Recursos > Glosario de términos de seguridad > ¿Qué es una arquitectura de confianza cero?

¿Qué es una arquitectura de confianza cero?

Definición de arquitectura de confianza cero

La arquitectura de confianza cero es una arquitectura de seguridad diseñada para reducir la superficie de ataque de una red, evitar el movimiento lateral de las amenazas y reducir el riesgo de una filtración de datos. Se basa en los principios centrales del enfoque de confianza cero mediante el cual nunca se otorga confianza implícita a ningún usuario o dispositivo.

El modelo de seguridad de confianza cero deja a un lado el "perímetro de red" tradicional (dentro del cual todos los dispositivos y usuarios son de confianza y tienen amplios permisos) a favor de los controles de acceso con privilegios mínimos, la microsegmentación granular y la autenticación multifactor (MFA).
 

La arquitectura de confianza cero y el acceso a la red de confianza cero

Antes de examinar con más detalle las distintas arquitecturas de confianza cero, veamos la diferencia entre estos dos términos interrelacionados:

  • Una arquitectura de confianza cero (ZTA) es un diseño compatible con los principios de confianza cero, como la gestión de acceso hermética, la autenticación estricta de dispositivos y usuarios, y la fuerte segmentación. Es diferente de una arquitectura de "castillo y foso" (en muchos aspectos está diseñada para reemplazarla) que confía en cualquier cosa que se encuentre dentro de forma predeterminada.
  • El acceso a la red de confianza cero (ZTNA) es un caso de uso de la confianza cero que ofrece a los usuarios un acceso seguro a las aplicaciones y los datos cuando los usuarios, las aplicaciones o los datos quizá no estén dentro de un perímetro de seguridad tradicional, algo que se ha vuelto cada vez más común en la era de la nube y el trabajo híbrido.

Para unir ambos conceptos, la arquitectura de confianza cero proporciona la base que las organizaciones necesitan para ofrecer ZTNA y hacer que sus sistemas, servicios, API, datos y procesos sean accesibles desde cualquier lugar, en cualquier momento y desde cualquier dispositivo.

Ventajas de la arquitectura de confianza cero

Una arquitectura de confianza cero proporciona el acceso de usuario preciso y contextual que necesita para operar a la velocidad que requieren los negocios modernos mientras protege a sus usuarios y datos contra el malware y otros ciberataques. Como base de ZTNA, una arquitectura de confianza cero efectiva le ayuda a:

  • Garantizar un acceso seguro y rápido a los datos y aplicaciones para los trabajadores remotos, incluidos los empleados y socios, dondequiera que estén, lo que mejora la experiencia del usuario.
  • Proporcionar un acceso remoto fiable, y gestionar y aplicar políticas de seguridad de manera más fácil y uniforme que con tecnología heredada como la VPN.
  • Proteger los datos confidenciales y las aplicaciones en las instalaciones o en un entorno de nube, en tránsito o en reposo, con estrictos controles de seguridad como el cifrado, la autenticación, etc.
  • Detener las amenazas internas dejando de conceder confianza implícita por defecto a cualquier usuario o dispositivo que esté dentro del perímetro de su red.
  • Restringir el movimiento lateral con políticas de acceso granular hasta el nivel de los recursos, lo que reduce la probabilidad de una brecha.
  • Detectar y corregir infracciones, y responder a estas, de forma rápida y eficaz, para mitigar su impacto.
  • Obtener una visibilidad más profunda del qué, cuándo, cómo y dónde de las actividades de los usuarios y las entidades con una supervisión detallada y un registro de las sesiones y las acciones realizadas.
  • Evaluar su riesgo en tiempo real con registros de autenticación detallados, comprobaciones del estado de los dispositivos y los recursos, análisis del comportamiento de los usuarios y las entidades, etc.

(Adaptado en parte de "Implementing a Zero Trust Architecture", una publicación especial del NIST)

¿Cómo funciona la arquitectura de confianza cero?

Antes de continuar, retrocedamos un poco y resumamos cómo funciona una arquitectura de red tradicional.

Las redes de área amplia (WAN) heredadas se construyeron con un diseño radial, que conectaba las oficinas remotas con las aplicaciones en un centro de datos. Para acceder a las aplicaciones en la red de confianza, un usuario solo necesita estar dentro de su perímetro, que está protegido con cortafuegos perimetrales, de ahí el término "castillo y foso".

Los trabajadores actuales están en todas partes y las aplicaciones se han trasladado a SaaS y a las nubes públicas, pero las arquitecturas heredadas aún requieren que los usuarios estén en la red corporativa (localmente o a través de VPN) para acceder a las aplicaciones, incluso en la nube. Mientras tanto, el uso de nubes públicas amplía su superficie de ataque y el riesgo a ser atacado, y la revisión de todo el tráfico a través de cortafuegos perimetrales crea un cuello de botella de seguridad de red que le ralentiza en el mejor de los casos y le brinda una protección inadecuada en el peor de ellos.

Es por ello que las organizaciones modernas necesitan una arquitectura de confianza cero. Mire nuestro breve video para ver un sencillo resumen.

La arquitectura de confianza cero ofrece ZTNA, que proporciona segmentación de usuario a aplicación, lo que protege el acceso de una manera fundamentalmente diferente a la segmentación de red y a otros modelos tradicionales. A continuación, veremos cómo se implementa y proporciona ZTNA.

