Zpedia 

/ ¿Qué es el acceso a la red de confianza cero?

¿Qué es el acceso a la red de confianza cero?

El acceso a la red de confianza cero (ZTNA), también conocido como perímetro definido por software (SDP), es un conjunto de tecnologías y funcionalidades que permiten el acceso seguro de los usuarios remotos a las aplicaciones internas. Funciona con un modelo de confianza adaptable en el que la confianza nunca es implícita y el acceso se concede en función de la necesidad de saber y del acceso menos privilegiado, definido por políticas granulares. ZTNA ofrece a los usuarios remotos una conectividad segura a las aplicaciones privadas sin colocarlas en la red ni exponerlas a Internet.

Obtenga la guía de mercado de Gartner para ZTNA
Confianza ceroPersonal híbridoMonitoreo de la Experiencia Digital
  1. Cómo funciona
  2. ZTNA versus VPN
  3. Ventajas
  4. Casos de uso
  5. Tipos
  6. Cómo implementarlo
  7. Consideraciones
  8. Zscaler ZTNA
  9. Recursos sugeridos
  10. Temas relacionados

¿Cómo funciona ZTNA?

Seguridad de confianza cero Aunque muchas organizaciones han cambiado sus prioridades para adoptar la confianza cero, el acceso a la red de confianza cero (ZTNA) es la estrategia que subyace al logro de un modelo de confianza cero eficaz.

El camino hacia la confianza cero como ideología es vago, por lo que ZTNA proporciona un marco claro y definido que las organizaciones deben seguir. También es un componente del modelo de seguridad de perímetro de servicio de acceso seguro (SASE), que, además de ZTNA, comprende cortafuegos de próxima generación (NGFW), SD-WAN y otros servicios en una plataforma nativa de la nube.

Si bien la necesidad de proteger a un personal remoto se ha vuelto crítica, las soluciones centradas en la red, como las redes privadas virtuales (VPN) y los cortafuegos, crean una superficie de ataque que puede explotarse. ZTNA adopta un enfoque fundamentalmente diferente para proporcionar acceso remoto seguro a aplicaciones internas basado en cuatro principios básicos:

  1. ZTNA aísla completamente el acto de proporcionar acceso a aplicaciones del acceso a la red. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos comprometidos, y solo otorga acceso a aplicaciones específicas a usuarios autorizados que hayan sido autenticados.
  2. ZTNA realiza conexiones únicamente salientes, lo que garantiza que tanto la red como la infraestructura de aplicaciones sean invisibles para usuarios no autorizados. Las IP nunca están expuestas a Internet, lo que crea una "red oscura" que hace que la red sea imposible de encontrar.
  3. La segmentación de aplicaciones nativas de ZTNA garantiza que una vez que los usuarios estén autorizados, el acceso a las aplicaciones se conceda de forma individualizada. Los usuarios autorizados tienen acceso sólo a aplicaciones específicas en lugar de acceso completo a la red. La segmentación evita el acceso demasiado permisivo, así como el riesgo de movimiento lateral de malware y otras amenazas.
  4. ZTNA adopta un enfoque de usuario a aplicación en lugar de un enfoque de seguridad de red tradicional. La red pierde importancia e Internet se convierte en la nueva red corporativa, aprovechando microtúneles TLS cifrados de extremo a extremo en lugar de MPLS.

 

Quote

ZTNA mejora la flexibilidad, la agilidad y la escalabilidad, permitiendo que los ecosistemas digitales funcionen sin exponer los servicios directamente a Internet, reduciendo los riesgos de ataques distribuidos de denegación de servicios.

Gartner, Guía del mercado sobre el acceso a red de confianza cero, abril de 2019

Desde una perspectiva arquitectónica, ZTNA funciona de manera fundamentalmente diferente a las soluciones centradas en la red. Se ejecuta en un perímetro definido por software, o SDP, que distribuye el acceso a aplicaciones internas en función de la identidad del usuario. Esto elimina la sobrecarga de administrar los dispositivos. ZTNA también ayuda a las organizaciones a simplificar las pilas entrantes, ya que ya no necesitan sus concentradores VPN y VPN, protección DDoS, equilibrio de carga global y dispositivos de cortafuegos.

