¿Qué es el acceso remoto seguro?

¿Cómo funciona?

El acceso remoto seguro permite a los empleados que están fuera de la oficina utilizar los recursos que necesitan para ser productivos. Proporciona un medio para que se conecten a un centro de datos, red, aplicaciones o recursos en la nube con sus dispositivos remotos mediante conexiones a Internet Wi-Fi públicas o domésticas no seguras en lugar de a una red corporativa.

El acceso remoto seguro proporciona a los empleados híbridos de la actualidad un búfer que se encuentra entre su punto final e Internet, lo que les permite establecer conexiones remotas y a la vez, minimizar el riesgo de un acceso no autorizado.

Las políticas y tecnologías de acceso remoto seguro varían según la empresa, ya que cada departamento de TI tiene sus propias instalaciones, requisitos y presupuesto para brindar un acceso seguro desde cualquier lugar.

¿Por qué es importante el acceso remoto seguro?

Hoy en día, muchas empresas están contratando en función de la cualificación en lugar de la ubicación de los potenciales empleados. El trabajo remoto e híbrido llegó para quedarse, y con la evolución de las amenazas cibernéticas y las vulnerabilidades en los máximos históricos, el acceso remoto seguro se ha trasladado a lo más alto de la lista de prioridades para los departamentos de TI y seguridad de todo el mundo, independientemente de cuál sea su sector.

En el pasado, los empleados de una organización estaban en su red, y todas las aplicaciones residían en el centro de datos conectado a esa misma red. Pero con el inicio de la pandemia de COVID-19, las empresas se vieron obligadas a cambiar rápidamente al trabajo a distancia para mantenerse productivas y rentables. Esto significó adoptar soluciones de acceso remoto para proporcionar a los usuarios la capacidad de acceder a aplicaciones internas como Microsoft 365 haciéndolas extensivas al usuario remoto, ya sea a través de la red u otros métodos.

Los estándares de seguridad actuales son tremendamente diferentes de los de hace incluso cinco años, y el paradigma que rodea a las tecnologías de acceso remoto seguro está cambiando rápidamente.

¿Qué tecnologías se utilizan para el acceso remoto seguro?

Existe una gran variedad de soluciones de acceso remoto en el mercado. Veamos algunas de las que más utilizan las organizaciones actuales.

Red privada virtual (VPN)

Es la predecesora de todas las soluciones de acceso remoto seguro. Una VPN proporciona acceso a la red corporativa de una empresa utilizando un túnel que se sitúa entre la red y un usuario remoto. Una vez autenticados, los usuarios tienen acceso ilimitado a la red y pueden moverse lateralmente por ella.

Autenticación de dos factores/múltiples factores (2FA/MFA)

Al utilizar este método, un usuario obtiene acceso a una red o recursos corporativos autenticándose mediante al menos dos medios. Puede ser mediante cualquier combinación de contraseña, dirección de correo electrónico, escritorio remoto, dispositivo móvil o incluso datos biométricos como la huella dactilar. Si un usuario no puede autenticarse en ambos o en todos los frentes, la solicitud es denegada.

Inicio de sesión único (SSO)

El SSO permite a un usuario acceder a todos los recursos a través de una sola forma de autenticación, de ahí el calificativo "único". Lo suelen utilizar empresas de todos los tamaños, así como los particulares, para evitar tener que gestionar varios nombres de usuario y contraseñas.

Control de acceso privilegiado (PAM)

PAM se refiere a la conjunción de personas, procesos y tecnología para controlar el acceso. Proporciona a TI una mayor visibilidad de las cuentas supervisándolas en tiempo real y detiene a la vez los ciberataques y las amenazas internas, optimiza la eficiencia operativa y garantiza el cumplimiento. Con PAM, los usuarios solo tienen acceso a los recursos a los que están autorizados y el control de los accesos es mucho más estricto.

Ventajas del acceso remoto seguro

Las soluciones de acceso remoto seguro son recursos de valor para su organización que le ayudan a:

• Mantener seguros los datos confidenciales. Proteja los datos de su organización limitando el acceso de fuentes externas y concediéndolo únicamente por un medio seguro y controlado. Esto reduce en gran medida el perfil de riesgo de su organización, lo cual es crucial dada la cantidad de amenazas avanzadas que existen actualmente.
• Reducir la superficie de ataque. Defiéndase aún más eficazmente contra las amenazas avanzadas al reducir el número de vectores de ataque que los ciberdelincuentes pueden utilizar para infiltrarse en puntos finales remotos. Esto ayuda a mejorar la postura de seguridad de su organización.
• Lograr y mantener el cumplimiento. Ayude a su organización a evitar el incumplimiento en el creciente panorama actual de las regulaciones de protección y privacidad de datos evitando filtraciones y pérdida de datos.