Dos enfoques para implementar el acceso a la red de confianza cero

Los proveedores de soluciones de confianza cero pueden ayudarle a ofrecer ZTNA de dos maneras distintas.
 

ZTNA iniciado por el punto final

Aquí, un punto final o un usuario final inicia el acceso a una aplicación. Un agente ligero instalado en un punto final se comunica con un controlador, que autentifica la identidad del usuario y proporciona conectividad a una aplicación específica a la que el usuario está autorizado a acceder. La necesidad de instalar un agente u otro software local en los dispositivos móviles y en los dispositivos propios del usuario/IoT no gestionados puede dificultar la implementación de ZTNA iniciado por puntos finales o incluso hacer que sea imposible de implementar.
 

ZTNA iniciado por el servicio

En este caso, un agente inicia las conexiones entre los usuarios y las aplicaciones. Un conector que reside en su centro de datos o en la nube establece las conexiones de sus aplicaciones empresariales con el agente. Tras la autenticación del usuario, el tráfico pasa por el servicio ZTNA directamente al punto final del usuario. Esto no requiere un agente de punto final, por lo que resulta útil para proteger los dispositivos no gestionados y conceder acceso a socios y clientes. Algunos ZTNA iniciados por el servicio pueden utilizar el acceso basado en el navegador para las aplicaciones web.

Dos modelos de entrega para el acceso a la red de confianza cero

Más allá de su modelo de implementación, puede adoptar ZTNA como producto independiente o como servicio. Cada enfoque tiene características únicas y las necesidades específicas, la estrategia de seguridad y el ecosistema de su organización determinan la mejor opción.
 

ZTNA como producto independiente

Las ofertas de ZTNA como producto independiente requieren que implemente y administre todos los elementos del producto. La infraestructura se sitúa en el perímetro de su entorno, ya sea en su centro de datos o en una nube, e intermedia las conexiones seguras entre los usuarios y las aplicaciones. Algunos proveedores de infraestructura como servicio en la nube también ofrecen capacidades ZTNA.

Características

  • Su organización es 100 % responsable de desplegar, gestionar y mantener la infraestructura de ZTNA.
  • Algunos proveedores admiten ofertas de ZTNA como producto independiente y también como servicio en la nube.
  • El despliegue independiente es una buena opción para las empresas que evitan la nube.
Modelo conceptual de ZTNA iniciado por el punto final

ZTNA como servicio en la nube

Con ZTNA como servicio alojado en la nube, se utiliza la infraestructura de un proveedor para la aplicación de las políticas de seguridad. Se adquieren licencias de usuario y se despliegan conectores ligeros que se sitúan delante de sus aplicaciones en todos los entornos. El proveedor proporciona la conectividad, la capacidad y la infraestructura. El acceso se establece a través de conexiones mediadas entre el usuario y la aplicación. Se desvincula con efectividad el acceso a la aplicación del acceso a la red sin exponer nunca las IP a Internet.

Características

  • La implementación es más fácil, ya que no necesita infraestructura.
  • La gestión es más sencilla, ya que tan solo hay un portal de administración para la aplicación global.
  • La automatización selecciona las vías de tráfico óptimas para el acceso más rápido para todos los usuarios a nivel global.
Modelo conceptual de ZTNA iniciado por el punto final

 

Algunos servicios suministrados en la nube permiten implementar un paquete de software en las instalaciones. El software se ejecuta en su infraestructura, pero sigue siendo entregado como parte del servicio y administrado por el proveedor.

Más información sobre ZTNA en las instalaciones.

Vídeo: Comprender la arquitectura de confianza cero

 
Acceso a la red de confianza cero de Zscaler

Nos enorgullece ofrecer Zscaler Private Access™, la plataforma ZTNA más implementada del mundo, basada en la arquitectura única de confianza cero de Zscaler. ZPA aplica los principios de privilegio mínimo para brindar a los usuarios conexiones directas y seguras con aplicaciones privadas, al tiempo que elimina el acceso no autorizado y el movimiento lateral. Como servicio nativo en la nube, ZPA puede desplegarse en horas para sustituir a las VPN y las herramientas de acceso remoto heredadas por una plataforma holística de confianza cero.

Zscaler Private Access ofrece:

Seguridad sin igual que va más allá de las VPN y los cortafuegos heredados
Los usuarios se conectan directamente a las aplicaciones, no a la red, lo que minimiza la superficie de ataque y elimina el movimiento lateral.

El fin del peligro para las aplicaciones privadas:
la primera protección de aplicaciones de su clase, con prevención en línea, engaño y aislamiento de amenazas, que minimiza el riesgo de que los usuarios se vean comprometidos.

Productividad superior para la fuerza de trabajo híbrida de hoy:
el acceso ultrarrápido a las aplicaciones privadas se extiende sin problemas a los usuarios remotos, la sede central, las sucursales y los socios de terceros.

ZTNA unificado para usuarios, cargas de trabajo y dispositivos
Los empleados y socios pueden conectarse de forma segura a aplicaciones, servicios y dispositivos OT/IoT privados con la plataforma ZTNA más completa.

¿Listo para obtener más información o para ver Zscaler Private Access en acción? Solicite una demostración personalizada ahora.