Zpedia 

/ ¿Qué es el acceso a la red de confianza cero?

¿Qué es el acceso a la red de confianza cero?

El acceso a la red de confianza cero (ZTNA), también conocido como perímetro definido por software (SDP), es un conjunto de tecnologías y funcionalidades que permiten el acceso seguro de los usuarios remotos a las aplicaciones internas. Funciona con un modelo de confianza adaptable en el que la confianza nunca es implícita y el acceso se concede en función de la necesidad de saber y del acceso menos privilegiado, definido por políticas granulares. ZTNA ofrece a los usuarios remotos una conectividad segura a las aplicaciones privadas sin colocarlas en la red ni exponerlas a Internet.

¿Cómo funciona ZTNA?

Seguridad de confianza cero es una expresión muy de moda en la actualidad. Aunque muchas organizaciones han cambiado sus prioridades para adoptar la confianza cero, el acceso a la red de confianza cero (ZTNA) es la estrategia que subyace al logro de un modelo de confianza cero eficaz.

El camino hacia la confianza cero como ideología puede carecer del nivel de concreción deseado, por lo que ZTNA proporciona un marco claro y definido para que las organizaciones lo sigan. También es un componente del modelo de seguridad del perímetro de servicio de acceso seguro (SASE), que, además de ZTNA, integran cortafuegos de próxima generación (NGFW), SD-WAN y otros servicios en una plataforma nativa de la nube.

Aunque la necesidad de proteger al personal remoto se ha convertido en algo crucial, las soluciones centradas en la red, como las redes privadas virtuales (VPN) y los cortafuegos, crean una superficie de ataque que se puede explotar. ZTNA adopta un enfoque fundamentalmente diferente para proporcionar un acceso remoto seguro a las aplicaciones internas basado en estos cuatro principios fundamentales:

  1. ZTNA aísla completamente el acto de proporcionar acceso a la aplicación del acceso a la red. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos comprometidos, y solo concede acceso a aplicaciones específicas y exclusivamente a usuarios autorizados que hayan sido autenticados.
  2. ZTNA crea conexiones de solo salida, lo que garantiza que tanto la red como la infraestructura de la aplicación son invisibles para los usuarios no autorizados. Las IP nunca quedan expuestas a Internet, creando una "red oscura" que hace que la red sea imposible de encontrar.
  3. La segmentación nativa de aplicaciones de ZTNA garantiza que, una vez que los usuarios estén autorizados, el acceso a las aplicaciones se otorgará de forma individual. Los usuarios autorizados tienen acceso únicamente a aplicaciones específicas, en lugar de tener acceso total a la red. La segmentación evita el acceso excesivamente permisivo, así como el riesgo de movimiento lateral de malware y otras amenazas.
  4. ZTNA adopta un enfoque de usuario a aplicación en lugar de un enfoque de seguridad de red tradicional. La red pierde relevancia e Internet se convierte en la nueva red corporativa, aprovechando los microtúneles TLS cifrados de extremo a extremo en lugar de MPLS.

Image

 

Cita

ZTNA mejora la flexibilidad, la agilidad y la escalabilidad, permitiendo que los ecosistemas digitales funcionen sin exponer los servicios directamente a Internet, reduciendo los riesgos de ataques distribuidos de denegación de servicios.

Gartner, Guía del mercado sobre el acceso a red de confianza cero, abril de 2019

Desde el punto de vista de la arquitectura, ZTNA funciona de forma fundamentalmente diferente a las soluciones centradas en la red. Se ejecuta en un perímetro definido por software, o SDP, que distribuye el acceso a aplicaciones internas en función de la identidad de un usuario. Esto elimina la sobrecarga de la gestión de dispositivos. ZTNA también ayuda a las organizaciones a simplificar las pilas de entrada, ya que ya no necesitan sus concentradores VPN y sus VPN, la protección DDoS, el equilibrio de carga global ni los dispositivos de cortafuegos.

Hay dos modelos clave de arquitectura ZTNA. Este artículo pone de relieve la arquitectura ZTNA iniciada por servicio que figura a continuación.