Las mareas cambiantes

Desde hace algunas décadas, los profesionales de TI confían en las VPN para ofrecer un acceso remoto seguro. Esta práctica se ha mantenido incluso a pesar de que cada vez más usuarios empezaban a trabajar fuera de la red y accedían a los recursos corporativos desde sus computadoras portátiles o dispositivos móviles, y a medida que más aplicaciones e infraestructura se trasladaban a la nube.

Finalmente, los departamentos de TI y de seguridad tuvieron que plantearse una pregunta difícil: con tantos usuarios fuera de la red y tantas aplicaciones en la nube, ¿tiene sentido conectar a los usuarios remotos a la red interna?

Vincular la seguridad a la red es la clave de los problemas con el modelo antiguo para el acceso remoto. Además de una mayor latencia, las organizaciones que dependen de la tecnología VPN heredada se enfrentan a un mayor riesgo en dos áreas clave:

1. Confianza intrínseca, suele ser excesiva
2. Mayor riesgo de acceso a la red externa

A diferencia de un enfoque de confianza cero, las antiguas arquitecturas de castillo y foso, que dependen en gran medida de la VPN, suelen ser demasiado confiadas. Esta filosofía defectuosa crea una red "plana" que depende de direcciones IP, controles de acceso basados en puntos finales y otros factores para determinar la autenticación dentro de una red corporativa. Una vez que un usuario está en una de estas redes planas, puede moverse por toda la red corporativa.

Esto permite a los ciberdelincuentes explotar la superficie de ataque VPN para infiltrarse en la red y lanzar ransomware, ataques de phishing, denegación de servicio y otros medios para exfiltrar datos empresariales críticos.

Por el contrario, el enfoque de confianza cero trata todo el tráfico, incluido el que ya está dentro del perímetro, como hostil. A menos que las cargas de trabajo hayan sido identificadas por un conjunto de atributos basados en el contexto, no son de confianza y se bloquea su comunicación.

Como analizaremos a continuación, el acceso remoto seguro ha evolucionado para satisfacer las demandas del mundo actual que prioriza la nube.

Redefinición del acceso remoto seguro con el acceso a la red de confianza cero

En respuesta a las necesidades actuales, los equipos de TI están aprovechando el marco de acceso a la red de confianza cero o ZTNA (también conocido como perímetro definido por software [SDP]) para permitir un acceso remoto seguro para los usuarios fuera de la red.   ZTNA proporciona acceso seguro a sus aplicaciones empresariales privadas, tanto si están alojadas en nubes públicas como en nubes privadas o en su centro de datos, sin necesidad de una VPN.

ZTNA se basa en un modelo de confianza adaptable, en el que la confianza nunca es implícita y el acceso se otorga en base a su necesidad, con el menor nivel de privilegios posible y políticas de seguridad granulares. Estas soluciones de seguridad no requieren dispositivos físicos y pueden implementarse en cualquier entorno para dar apoyo a todas las aplicaciones API REST.

Para ser considerada ZTNA, una solución debe adherirse a estos cuatro principios:

1. ZTNA desvincula el acto de proporcionar acceso a las aplicaciones del acceso a la red. Este aislamiento reduce los riesgos para su red, como la infección por dispositivos en peligro, y solo otorga acceso a las aplicaciones a usuarios autorizados.
2. Las conexiones de adentro hacia afuera de la aplicación al usuario aseguran que tanto la red como la infraestructura de la aplicación sean invisibles para los usuarios no autorizados. Las IP nunca quedan expuestas a Internet, creando una "red oscura" y haciendo que la red sea imposible de encontrar.
3. La segmentación de aplicaciones garantiza que, una vez que los usuarios estén autorizados, el acceso a las aplicaciones se otorgue individualmente, de modo que los usuarios autorizados tengan acceso exclusivamente a aplicaciones específicas en lugar de tener acceso total a la red.
4. ZTNA adopta un enfoque de seguridad de usuario a aplicación, y no uno centrado en la red. La red pierde relevancia e Internet se convierte en la nueva red corporativa, que aprovecha los microtúneles TLS cifrados de extremo a extremo en lugar de MPLS.

