

El modelo de confianza cero fue concebido originalmente por John Kindervag, de Forrester, en 2010. Trabajó durante muchos años para establecer modelos arquitectónicos y orientaciones para construir redes de confianza cero, y ha asesorado a muchas grandes empresas sobre cómo evolucionar su postura de seguridad para conseguir garantías de confianza cero. John era, y sigue siendo, una figura importante en este campo. Su trabajo en el área informó en gran medida nuestra comprensión del estado de la unión, y le damos las gracias por popularizar la confianza cero durante sus años de formación.

Las redes de confianza cero actuales se construyen en gran medida utilizando componentes de software listos para usar, con software y pegamento personalizados para integrar los componentes de formas novedosas. Por ello, cuando leas este texto, ten en cuenta que la implementación de este tipo de sistema no es tan fácil como instalar y configurar un hardware o software ya preparado... todavía.

Podría decirse que la falta de componentes fáciles de implementar que funcionen bien juntos es una oportunidad. Un conjunto de herramientas de código abierto podría ayudar a impulsar la adopción de redes de confianza cero.

Navegar por este libro

Este libro está organizado como sigue:

• Los capítulos 1 y 2 tratan de los conceptos fundamentales en juego en una red de confianza cero.
• Los capítulos 3 y 4 exploran los nuevos conceptos que suelen verse en las redes maduras de confianza cero: los agentes de red y los motores de confianza.
• Los capítulos 5-8 detallan cómo se establece la confianza entre los actores de una red. La mayor parte de este contenido se centra en la tecnología existente que podría ser útil incluso en un modelo de seguridad de red tradicional.
• El capítulo 9 reúne todo este contenido para hablar de cómo podrías empezar a crear tu propia red de confianza cero, e incluye dos estudios de casos.
• El capítulo 10 examina el modelo de confianza cero desde un punto de vista contradictorio. Explora las debilidades potenciales, discutiendo cuáles están bien mitigadas y cuáles no.

Convenciones utilizadas en este libro

En este libro se utilizan las siguientes convenciones tipográficas:

Cursiva

Indica nuevos términos, URL, direcciones de correo electrónico, nombres de archivo y extensiones de archivo.

Constant width

Se utiliza en los listados de programas, así como dentro de los párrafos para referirse a elementos del programa como nombres de variables o funciones, bases de datos, tipos de datos, variables de entorno, sentencias y palabras clave.

Constant width bold

Muestra comandos u otros textos que deben ser tecleados literalmente por el usuario.

Constant width italic

Muestra el texto que debe sustituirse por valores proporcionados por el usuario o por valores determinados por el contexto.

Safari O'Reilly

Los miembros tienen acceso a miles de libros, vídeos de formación, rutas de aprendizaje, tutoriales interactivos y listas de reproducción de más de 250 editoriales, como O'Reilly Media, Harvard Business Review, Prentice Hall Professional, Addison-Wesley Professional, Microsoft Press, Sams, Que, Peachpit Press, Adobe, Focal Press, Cisco Press, John Wiley & Sons, Syngress, Morgan Kaufmann, IBM Redbooks, Packt, Adobe Press, FT Press, Apress, Manning, New Riders, Jones & Bartlett y Course Technology, entre otras. Sons, Syngress, Morgan Kaufmann, IBM Redbooks, Packt, Adobe Press, FT Press, Apress, Manning, New Riders, McGraw-Hill, Jones & Bartlett y Course Technology, entre otras.

Para más información, visita http://oreilly.com/safari.

Cómo contactar con nosotros

Dirige tus comentarios y preguntas sobre este libro a la editorial:

• O'Reilly Media, Inc.
• 1005 Gravenstein Highway Norte
• Sebastopol, CA 95472
• 800-998-9938 (en Estados Unidos o Canadá)
• 707-829-0515 (internacional o local)
• 707-829-0104 (fax)

Tenemos una página web para este libro, donde se enumeran erratas, ejemplos y cualquier información adicional. Puedes acceder a esta página en http://bit.ly/zeroTrustNetworks.

Para hacer comentarios o preguntas técnicas sobre este libro, envía un correo electrónico a bookquestions@oreilly.com.

Para más información sobre nuestros libros, cursos, conferencias y noticias, consulta nuestro sitio web en http://www.oreilly.com.

Encuéntranos en Facebook: http://facebook.com/oreilly

Síguenos en Twitter: http://twitter.com/oreillymedia

Míranos en YouTube: http://www.youtube.com/oreillymedia

Agradecimientos

Queremos dar las gracias a nuestra editora, Courtney Allen, por su ayuda y orientación durante el proceso de redacción. Gracias también a Virginia Wilson, Nan Barber y Maureen Spencer por su ayuda durante la revisión.

Tuvimos la oportunidad de reunirnos con muchas personas durante la redacción de este contenido, y agradecemos su disposición a hablar con nosotros y a proporcionarnos información sobre otras personas que trabajan en este ámbito. Gracias a Rory Ward, Junaid Islam, Stephen Woodrow, John Kindervag, Arup Chakrabarti, Julia Evans, Ed Bellis, Andrew Dunham, Bryan Berg, Richo Healey, Cedric Staub, Jesse Endahl, Andrew Miklas, Peter Smith, Dimitri Stiliadis, Jason Chan y David Cheney.

Un agradecimiento especial a Betsy Beyer por escribir el caso práctico de Google BeyondCorp incluido en el libro. Apreciamos mucho su disposición a trabajar para que se incluyera ese contenido. Muchas gracias.

Gracias a nuestros revisores técnicos, Ryan Huber, Kevin Babcock y Pat Cable. Sus comentarios nos han parecido inestimables y agradecemos el tiempo que han dedicado a leer los borradores iniciales.

A Doug le gustaría dar las gracias a su mujer, Erin, y a sus hijas, Persephone y Daphne, por ser tan comprensivas con el tiempo que me llevó escribir este libro.

Evan agradece a su pareja, Kristen, todo su apoyo durante la redacción de este libro. También quiere dar las gracias a Kareem Ali y a Kenrick Thomas: sin ellos, nada de esto habría sido posible.