Hay dos modelos clave de arquitectura ZTNA. Este artículo pone de relieve la arquitectura ZTNA iniciada por servicio que figura a continuación.

Lea la Guía de Gartner Market para el acceso a la red Zero Trust para obtener más detalles.

¿Cuál es la diferencia entre VPN y ZTNA?

Entre las soluciones de seguridad heredadas más populares que se utilizan hoy en día, las VPN están destinadas a simplificar la gestión del acceso permitiendo a los usuarios finales acceder de forma segura a una red, y por lo tanto a los recursos corporativos, a través de un túnel designado, normalmente mediante el inicio de sesión único (SSO).

Durante muchos años, las VPN funcionaron bien para los usuarios que necesitaban trabajar a distancia durante uno o dos días. Sin embargo, a medida que cada vez había más trabajadores remotos a largo plazo (lo que eventualmente llevaría al modelo de trabajo desde cualquier lugar), la falta de escalabilidad junto con los altos costes y requisitos de mantenimiento hicieron que las VPN fueran ineficaces. Además, la rápida adopción de la nube pública no sólo hizo más difícil aplicar políticas de seguridad a los trabajadores remotos, sino que también perjudicaba la experiencia de los usuarios.

Sin embargo, el principal problema de las VPN es la superficie de ataque que crean. Cualquier usuario o entidad con las credenciales de SSO correctas puede iniciar sesión en una VPN y moverse lateralmente por toda la red, lo que les da acceso a todos los recursos y datos que la VPN pretendía proteger.

ZTNA protege el acceso de los usuarios concediéndolo según el principio del mínimo privilegio. En lugar de confiar en las credenciales correctas, la confianza cero únicamente se autentica en el contexto correcto, es decir, cuando el usuario, la identidad, el dispositivo y la ubicación coinciden.

Además, ZTNA universal proporciona acceso granular a los recursos en lugar de acceso a la red. Los usuarios se conectan de forma directa y segura a las aplicaciones y los datos que necesitan, por lo que se elimina la posibilidad de que los usuarios malintencionados se muevan lateralmente. Además, debido a que las conexiones de los usuarios son directas, las experiencias mejoran enormemente cuando se utiliza un marco ZTNA.

Ventajas de ZTNA

Ahora más que nunca, las organizaciones están descubriendo los beneficios que puede ofrecer un modelo ZTNA universal. Estas son algunas de las principales razones por las que las empresas están haciendo el cambio:

  • No hay necesidad de dispositivos heredados: UZTNA permite a las organizaciones deshacerse de dispositivos de acceso remoto heredados, como VPN, y aprovechar una solución de control de acceso 100 % basada en software. 
  • Experiencias de usuario perfectas: con UZTNA, el tráfico de los usuarios no se redirige a través del centro de datos. En cambio, los usuarios obtienen acceso rápido y directo a la aplicación deseada. 
  • Escalabilidad sin esfuerzo: un servicio UZTNA en la nube facilita la ampliación de la capacidad. Una organización simplemente aprovecha licencias adicionales.
  • Implementación rápida: a diferencia de otras soluciones que pueden tardar semanas o meses en implementarse, UZTNA se puede implementar desde cualquier lugar en cuestión de días. 

 

Beneficios de seguridad de ZTNA

ZTNA no sólo ayuda a las empresas a ser más flexibles, sino que también mejora en gran medida sus posturas generales de seguridad. Lo hace ofreciendo:

  • Infraestructura invisible: ZTNA permite a los usuarios acceder a aplicaciones sin conectarlas a la red corporativa. Esto elimina el riesgo para la red y al mismo tiempo mantiene la infraestructura completamente invisible.
  • Más control y visibilidad: administrar las soluciones ZTNA es fácil con un portal de administración centralizado con controles granulares. Vea todos los usuarios y la actividad de las aplicaciones en tiempo real y cree políticas de acceso para grupos de usuarios o usuarios individuales.
  • Segmentación de aplicaciones simplificada: dado que ZTNA no está vinculada a la red, las organizaciones pueden segmentar el acceso a aplicaciones individuales en lugar de tener que realizar una segmentación de red compleja.

