Arquitectura Zero Trust definición e implementación on-premise.
En los últimos años, el término Zero Trust se ha usado a veces como un buzzword de marketing. En este recurso repasamos los principios del Zero Trust y cómo desplegarlos on-premise, para la industria y el OT.
¿Qué es una arquitectura Zero Trust?
Una arquitectura Zero Trust parte de una premisa: la posición de un usuario, un equipo o un flujo dentro de la red no equivale a una autorización. La confianza implícita concedida a lo que está «dentro» desaparece. Cada solicitud de acceso se autentica, autoriza y verifica de forma continua, sea cual sea su origen.
Es una ruptura con el modelo perimetral, que considera fiable todo lo que ha pasado el cortafuegos. En una red industrial plana, ese atajo tiene un coste: un puesto comprometido alcanza un PLC o un servidor SCADA sin encontrar obstáculos. Zero Trust elimina ese camino.
Tres elementos estructuran el modelo: la identidad (quién, o qué, solicita el acceso), la política (lo que se permite, según el principio de mínimo privilegio) y la verificación continua (el control no termina al iniciar la sesión).
Los principios del Zero Trust
Autenticar y verificar
Cada acceso se autentica y autoriza a partir de todas las señales disponibles, identidad, equipo y contexto, y no solo de la posición en la red.
Mínimo privilegio
Cada usuario o sistema recibe solo el acceso que su tarea necesita, durante un tiempo determinado. En una red OT solo se abren los flujos legítimos entre un puesto de supervisión y el equipo que controla.
Suponer la brecha
La arquitectura se diseña asumiendo que parte de la red ya está comprometida. La segmentación fina, el registro y la contención del movimiento lateral confinan el incidente en lugar de dejarlo propagarse.
Zero Trust y los marcos: ANSSI, el marco europeo y NIS2
En Francia, la ANSSI es la referencia para los operadores críticos. Sus recomendaciones sobre segmentación, control de accesos y registro coinciden con los principios del Zero Trust, sin emplear siempre el mismo vocabulario. La agencia se mantiene prudente ante las ofertas «Zero Trust» empaquetadas y recomienda un despliegue progresivo, apoyado en lo existente.
A escala europea, la directiva NIS2 impone medidas de gestión de riesgos, segmentación, control de accesos y trazabilidad, que responden a la misma lógica. Para el OT, la norma IEC 62443 ofrece la traducción técnica con sus zonas y conductos; ENISA completa las buenas prácticas.
El modelo de arquitectura más citado sigue siendo la publicación NIST SP 800-207. Nombra los componentes de un sistema Zero Trust: un punto de decisión (PDP), que resuelve cada solicitud, y un punto de aplicación (PEP), que ejecuta la decisión junto al recurso. Este vocabulario PEP/PDP se ha impuesto como lenguaje común; complementa los marcos francés y europeo, no los sustituye.
| Marco | Rol respecto al Zero Trust |
|---|---|
ANSSI Francia · operadores críticos | Segmentación, control de accesos, registro; despliegue progresivo |
NIS2 Unión Europea · directiva 2022/2555 | Artículo 21: segmentación, control de accesos, trazabilidad |
IEC 62443 Norma técnica OT/ICS | Zonas y conductos: la traducción técnica de la segmentación |
ENISA Agencia europea de ciberseguridad | Buenas prácticas de seguridad de sistemas industriales |
NIST SP 800-207 Estados Unidos · modelo de referencia | Componentes PEP/PDP, microsegmentación, verificación continua |
Zero Trust on-premise: por qué la industria y el OT no pueden depender de la nube
La mayoría de las ofertas Zero Trust hacen pasar el control de accesos por un servicio en la nube. En un entorno industrial, esa hipótesis rara vez se sostiene: las redes OT están segmentadas, a veces aisladas (air-gapped), y la producción no puede depender de un servicio de terceros.
Tres restricciones exigen una implementación on-premise:
- Soberanía: los flujos y registros de un sistema crítico no tienen por qué salir del sitio, ni del territorio.
- Latencia: los bucles de control no toleran el rodeo por un punto de presencia remoto.
- Continuidad: un sitio debe seguir operativo incluso sin enlace a internet.
