Lo que realmente requiere un despliegue Zero-Trust en OT
Independientemente del proveedor o la arquitectura que elija, desplegar Zero Trust en una red OT requiere cuatro cosas, en este orden:
-
Descubrimiento de dispositivos — Se necesita un inventario completo de cada dispositivo en la red: PLCs, HMIs, switches, historians, estaciones de trabajo de ingeniería y los flujos de comunicación entre ellos. No se pueden escribir políticas de acceso para dispositivos cuya existencia se desconoce.
-
Definición de zonas — Agrupe los dispositivos en zonas lógicas según su función, criticidad y requisitos de comunicación. El modelo de zonas y conductos de IEC-62443 es el marco estándar. Las zonas definen qué debe comunicarse con qué; todo lo demás se deniega por defecto.
-
Creación de políticas — Defina las reglas de acceso entre zonas: qué protocolos están permitidos, qué dispositivos tienen acceso entre zonas y qué constituye una violación. Estas políticas deben reflejar los patrones de tráfico operativo reales, no diagramas de red teóricos.
-
Aplicación — Aplique las políticas al tráfico en vivo. Bloquee los flujos no autorizados, registre las violaciones y monitorice los falsos positivos. Aquí es donde las soluciones de solo monitorización se detienen y comienza la segmentación.
Estos cuatro pasos son los mismos tanto si utiliza una pila Claroty/firewall, un despliegue de Cisco ISE, un fabric de Fortinet o un appliance Access Gate. La metodología no cambia. Lo que cambia es el tiempo que lleva cada paso y cuántos productos están involucrados.
Cómo se ve este cronograma con herramientas tradicionales
Con un enfoque tradicional de múltiples proveedores, los cuatro pasos anteriores se corresponden con ciclos de adquisición separados, despliegues separados y esfuerzos de integración separados:
| Fase | Qué ocurre | Duración típica |
|---|---|---|
| Despliegue de sensores de monitorización | Adquirir sensores, instalar en puertos SPAN, configurar gestión | 2-4 semanas |
| Descubrimiento de activos y establecimiento de línea base | Los sensores recopilan tráfico y construyen el inventario de activos de forma pasiva | 4-8 semanas |
| Diseño de zonas y planificación de políticas | Los arquitectos de red analizan los flujos de tráfico y definen zonas | 2-4 semanas |
| Adquisición de infraestructura de aplicación | Pedir firewalls, switches gestionados, appliances NAC | 4-8 semanas |
| Integración y despliegue de políticas | Conectar monitorización con aplicación, escribir reglas de firewall, probar | 2-4 semanas |
| Despliegue gradual de la aplicación | Habilitar políticas zona por zona, ajustar falsos positivos | 2-4 semanas |
| Total | 4-8 meses |
El cuello de botella no es ninguna fase en particular, sino los traspasos entre fases. Cada transición implica un proveedor diferente, un producto diferente y, con frecuencia, un equipo diferente. La plataforma de monitorización identifica patrones de tráfico, pero esos patrones deben traducirse manualmente en reglas de firewall. Las reglas de firewall deben probarse contra el tráfico de producción. Cada punto de integración es un posible retraso.
Durante esos 4-8 meses, la red permanece sin segmentar. El descubrimiento está ocurriendo, pero la aplicación no.
Esto no es una crítica a ningún producto específico. Claroty, Nozomi y Dragos son plataformas de monitorización sólidas. El cronograma es una consecuencia de la arquitectura: productos separados para funciones separadas requieren trabajo de integración entre ellos.
Cómo Access Gate comprime esto a 4 horas
Cuando la monitorización, la creación de políticas y la aplicación se incluyen en un único appliance, las cuatro fases de despliegue se ejecutan de forma consecutiva en lugar de esperar ciclos separados de adquisición e integración. Así es como se ve en la práctica, basándose en instalaciones en producción, incluido el despliegue de referencia documentado en la asociación con Thales.
Hora 0-1: Instalación física y configuración inicial
Qué ocurre:
- Desempaquetar el appliance Access Gate
- Montarlo en rack en el armario de red (factor de forma 1U, rack estándar de 19")
- Conectar el puerto de monitorización a un puerto SPAN/mirror de un switch (esto proporciona al appliance visibilidad pasiva del tráfico de red)
- Conectar el puerto de gestión a una VLAN de gestión o directamente a un portátil
- Encender
Lo que ve el operador:
El appliance arranca en menos de 3 minutos. La consola web es accesible en la IP de gestión. El asistente de configuración inicial guía a través de:
- Establecer credenciales de administrador
- Configurar interfaces de red (IP de gestión, interfaz de monitorización)
- Establecer zona horaria y fuente NTP (o tiempo manual si está air-gapped)
- Nombrar el sitio
Sin agentes que instalar. Sin cuenta en la nube que crear. Sin servidor de licencias al que conectarse. El appliance valida su licencia localmente.