Para obtener más información, lea la Guía de mercado de Gartner sobre el acceso a red de confianza cero.

¿Cuál es la diferencia entre VPN y ZTNA?

Entre las soluciones de seguridad heredadas más populares que se utilizan hoy en día, las VPN están destinadas a simplificar la gestión del acceso permitiendo a los usuarios finales acceder de forma segura a una red, y por lo tanto a los recursos corporativos, a través de un túnel designado, normalmente mediante el inicio de sesión único (SSO).

Durante muchos años, las VPN funcionaron bien para los usuarios que necesitaban trabajar a distancia durante uno o dos días. Sin embargo, a medida que el número de trabajadores remotos a largo plazo fue aumentando, la falta de escalabilidad, junto con altos costes y requisitos de mantenimiento hacían que las VPN fuera ineficaces. Además, la rápida adopción de la nube pública no solo hizo más difícil aplicar políticas de seguridad a los trabajadores remotos, sino que también perjudicó la experiencia de los usuarios.

Sin embargo, el principal problema de las VPN es la superficie de ataque que crean. Cualquier usuario o entidad con las credenciales de SSO correctas puede iniciar sesión en una VPN y moverse lateralmente por toda la red, lo que les da acceso a todos los recursos y datos que la VPN pretendía proteger.

ZTNA protege el acceso de los usuarios concediéndolo según el principio del mínimo privilegio. En lugar de confiar en las credenciales correctas, la confianza cero únicamente se autentica en el contexto correcto, es decir, cuando el usuario, la identidad, el dispositivo y la ubicación coinciden.

Además, ZTNA proporciona acceso granular en lugar de acceso a la red. Los usuarios se conectan directamente y de forma segura a las aplicaciones y datos que necesitan, lo que evita la posibilidad de movimientos laterales por parte de usuarios malintencionados. Además, dado que las conexiones de usuario son directas, las experiencias mejoran enormemente al aprovechar un marco ZTNA.

Ventajas de ZTNA

Ahora más que nunca, las organizaciones están descubriendo las ventajas que puede ofrecer un modelo ZTNA. He aquí algunas de las razones más destacadas por las que las empresas están haciendo el cambio.

  • Sin necesidad de dispositivos heredados: ZTNA permite a las organizaciones deshacerse de dispositivos de acceso remoto heredados, como VPN, y aprovechar una solución de acceso 100 % basada en software. 
  • Experiencias de usuario fluidas: con ZTNA, el tráfico de los usuarios no retorna al centro de datos. En su lugar, los usuarios obtienen acceso rápido y directo a la aplicación deseada. 
  • Escalado sin esfuerzo: un servicio ZTNA en la nube facilita la capacidad de escalado. Las organizaciones simplemente tendrán que aprovechar licencias adicionales.
  • Implementación rápida: a diferencia de otras soluciones cuya implementación puede llevar semanas o meses, ZTNA puede implantarse desde cualquier lugar y en cuestión de días. 

 

Ventajas de seguridad de ZTNA

ZTNA no solo ayuda a las empresas a ser más flexibles, sino que también mejora en gran medida sus posturas generales en materia de seguridad. Lo hace proporcionando:

  • Infraestructura invisible: ZTNA permite a los usuarios acceder a las aplicaciones sin conectarlas a la red corporativa. Esto elimina el riesgo para la red y mantiene la infraestructura completamente invisible.
  • Más control y visibilidad: gestionar las soluciones ZTNA es fácil gracias a un portal de administración centralizado con controles granulares. Vea la actividad de todos los usuarios y aplicaciones en tiempo real, y cree políticas de acceso para grupos de usuarios o usuarios individuales.
  • Segmentación de aplicaciones simplificada: dado que ZTNA no está vinculada a la red, las organizaciones pueden segmentar el acceso a aplicaciones individuales en lugar de tener que realizar una compleja segmentación de la red.

Principales casos de uso de ZTNA

ZTNA cuenta con muchos casos de uso de seguridad en la nube. La mayoría de las organizaciones eligen comenzar con uno de estos cuatro.