El Zero Trust on-premise aplica los mismos principios, pero el punto de decisión y el punto de aplicación permanecen en el sitio, bajo el control del operador. Es lo que hace aplicable el modelo a un entorno industrial sin renunciar a la disponibilidad ni a la soberanía.
Zero Trust, defensa en profundidad y modelo Purdue para el OT
Zero Trust no sustituye a la defensa en profundidad: la prolonga. Esta superpone capas de protección, cortafuegos, DMZ, bastionado, suponiendo que ninguna es infalible. Zero Trust le añade una verificación en cada capa, incluso dentro del perímetro, donde la defensa en profundidad suele detenerse.
El modelo Purdue ordena las redes industriales en niveles, del proceso físico (nivel 0) hasta la TI corporativa (niveles 4 y 5), con la frontera TI/OT en el nivel 3. Prestó servicios reales, pero sus fundamentos están en tensión, en particular por la convergencia IP y por flujos en tiempo real que atraviesan todos los niveles.
Muchas redes parecen segmentadas en el esquema y siguen planas en la práctica. Tres causas lo explican:
- Confianza por ubicación: un equipo se considera seguro porque está en la subred correcta, de modo que un atacante que entra en una capa hereda todo lo que esa capa permite.
- Ausencia de identidad de los equipos: PLC, RTU y sensores suelen comunicarse en claro, sin poder probar quiénes son.
- Ausencia de visibilidad bajo el perímetro: ni inventario unificado, ni traza de auditoría a nivel de sesión.
Llevar el Zero Trust al OT consiste en convertir los niveles Purdue en zonas de confianza unidas por conductos controlados (IEC 62443), bloquear el movimiento lateral con microsegmentación (PVLAN) en el conmutador, y aplicar la política en la red, sin agente en los equipos. El direccionamiento IP y el hardware existentes se conservan; los equipos antiguos, incapaces de alojar un agente, quedan protegidos igual que los más recientes.
Cómo Access Gate implementa el Zero Trust on-premise
Access Gate se despliega junto a la red existente, sin agente en los equipos OT y sin paradas de producción. Aplica los cuatro pilares del Zero Trust junto a los recursos, totalmente on-premise.
Autenticación
Establecer la identidad de cada usuario y de cada sistema antes de cualquier acceso: MFA, pantallas de acceso, integración con el directorio.
Control
Aplicar el mínimo privilegio mediante reglas explícitas, entre zonas, por usuario y por protocolo. Todo flujo no previsto se deniega por defecto.
Proxy
Intermediar las sesiones mediante un proxy que aplica la política junto al recurso, sin instalar nada en el equipo.
Auditoría
Registrar y grabar cada sesión para una trazabilidad con integridad probada, directamente utilizable en auditoría.
Arquitectura Zero Trust: lo esencial.
Verificación explícita, mínimo privilegio, suponer la brecha, on-premise
Una arquitectura Zero Trust no concede confianza a un usuario, un equipo o un flujo por el solo hecho de su posición en la red. Cada acceso se autentica, se restringe al mínimo privilegio y se verifica de forma continua. Se apoya en tres pilares: la identidad, una política de acceso al mínimo y la verificación continua.
Sí. Los principios del Zero Trust, verificación explícita, mínimo privilegio y suponer la brecha, no dependen de la nube. En un entorno industrial, el punto de decisión y el punto de aplicación permanecen en el sitio, bajo el control del operador. Es un requisito para las redes segmentadas o aisladas, para la soberanía de los datos y para la continuidad de producción sin enlace a internet.
La defensa en profundidad superpone capas de protección suponiendo que ninguna es perfecta. Zero Trust no la sustituye: la prolonga exigiendo una verificación en cada capa, hasta dentro del perímetro. Ambos enfoques son complementarios: Zero Trust cubre la confianza implícita que subsiste una vez cruzado el perímetro.
Tratando los niveles Purdue como zonas de confianza unidas por conductos controlados (IEC 62443): cada cruce de zona se convierte en un punto de verificación. Como muchos equipos OT no pueden ejecutar un agente, el control se aplica en la red, sin instalar nada en los PLC, HMI o sensores.
Las medidas del Artículo 21 de NIS2, segmentación, control de accesos y registro, corresponden a lo que implementa una arquitectura Zero Trust. Diseñar la red OT según estos principios es una vía directa hacia el cumplimiento de NIS2.