Principales casos de uso de ZTNA

ZTNA cuenta con muchos casos de uso de seguridad en la nube. La mayoría de las organizaciones eligen comenzar con uno de estos cuatro.

Alternativas a VPN

Las VPN son incómodas y lentas para los usuarios, ofrecen poca seguridad y son difíciles de gestionar, por lo que las organizaciones quieren reducir o eliminar su dependencia de ellas. Gartner predice lo siguiente: “En 2023, el 60 % de las empresas eliminará la mayoría de sus VPN de acceso remoto a favor de ZTNA".

Acceso multinube seguro

Proteger el acceso híbrico y multinube es el punto de inicio más popular para comenzar su experiencia con ZTNA. Con el aumento en el número de empresas que adoptan aplicaciones y servicios en la nube, el 37 % de ellas recurren a ZTNA para obtener seguridad y control de acceso para sus estrategias de nube múltiple.

Menor riesgo de tercero

La mayoría de los usuarios de terceros tienen un acceso con excesivos privilegios y en su mayoría acceden a las aplicaciones utilizando dispositivos no gestionados, lo que introduce riesgos. ZTNA reduce significativamente el riesgo de terceros al garantizar que los usuarios externos nunca accedan a la red y que únicamente los usuarios autorizados accedan a las aplicaciones permitidas.

Acelerar la integración de fusiones y adquisiciones

En las fusiones y adquisiciones tradicionales, la integración puede durar varios años, ya que las organizaciones deben hacer converger las redes y lidiar con la superposición de diferentes IP. ZTNA reduce y simplifica el tiempo y la gestión necesarios para garantizar el éxito de las fusiones y adquisiciones y proporciona un valor inmediato a la empresa.

Tipos de ZTNA

ZTNA es flexible porque puede escalar para proteger todas las facetas importantes de su negocio. Veamos de cerca estos diferentes modelos de ZTNA.

  • ZTNA para la protección del usuario: este modelo garantiza que cuando un usuario se conecta a una aplicación, se le envía por una ruta directa a esa aplicación sin entrar en contacto con Internet y, potencialmente, con amenazas dañinas. Esto se hace asegurando que el usuario cumpla con los criterios establecidos para la autenticación.
  • ZTNA para la protección de cargas de trabajo: la seguridad a menudo se pasa por alto al crear aplicaciones o establecer marcos de comunicaciones. ZTNA evita que estas cargas de trabajo se vean comprometidas al anular el movimiento lateral de amenazas y la pérdida de datos, lo que le permite proteger las aplicaciones desde su compilación hasta su ejecución y comunicarse de forma segura.
  • ZTNA para la protección de dispositivos: los terminales están bajo mayor amenaza que nunca, especialmente con la llegada de la práctica de que los usuarios utilicen su propio dispositivo. Con un marco ZTNA integral, puede garantizar que los datos que se transmiten hacia y desde estos dispositivos estén protegidos durante todo el viaje y que las amenazas no puedan encontrar una manera de entrar.

Cómo implementar el ZTNA

La transformación de confianza cero lleva tiempo, pero es una necesidad para las organizaciones híbridas actuales. Echemos un vistazo a tres elementos centrales de la implementación de confianza cero.

  • Conocimiento y convicción: comprender las nuevas y mejores formas en que puede utilizar la tecnología para reducir costes, reducir la complejidad y avanzar en sus objetivos.
  • Tecnologías disruptivas: dejar atrás soluciones heredadas que no se sostienen después de todas las formas en que Internet, las amenazas y el personal han cambiado en las últimas tres décadas.
  • Cambio cultural y de mentalidad: impulsar el éxito incorporando a sus equipos. Cuando los profesionales de TI comprenden los beneficios de la confianza cero, también empiezan a impulsarla.