Alternativa a la VPN

Las VPN son incómodas y lentas para los usuarios, ofrecen poca seguridad y son difíciles de gestionar, por lo que las organizaciones quieren reducir o eliminar su dependencia de ellas. Gartner predice lo siguiente: “En 2023, el 60 % de las empresas eliminará la mayoría de sus VPN de acceso remoto a favor de ZTNA".

Acceso protegido a multinubes

Entre las organizaciones, lo más popular es asegurar el acceso híbrido y multinube para comenzar su experiencia con ZTNA. Con el aumento en el número de empresas que adoptan aplicaciones y servicios en la nube, el 37 % de ellas recurren a ZTNA para obtener seguridad y control de acceso para sus estrategias de nube múltiple.

Reducción del riesgo de terceros

La mayoría de los usuarios de terceros tienen un acceso con excesivos privilegios y en su mayoría acceden a las aplicaciones utilizando dispositivos no gestionados, lo que introduce riesgos. ZTNA reduce significativamente el riesgo de terceros al garantizar que los usuarios externos nunca accedan a la red y que solo los usuarios autorizados accedan a las aplicaciones permitidas.

Integración acelerada de fusiones y adquisiciones

En las fusiones y adquisiciones tradicionales, la integración puede durar varios años, ya que las organizaciones deben hacer converger las redes y lidiar con la superposición de diferentes IP. ZTNA reduce y simplifica el tiempo y la gestión necesarios para garantizar el éxito de las fusiones y adquisiciones y proporciona un valor inmediato a la empresa.

Tipos de ZTNA

ZTNA es flexible, ya que se puede ajustar para proteger todas las facetas importantes de su empresa. Veamos de cerca estos diferentes modelos de ZTNA.

  • ZTNA para la protección de usuarios: este modelo garantiza que cuando un usuario se conecta a una aplicación, es enviado por una ruta directa a esta, sin entrar en contacto con Internet y, potencialmente, con amenazas dañinas. Esto se hace garantizando que el usuario cumpla los criterios establecidos para la autenticación.
  • ZTNA para la protección de la carga de trabajo: la seguridad suele pasarse por alto a la hora de crear aplicaciones o establecer marcos de comunicación. ZTNA evita que estas cargas de trabajo se vean vulneradas impidiendo el movimiento lateral de amenazas y la pérdida de datos, permitiéndole proteger las aplicaciones para que se ejecuten y se comuniquen de forma segura.
  • ZTNA para la protección de dispositivos: los puntos finales están más amenazados que nunca, especialmente con la llegada de sistemas de uso de dispositivos propios (BYOD). Con un marco integral de ZTNA, puede garantizar que los datos que se transmiten hacia y desde estos dispositivos estén protegidos durante todo el viaje, y las amenazas no puedan encontrar una forma de acceder.

Cómo implementar el ZTNA

La transformación de la confianza cero lleva tiempo, pero es una necesidad para las organizaciones híbridas actuales. Echemos un vistazo a tres elementos fundamentales de la implementación de confianza cero.

  • Conocimiento y convicción: comprender las nuevas y mejores formas de utilizar la tecnología para reducir costes, recortar la complejidad y avanzar en sus objetivos.
  • Tecnologías innovadoras: dejar atrás las soluciones heredadas que no son adecuadas después de todos los cambios experimentados por Internet, las amenazas y los trabajadores en las últimas tres décadas.
  • Cambio cultural y de mentalidad: impulsar el éxito acompañando a sus equipos. Cuando los profesionales de TI comprenden las ventajas de la confianza cero, empiezan a promoverla.

