TechLeague

    Security

    Zero Trust en la práctica: lo que NIST SP 800-207 realmente exige

    TechLeague Editorial··10 min de lectura

    Zero Trust se volvió palabra de marketing. Casi todo fabricante vende una "solución Zero Trust" — y casi ninguna corresponde a lo que define NIST SP 800-207. Este artículo es el filtro entre doctrina y slide.

    Qué dice NIST SP 800-207, en una frase

    Zero Trust es un conjunto de principios de diseño donde la confianza nunca es implícita. Cada acceso se evalúa de forma continua, dinámica y con mínimo privilegio, considerando identidad, postura, contexto y riesgo — sin importar si el usuario está dentro o fuera del perímetro.

    Los 7 principios oficiales

    1. Toda fuente de datos y servicio se considera recurso.
    2. Toda comunicación se protege independientemente de la ubicación.
    3. El acceso a recursos se concede por sesión.
    4. El acceso lo determina política dinámica.
    5. Se monitorea integridad y postura de todos los activos.
    6. Toda autenticación/autorización es dinámica y aplicada antes del acceso.
    7. Se recopila el máximo de telemetría para mejorar la postura.

    Componentes (PE, PA, PEP)

    • Policy Engine (PE) — decide.
    • Policy Administrator (PA) — ejecuta la decisión.
    • Policy Enforcement Point (PEP) — aplica en el camino de datos.

    En Cisco real, PE/PA suele vivir en ISE integrado a SIEM/EDR; los PEPs son switches, WLC, firewalls y proxies (Umbrella/Secure Access).

    Lo que NO es Zero Trust

    • VPN tradicional con acceso a "toda la red".
    • MFA aislado, sin postura.
    • Microsegmentación solo por VLAN/IP.
    • Confianza implícita por estar en la oficina.

    Roadmap realista

    1. Inventario y clasificación.
    2. Identidad fuerte centralizada (IdP único, MFA universal).
    3. Postura del dispositivo (EDR, parches, cifrado).
    4. Microsegmentación por identidad (TrustSec/SGT, ZTNA).
    5. Política dinámica con telemetría continua.
    6. Reducir progresivamente la VPN.

    Cómo entrenar esto

    Zero Trust falla más por operación que por arquitectura. TechLeague no vende simuladores; pone al ingeniero en desafíos reales de segmentación, AAA y NAC con ranking público.

    Próximo paso

    Descarga NIST SP 800-207, lee secciones 2 y 3, y mapea tu red contra los 7 principios. Entrena en los torneos prácticos de TechLeague.