Al final de la Hora 1: El appliance está físicamente instalado, encendido, conectado a la red y accesible a través de su consola de gestión.
Hora 1-2: Descubrimiento de red
Qué ocurre:
- Habilitar el descubrimiento pasivo en la interfaz de monitorización
- El appliance escucha todo el tráfico en el puerto SPAN
- Los dispositivos se identifican por dirección MAC, dirección IP, nombre de host (si está disponible) y huella de protocolo
- Los flujos de comunicación entre dispositivos se mapean automáticamente
Lo que ve el operador:
El inventario de activos se completa en tiempo real. En 15-30 minutos, el appliance ha identificado la mayoría de los dispositivos activos en la red. El panel muestra:
- Lista de dispositivos con IP, MAC, fabricante (de la base de datos OUI) y protocolos detectados
- Un mapa de red que muestra qué dispositivos se comunican con cuáles
- Desglose de protocolos: qué porcentaje del tráfico es Modbus TCP, EtherNet/IP, OPC UA, HTTP, etc.
- Tráfico no reconocido o anómalo marcado para revisión
| Resultado del descubrimiento | Red típica de 50 dispositivos |
|---|---|
| Dispositivos identificados | 45-55 (incluida la infraestructura) |
| Flujos de comunicación mapeados | 200-400 flujos únicos |
| Protocolos detectados | 8-15 protocolos distintos |
| Tiempo hasta cobertura del 90% | 20-40 minutos |
| Tiempo hasta cobertura del 99% | 2-4 horas (captura sondeos infrecuentes) |
Nota: Algunos dispositivos solo se comunican en intervalos de sondeo largos (p. ej., copias de seguridad diarias del historian, comprobaciones semanales de firmware). El appliance continúa el descubrimiento en segundo plano y añade los dispositivos recién detectados al inventario durante los días siguientes.
Al final de la Hora 2: El operador tiene una imagen completa de qué hay en la red, qué se comunica con qué y qué protocolos están en uso. Este es el inventario de activos que la mayoría de las organizaciones tardan semanas en construir manualmente.
Hora 2-3: Creación de políticas y definición de zonas
Qué ocurre:
- Definir zonas de red basadas en la topología descubierta (p. ej., "Zona PLC", "Zona HMI", "Estaciones de trabajo de ingeniería", "IT DMZ")
- Asignar dispositivos a zonas: arrastrar y soltar en la consola o asignación automática por subred
- Definir reglas de acceso entre zonas:
- Qué zonas pueden comunicarse con cuáles
- Qué protocolos están permitidos por par de zonas
- Qué dispositivos tienen acceso entre zonas (p. ej., el historian que lee de la zona PLC)
- Configurar la segmentación superpuesta: el appliance crea segmentos de red lógicos sin requerir cambios físicos en la red
Lo que ve el operador:
El editor de políticas presenta los flujos de comunicación descubiertos como línea base. El operador decide qué flujos son legítimos y deben permitirse, y cuáles deben bloquearse. Para una red de 50 dispositivos, esto implica típicamente:
- 4-8 definiciones de zonas
- 10-20 reglas de acceso entre zonas
- 5-10 excepciones específicas por dispositivo
El appliance sugiere políticas basadas en los patrones de tráfico observados. El operador revisa y aprueba. No se trata de políticas autogeneradas que se ejecutan sin supervisión: el operador toma cada decisión, pero el appliance hace el trabajo pesado de identificar qué debe decidirse.
Al final de la Hora 3: Las definiciones de zonas y las políticas de acceso están configuradas. El appliance sabe qué tráfico debe existir en la red y qué no.
