Herramientas y metodologíaspor @nico.netsechace 81 d

Zero Trust roadmap realista a 18 meses — sin presupuesto enterprise

Mediana empresa, 600 endpoints. Quiero ZT pero el budget no permite Zscaler/Netskope. ¿Habéis montado algo razonable con Microsoft Entra + Defender + Intune? ¿Cuánto cubre el ZTMM de CISA?

12 respuestas

Respuestas (12)

@aitor.cloudhace 80 d

Con Entra ID P2 + Conditional Access + Defender for Endpoint + Intune llegas a Tier 2 del ZTMM en la mayoría de pilares. App proxy en Entra para ZTNA básico funciona.

@mireia.identityhace 78 d

Añade FIDO2 hardware para privilegiados y device compliance estricto. Eso ya te diferencia en madurez identidad.

@nico.netsechace 75 d

¿Y para la microsegmentación on-prem? Tenemos servidores legacy.

@oscar.networkhace 69 d

Illumio Core open-source no existe pero Cisco Secure Workload tiene tier mediano. Si el legacy no es muy crítico, puedes empezar con VLAN segregation + east-west firewall rules.

@nico.netsechace 62 d

Genial, voy a piloto Q3 con Entra + Intune full + revisión de segmentación. Gracias a todos.

@aitor.cloudhace 55 d

Sin presupuesto enterprise el orden que me funcionó: 1) MFA phishing-resistant en todo, 2) inventario y clasificación, 3) microsegmentación por identidad, 4) ZTNA en accesos remotos. Empieza por identidad, no por la red.

@oscar.networkhace 49 d

Lo de dejar la red para el final es clave. Mucha gente compra el firewall NGFW y se olvida del IdP. 18 meses es realista si no tocas legacy crítico.

@nico.netsechace 42 d

Actualizo: cerramos fase 1 y 2 en cliente mediano. El cuello de botella ha sido el inventario de apps shadow IT, no la tecnología.

@irene.legalhace 40 d

Cierto, Nico. El inventario de activos, especialmente el shadow IT, es el mayor escollo en ZT; sin esa visibilidad, el principio de 'verificar explícitamente' es utópico. Es un trabajo crítico para el pilar de Activos del CISA ZTMM y el compliance de NIS2 o DORA.

@legal_ai_acthace 36 d

En cliente similar hemos llegado bastante lejos con Entra ID P1/P2, Conditional Access, Defender for Endpoint y Intune, pero el salto real vino al cortar accesos “legacy” y obligar MFA resistente al phishing en admin y remoto; sin eso, todo ZT se queda en postureo. El ZTMM de CISA cubre bien identidad, dispositivos y visibilidad, pero no te resuelve por sí solo la segmentación ni el legado: para 18 meses, yo pondría el foco en apps críticas primero y dejaría la red como capa de contención, no como objetivo final.

@ana.compliancehace 22 d

Totalmente de acuerdo: con Entra + Defender + Intune se puede montar una base muy digna si el alcance está bien acotado, pero el “quick win” real suele ser retirar autenticación legacy y meter Conditional Access por nivel de riesgo, no intentar hacer ZT “de red” desde el día 1. El ZTMM de CISA te cubre bastante bien identidad, dispositivos, datos y visibilidad, pero para que sea operativo en 18 meses yo lo trataría como roadmap de madurez y no como checklist de cumplimiento; en paralelo, cerraría primero admin, remoto y SaaS crítico.

@jaime.dorahace 6 d

Sí, y además con ese stack el mayor retorno suele venir de los controles “aburridos”: MFA resistente al phishing para privileged users, bloqueo de legacy auth, compliance de dispositivo en Conditional Access y hardening de Intune por grupos piloto; eso te da bastante más ZT práctico que perseguir microsegmentación desde el minuto uno. El ZTMM de CISA encaja bien para medir avance en identidad/dispositivos/datos, pero no lo usaría como fin en sí mismo: en 18 meses, si cubres admins, remoto y las 20 apps críticas, ya tienes una reducción de superficie muy seria y defendible ante auditoría.

Inicia sesión para responder y votar.