Consideraciones sobre ZTNA

En la reciente Guía de mercado de Gartner sobre el acceso a redes de confianza cero, Steve Riley, Neil MacDonald y Lawrence Orans destacan varios aspectos que las organizaciones deben tener en cuenta al elegir una solución ZTNA:

  1. ¿Requiere el proveedor que se instale un agente de punto final? ¿Qué sistemas operativos son compatibles? ¿Qué dispositivos móviles? ¿Cómo se comporta el agente en presencia de otros agentes? Nota: las tecnologías ZTNA que no admiten el uso sin cliente a menudo no son compatibles con los casos de uso de dispositivos no gestionados (por ejemplo, acceso de terceros, dispositivos propios).
  2. ¿La oferta es compatible únicamente con aplicaciones web o pueden obtener las mismas ventajas de seguridad las aplicaciones heredadas (del centro de datos)?
  3. Algunos productos de ZTNA se suministran parcial o totalmente como servicios basados en la nube. ¿Cumple esto con los requisitos de seguridad y residencia de la organización? NOTA: Gartner recomienda que las empresas favorezcan a los proveedores que ofrecen ZTNA como servicio, ya que los servicios son más fáciles de implementar, están más disponibles y proporcionan una mejor seguridad contra los ataques DDoS.
  4. ¿Hasta qué punto la ocultación parcial o total, o el permitir o prohibir las conexiones entrantes, forman parte de los requisitos de seguridad de la aplicación aislada?
  5. ¿Qué estándares de autenticación admite el agente de confianza? ¿Está disponible la integración con un directorio local o con servicios de identidad basados en la nube? ¿Se integra el agente de confianza con el proveedor de identidades existente en la organización?
  6. ¿Cuál es la diversidad geográfica de los puntos de entrada y salida del proveedor (denominados ubicaciones de perímetro y/o puntos de presencia) en todo el mundo?
  7. Después de que el usuario y el dispositivo del usuario pasen la autenticación, ¿el agente de confianza permanece residente en la ruta de datos?
  8. ¿Se integra la oferta con los proveedores de gestión unificada de terminales (UEM), o puede el agente local determinar la postura de seguridad y el estado del dispositivo como factores en la decisión de acceso? ¿Con qué proveedores de UEM se ha asociado el proveedor de ZTNA?

Todas estas son consideraciones importantes para su empresa a la hora de buscar el proveedor de ZTNA que complemente sus objetivos y visión actuales y de futuro. Para obtener más información sobre ZTNA, consulte nuestro servicio líder de ZTNA, Zscaler Private Access

Zscaler Zero Trust Network Access

Nos enorgullece ofrecer Zscaler Private Access™, la plataforma ZTNA más implementada del mundo, basada en la arquitectura única de confianza cero de Zscaler. ZPA aplica los principios de privilegio mínimo para proporcionar a los usuarios conexiones directas y seguras con aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. Como servicio nativo en la nube, ZPA puede implementarse en horas para sustituir a las VPN y las herramientas de acceso remoto heredadas por una plataforma global de confianza cero.

Zscaler Private Access ofrece:

  • Seguridad sin igual, que va más allá de las VPN y cortafuegos heredados: los usuarios se conectan directamente a las aplicaciones, no a la red, lo que minimiza la superficie de ataque y elimina el movimiento lateral.
  • El fin del peligro para las aplicaciones privadas: la primera protección de aplicaciones de su clase, con prevención en línea, engaño y aislamiento de amenazas, que minimiza el riesgo de que los usuarios se vean comprometidos.
  • Productividad superior para la fuerza de trabajo híbrida de hoy: el acceso ultrarrápido a las aplicaciones privadas se extiende sin problemas a los usuarios remotos, la sede central, las sucursales y los socios de terceros.
  • ZTNA unificada para usuarios, cargas de trabajo y dispositivos: los empleados y socios pueden conectarse de forma segura a aplicaciones, servicios y dispositivos OT/IoT privados con la plataforma ZTNA más completa.

Vea Zscaler Private Access en acción.

Recursos sugeridos

Guía de mercado para el acceso a la red de confianza cero de Gartner
Obtenga el informe completo
Guía del arquitecto de redes para la adopción del ZTNA
Leer la guía
Infografía del perímetro de servicio de seguridad de Zscaler (SSE)
Eche un vistazo
Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)
Lea nuestro documento técnico
Informe de adopción de la confianza cero de Cybersecurity Insiders 2019
Acceda al informe completo
Asegurar la transformación de la nube con un enfoque de confianza cero
Leer la documentación técnica

01 / 04