Hora 3-4: Aplicación y verificación
Qué ocurre:
- Cambiar del modo monitorización al modo aplicación
- El appliance comienza a aplicar activamente las políticas definidas
- El tráfico legítimo fluye sin interrupciones
- El tráfico no autorizado entre zonas se bloquea y se registra
- El operador monitoriza el panel en busca de falsos positivos: tráfico legítimo bloqueado incorrectamente
Lo que ve el operador:
El panel de aplicación muestra:
- Flujos permitidos: tráfico que coincide con una regla de política, fluyendo con normalidad
- Flujos bloqueados: tráfico que viola una regla de política, descartado con una entrada de registro
- Alertas: posibles falsos positivos marcados para revisión del operador
En la práctica, los primeros 30 minutos de aplicación requieren monitorización activa. El operador observa los flujos bloqueados que deberían estar permitidos y añade excepciones según sea necesario. Tras el ajuste inicial, la aplicación funciona de forma autónoma.
| Métrica de aplicación | Valores típicos |
|---|---|
| Flujos legítimos correctamente permitidos | 98-99% en el primer paso |
| Falsos positivos que requieren ajuste | 3-8 reglas en la primera hora |
| Tiempo hasta aplicación estable | 30-60 minutos de ajuste activo |
| Registros generados por hora | 500-2.000 entradas |
Al final de la Hora 4: La red está segmentada, las políticas de acceso se aplican y el registro de auditoría está en funcionamiento. Zero Trust está operativo.
Qué ocurre después de la Hora 4
El despliegue no es el final. Así es la operación continua:
Día 2
- Revisar los registros nocturnos en busca de tráfico bloqueado que no debería haberlo sido (dispositivos con patrones de comunicación infrecuentes)
- Añadir 1-3 excepciones de política adicionales basadas en la actividad nocturna
- Verificar que todos los procesos de producción funcionaron con normalidad durante el primer cambio de turno
Semana 1
- El descubrimiento ha capturado ya el 99%+ de los dispositivos, incluidos los de intervalos de sondeo largos
- Revisar el inventario completo de activos y marcar cualquier dispositivo desconocido o no autorizado
- Ajustar los límites de zona si el descubrimiento reveló patrones de comunicación inesperados
- Ejecutar un informe de cumplimiento para verificar el mapeo de controles con el marco objetivo (CMMC, NIS2, IEC-62443)
Mes 1
- El sistema está en operación estable
- Revisar los registros de auditoría mensuales y exportarlos para documentación de cumplimiento
- Probar la política contra un escenario simulado de movimiento lateral
- Documentar el despliegue para el auditor de cumplimiento
- Carga de gestión continua: 2-4 horas por semana para una red de 50 dispositivos
La metodología, resumida
Tanto si despliega en 4 horas como en 4 meses, la metodología subyacente es la misma:
- Descubrir todo lo que hay en la red
- Definir zonas según función y riesgo
- Crear políticas basadas en el tráfico observado
- Aplicar y ajustar
El enfoque tradicional distribuye estos pasos a lo largo de meses porque cada paso implica un producto diferente y un esfuerzo de integración diferente. Un appliance integrado los ejecuta de forma consecutiva porque no hay traspasos.
| Fase | Enfoque tradicional multi-proveedor | Appliance integrado (Access Gate) |
|---|---|---|
| Instalación física | 1-2 días | 1 hora |
| Descubrimiento de activos | 4-8 semanas (manual + sensor) | 1 hora (pasivo) |
| Definición de políticas | 2-4 semanas | 1 hora |
| Infraestructura de aplicación | 4-8 semanas (adquirir + desplegar) | Incluida en el appliance |
| Aplicación de políticas | 2-4 semanas (integrar + probar) | 1 hora |
| Total hasta la aplicación | 4-8 meses | 4 horas |
La diferencia de velocidad es arquitectónica, no mágica. Si su despliegue requiere inspección profunda de protocolos, orquestación multi-sitio o integración con una pila SIEM/SOAR existente, el cronograma será más largo independientemente del producto que elija. El cronograma de 4 horas aplica a despliegues en un único sitio donde el objetivo es monitorización + aplicación con un único appliance.
Para organizaciones con múltiples sitios, consulte cómo este mismo modelo de despliegue escala en nuestra guía sobre seguridad OT multi-sitio en más de 50 ubicaciones. Para una comparación del enfoque de segmentación superpuesta frente a las VLANs tradicionales, lea redes superpuestas vs VLANs para segmentación OT. Si dispone de un armario de red, un puerto SPAN y una tarde libre, su red OT puede estar segmentada y con políticas aplicadas antes de que termine el día.
Para más recursos de Zero Trust OT, guías de arquitectura y comparativas, visite el hub de Zero Trust para redes OT.