Por qué ZTNA es más eficaz que la VPN para el acceso remoto seguro

En cuanto al acceso remoto seguro, la transformación digital lo ha cambiado todo. Como se ha señalado anteriormente, las VPN ya no son adecuadas para hacer frente a las amenazas avanzadas actuales y al volumen de usuarios que se conectan a aplicaciones privadas fuera de la red. Esto puede provocar serias preocupaciones en lo que respecta a la experiencia de los usuarios, la conectividad, la seguridad y el control. 

ZTNA, en cambio, ofrece una mejor experiencia a los trabajadores a distancia. No hay necesidad de conectarse a una VPN problemática. En cambio, el acceso es continuo independientemente de los cambios en la conectividad de la red. Además, ZTNA reduce la latencia de acceso para lograr experiencias más rápidas, independientemente de la ubicación.

Asimismo, ZTNA mejora su postura de seguridad al alejarse de la seguridad de la red y centrarse en la seguridad de la conexión entre usuario y aplicación. El acceso se otorga individualmente, lo que permite que solo los usuarios autorizados accedan a aplicaciones específicas. El movimiento lateral es imposible y la superficie de ataque se reduce. Las redes y las aplicaciones están ocultas para los usuarios no autorizados y las IP nunca están expuestas, lo que reduce la amenaza de ataques basados en Internet.

A diferencia de la VPN, las herramientas ZTNA son fáciles de administrar. Esto se debe a que, con ZTNA, no es necesario instalar, configurar ni administrar. ZTNA no se centra en la dirección IP, por lo que no es necesario administrar ACL, políticas de firewall o conversiones. Además, las políticas granulares se pueden utilizar con la aplicación y el usuario, lo que permite una seguridad hipercentrada en las aplicaciones y un acceso con menos privilegios para los usuarios.

Elegir un servicio de acceso remoto seguro para las necesidades actuales

Aunque todas las soluciones ZTNA se basan en la idea de la confianza adaptativa, ZTNA está disponible en dos formas: ZTNA como oferta independiente y ZTNA como servicio.

ZTNA como oferta independiente requiere que implemente y administre todos los elementos del producto. Además, varios proveedores de nube IaaS ofrecen capacidades de ZTNA para sus clientes. La solución ZTNA se posiciona en el perímetro de su entorno, ya sea en el centro de datos o en la nube, y ofrece una conexión segura entre el usuario y la aplicación.

Estas son algunas de las ventajas de ZTNA independiente:

• Usted tiene control directo y capacidad de control de la infraestructura ZTNA, algo que puede ser necesario para cubrir los requisitos de cumplimiento.
• Los servicios de IoT alojados en las instalaciones pueden beneficiarse de velocidades optimizadas
• Las velocidades de rendimiento pueden aumentar si los usuarios locales no tienen que conectarse a Internet para acceder a aplicaciones alojadas en las instalaciones.

ZTNA independiente le da más control sobre su entorno, pero puede estar perdiéndose los beneficios de un servicio entregado en la nube.

Zscaler y ZTNA

La otra opción es ZTNA como servicio, como Zscaler Private Access™ (ZPA). Es un servicio alojado en la nube, donde aprovecha la infraestructura de nube de un proveedor para la aplicación de políticas. Su organización simplemente adquiere licencias de usuario e implementa conectores ligeros que funcionan como interfaz para las aplicaciones en todos los entornos, y el proveedor ofrece la conectividad, capacidad e infraestructura que usted necesita.

El acceso se establece mediante conexiones con intermediación de adentro hacia afuera entre el usuario y la aplicación, por lo que se desvincula efectivamente el acceso a la aplicación del acceso a la red sin exponer nunca las IP a Internet.

Zscaler Private Access proporciona innumerables beneficios organizativos, como los siguientes:

• Implementación más sencilla, ya que no es necesario implementar puertas de enlace ZTNA.
• Control simplificado ya que los servicios no están alojados en las instalaciones
• Siempre se selecciona la vía óptima para la cobertura global de una plantilla remota.

Cómo ZPA resuelve los riesgos del acceso remoto seguro de la actualidad

Si se analiza con más detalle, ZPA proporciona un acceso remoto seguro a las aplicaciones internas en la nube sin colocar a los usuarios en la red corporativa. El servicio en la nube no requiere complejos dispositivos de puerta de enlace VPN de acceso remoto y utiliza políticas alojadas en la nube para autenticar el acceso y dirigir el tráfico de los usuarios a la ubicación de la aplicación más cercana a ellos.

ZPA es una solución definida por software que funciona junto con la tecnología de acceso directo. Conecta directamente los centros de datos de los clientes con los de los proveedores de servicios en la nube a través de Zscaler Zero Trust Exchange.