Sucursal Zero Trust : diga adiós al movimiento lateral de amenazas

La creciente variedad de redes y niveles de seguridad

Las arquitecturas de red tradicionales fueron diseñadas para un mundo en el que todos sus empleados trabajaban desde la oficina y sus aplicaciones estaban en centros de datos. Construimos y optimizamos redes privadas para conectar sucursales y centros de datos utilizando tecnologías como MPLS y VPN de sitio a sitio, y más recientemente SD-WAN, y aseguramos el perímetro con cortafuegos: los elementos en la red eran confiables y los elementos fuera de esta no lo eran.

A medida que las aplicaciones se trasladaron a la nube y las organizaciones se volvieron más distribuidas, simplemente ampliamos esta red a ubicaciones remotas, socios y la nube. Estas redes siguieron disfrutando de demasiada confianza implícita. Los intentos de segmentar estas redes mediante cortafuegos sólo han contribuido a una proliferación interminable de cortafuegos, proyectos de segmentación de larga duración, y una explosión en costes y complejidad, causando el uso intensivo de recursos de los equipos de infraestructuras.

Las SD-WAN tradicionales facilitan los ataques de ransomware

Si bien estas arquitecturas de red heredadas han facilitado la comunicación entre usuarios, dispositivos y cargas de trabajo, también facilitan el movimiento lateral de amenazas. Un solo dispositivo infectado en una sucursal puede llegar e infectar sus aplicaciones más importantes en el centro de datos o la nube. Esta es una de las principales formas en que se propagan los ataques de ransomware. Según el Informe sobre ransomware ThreatLabz de 2024, sólo el aó pasado fuimos testigos de un aumento del 58 % en la cantidad de empresas extorsionadas, con pagos récord que alcanzaron 75 millones de dólares estadounidenses. Los ataques de ransomware siguen proliferando por una sencilla razón: las SD-WAN tradicionales amplían su superficie de ataque y permiten el movimiento lateral.

Seguir utilizando arquitecturas heredadas en un mundo moderno no sólo aumenta los costes y la complejidad, sino que también hace que sea vulnerable.

Sucursal Zero Trust: sin movimiento lateral, sin cortafuegos

Con una arquitectura de sucursal Zero Trust, no es necesario ampliar su red a todas partes: sus sucursales se convierten en espacios similares a cafeterías. Los usuarios, dispositivos y aplicaciones se comunican a través de Zero Trust Exchange mediante una conexión de banda ancha o celular. No hay puertos abiertos atentos a conexiones VPN que los atacantes puedan explotar. Un dispositivo en una ubicación no puede analizar la red para encontrar dispositivos y aplicaciones en otras ubicaciones. Sin una red enrutable y plana, no se necesitan cortafuegos en cada sucursal.

La sucursal Zero Trust es posible gracias a tres innovaciones clave de Zscaler. En primer lugar, Zscaler Zero Trust SD-WAN reemplaza a su SD-WAN tradicional, MPLS o VPN de sitio a sitio y facilita las comunicaciones entrantes y salientes seguras desde su sucursal. Mediante un dispositivo Zscaler Edge que finaliza y administra directamente sus conexiones de ISP, Zero Trust SD-WAN optimiza el rendimiento de la aplicación y brinda protección total de datos y frente a amenazas cibernéticas para todo el tráfico de usuarios, dispositivos y servidores de la sucursal. Con tres dispositivos físicos (ZT 400, ZT 600 y ZT 800) y un dispositivo virtual (ZT VM), las organizaciones pueden conectar una variedad de sucursales, centros educativos, fábricas y centros de datos a Zero Trust Exchange.

Nos complace anunciar nuevos dispositivos Zsaler Edge con soporte móvil 5G, como conexión ISP principal o de respaldo, para proteger ubicaciones adicionales como cajeros automáticos, oficinas de campo y tiendas minoristas. Además, también nos complace anunciar dispositivos de mayor rendimiento compatibles con un rendimiento cifrado de hasta 5 Gbps para permitir múltiples conexiones de fibra gigabit que funcionen en modo activo-activo.

Zero Trust SD-WAN garantiza que las amenazas no puedan moverse lateralmente entre los sitios. Dentro de los sitios, las innovaciones de Zscaler en segmentación de dispositivos Zero Trust le ayudan a segmentar aún más cada dispositivo hasta convertirlo en una red individual, lo que elimina la necesidad de cortafuegos este-oeste, NAC y costosos conmutadores propietarios. Esta solución innovadora, que se puede implementar en horas, detecta, identifica y segmenta todos los dispositivos (incluso los sistemas OT heredados) y elimina todo movimiento lateral dentro del sitio.

Otro factor de riesgo importante para el movimiento lateral de amenazas es el acceso de proveedores y contratistas externos a los sistemas y servidores OT. Tradicionalmente, esto ha requerido una conexión de red o una VPN que llevaba dispositivos no gestionados/desconocidos a su red con acceso directo a sus activos críticos. Zscaler Privileged Remote Access ofrece un enfoque más seguro que no requiere una conexión de red entre terceros y su infraestructura. Mediante el acceso basado en navegador sin cliente y la tecnología de transmisión de píxeles con control de teclado y mouse, puede permitir que los técnicos remotos accedan de manera segura a sus sistemas OT, con supervisión completa, grabación de sesiones y controles de sandbox de archivos, para ayudar a minimizar el riesgo para sus fábricas y garantizar la seguridad del personal.

Reduzca costes, mejore la seguridad

Una arquitectura de sucursal tipo cafetería proporciona numerosas ventajas a los equipos de infraestructura y los usuarios finales.

• Menor coste: dado que no extiende su red a todas partes, la infraestructura que ocupa y el coste se reducen significativamente. No necesita proteger cada sucursal con cortafuegos, al igual que no protege la red doméstica de cada empleado. Elimina la complejidad del enrutamiento y la administración de políticas de cortafuegos.

• Mayor seguridad:El ransomware no puede moverse lateralmente entre sitios o incluso entre dispositivos dentro del mismo sitio. Además, su superficie de ataque se reduce: las sucursales ya no son objetivos efectivos. Zero Trust Exchange brinda protección completa contra amenazas cibernéticas y los datos, lo que garantiza que los dispositivos no se comuniquen con sitios de comando y control conocidos ni filtren datos a través de canales como DNS.

• Mejor experiencia de usuario: dado que ya no es necesario enviar tráfico a través de su centro de datos para realizar inspecciones de seguridad, las aplicaciones se ejecutan más rápido y los usuarios obtienen una experiencia mejor y más consistente en la oficina y en casa. También elimina las desventajas en términos de rendimiento y seguridad: todo el tráfico, incluido el tráfico cifrado con TLS, se puede inspeccionar en Zero Trust Exchange sin penalizaciones de rendimiento.

Zscaler Zero Trust Branch no sólo simplifica la arquitectura de su sucursal ( reduciendo los costes de infraestructura hasta en un 50 %), sino que también mejora el rendimiento y ofrece una experiencia de usuario excepcional. Y lo mejor de todo es que, con una arquitectura zero trust, elimina el movimiento lateral de amenazas y detiene los ataques de ransomware.

Obtenga más información sobre las innovaciones de Zero Trust Branch en nuestra página de recursos de lanzamiento.