Consideraciones sobre ZTNA

En la Guía de mercado de Gartner para el acceso a la red Zero Trust, Steve Riley, Neil MacDonald y Lawrence Orans describen varios aspectos que las organizaciones deben considerar al elegir una solución ZTNA:

  1. ¿El proveedor requiere que se instale un agente de terminal? ¿Qué sistemas operativos son compatibles? ¿Qué dispositivos móviles? ¿Hasta qué punto se comporta bien el agente en presencia de otros agentes? Nota: Las tecnologías ZTNA no compatibles con el uso sin cliente a menudo no pueden admitir casos de uso de dispositivos no administrados (por ejemplo, acceso de terceros, dispositivos propios de los usuarios).
  2. ¿La oferta sólo admite aplicaciones web o las aplicaciones heredadas (centro de datos) pueden obtener las mismas ventajas de seguridad?
  3. Algunos productos ZTNA se entregan parcial o totalmente como servicios basados en la nube. ¿Cumple esto con los requisitos de seguridad y residencia de la organización? Nota: Gartner recomienda que las empresas opten por los proveedores que ofrecen ZTNA como servicio, ya que los servicios son más fáciles de implementar, están más disponibles y brindan mejor seguridad contra ataques DDoS.
  4. ¿Hasta qué punto el encubrimiento parcial o total, o permitir o prohibir conexiones entrantes, forma parte de los requisitos de seguridad de la aplicación aislada?
  5. ¿Qué estándares de autenticación admite el corredor de confianza? ¿Está disponible la integración con un directorio local o servicios de identidad basados en la nube? ¿El corredor de confianza se integra con el proveedor de identidad existente de la organización?
  6. ¿Qué diversidad geográfica tienen los puntos de entrada y salida del proveedor (denominados ubicaciones periféricas) y/o puntos de presencia) en todo el mundo?
  7. Después de que el usuario y el dispositivo del usuario pasan la autenticación, ¿el agente de confianza permanece residente en la ruta de datos?
  8. ¿La oferta se integra con proveedores de administración unificada de terminales (UEM) o puede el agente local determinar el estado del dispositivo y la situación de seguridad como factores en la decisión de acceso? ¿Con qué proveedores de UEM se ha asociado el proveedor de ZTNA?

Todas estas son consideraciones importantes para su empresa en su búsqueda del proveedor de ZTNA que complemente sus objetivos y visión presentes y futuros. Para obtener más información sobre ZTNA, consulte nuestro servicio ZTNA líder, Zscaler Private Access

Zscaler Zero Trust Network Access

Nos enorgullece ofrecerZscaler Private Access™, la plataforma ZTNA más implementada del mundo, construida sobre la exclusiva arquitectura de zero trust (ZTA) de Zscaler. ZPA basado en la nube aplica los principios de privilegio mínimo para brindar a los usuarios conexiones directas y seguras a aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. Como servicio nativo de la nube, ZPA se puede implementar en horas para reemplazar las VPN heredadas y las herramientas de acceso remoto con una plataforma holística de confianza cero.

Zscaler Private access ofrece:

  • Seguridad incomparable, más allá de las VPN y cortafuegos heredados: los usuarios se conectan directamente a las aplicaciones, no a la red, minimizando la superficie de ataque y eliminando el movimiento lateral.
  • El fin del compromiso de aplicaciones privadas: la primera protección de aplicaciones de su tipo, con prevención en línea, engaño y aislamiento de amenazas, minimiza el riesgo de que los usuarios se vean comprometidos.
  • Productividad superior para el personal híbrido actual: el acceso ultrarrápido a aplicaciones privadas se extiende sin problemas a usuarios remotos, oficinas centrales, sucursales y socios externos.
  • ZTNA unificada para usuarios, cargas de trabajo y dispositivos: empleados y socios se pueden conectar de forma segura a aplicaciones, servicios y dispositivos OT/IoT con la plataforma ZTNA más completa del sector.
promotional background

Vea Zscaler Private Access en acción.

Solicitar una demo

Recursos sugeridos

Guía de mercado para el acceso a la red de confianza cero de Gartner
Obtenga el informe completo
Guía del arquitecto de redes para la adopción del ZTNA
Leer la guía
Infografía del perímetro de servicio de seguridad de Zscaler (SSE)
Eche un vistazo
Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)
Lea nuestro documento técnico
Informe de adopción de la confianza cero de Cybersecurity Insiders 2019
Acceda al informe completo
Asegurar la transformación de la nube con un enfoque de confianza cero
Leer la documentación técnica
01 / 04