¿Qué es el acceso a la red de confianza cero (ZTNA)?

¿Qué es ZTNA?

El acceso a la red de confianza cero (ZTNA), también conocido como perímetro definido por software (SDP), es un conjunto de tecnologías y funcionalidades que permiten el acceso seguro de los usuarios remotos a las aplicaciones internas. Funciona con un modelo de confianza adaptable, en el que la confianza nunca es implícita y el acceso se concede en función de la necesidad de saber y del acceso menos privilegiado, definido por políticas granulares. ZTNA ofrece a los usuarios remotos una conectividad segura y fluida a las aplicaciones privadas sin ponerlos nunca en la red ni exponer las aplicaciones a Internet.

Seguridad de confianza cero es una expresión muy de moda en la actualidad. Aunque muchas organizaciones han cambiado sus prioridades para adoptar la confianza cero, el acceso a la red de confianza cero (ZTNA) es la estrategia que subyace al logro de un modelo de confianza cero eficaz.

Si bien el camino hacia la confianza cero como ideología es difuso, ZTNA proporciona un marco claro y definido para que las organizaciones lo sigan. También es un componente del modelo de seguridad perímetro de servicio de acceso seguro (SASE), que, además de ZTNA, comprende cortafuegos de próxima generación (NGFW), SD-WAN y otros servicios en una plataforma nativa de la nube.

¿Cómo funciona ZTNA?

Aunque la necesidad de proteger al personal remoto se ha convertido en algo crucial, las soluciones centradas en la red, como las redes privadas virtuales (VPN) y los cortafuegos, crean una superficie de ataque que se puede explotar. ZTNA adopta un enfoque fundamentalmente diferente para proporcionar un acceso remoto seguro a las aplicaciones internas basado en estos cuatro principios fundamentales:

 

  1. ZTNA aísla completamente el acto de proporcionar acceso a la aplicación del acceso a la red. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos comprometidos, y solo concede acceso a aplicaciones específicas y exclusivamente a usuarios autorizados que hayan sido autenticados.
  2. ZTNA crea conexiones de solo salida, lo que garantiza que tanto la red como la infraestructura de la aplicación son invisibles para los usuarios no autorizados. Las IP nunca quedan expuestas a Internet, creando una "red oscura" que hace que la red sea imposible de encontrar.
  3. La segmentación nativa de aplicaciones de ZTNA garantiza que, una vez que los usuarios estén autorizados, el acceso a las aplicaciones se otorgará de forma individual. Los usuarios autorizados tienen acceso únicamente a aplicaciones específicas, en lugar de tener acceso total a la red. La segmentación evita el acceso excesivamente permisivo, así como el riesgo de movimiento lateral de malware y otras amenazas.
  4. ZTNA adopta un enfoque de usuario a aplicación en lugar de un enfoque de seguridad de red tradicional. La red pierde relevancia e Internet se convierte en la nueva red corporativa, aprovechando los microtúneles TLS cifrados de extremo a extremo en lugar de MPLS.

 

ZTNA
ZTNA mejora la flexibilidad, la agilidad y la escalabilidad, permitiendo que los ecosistemas digitales funcionen sin exponer los servicios directamente a Internet, reduciendo los riesgos de ataques distribuidos de denegación de servicios.
Guía de mercado de Gartner para el acceso a red de confianza cero, abril 2019

Desde el punto de vista de la arquitectura, ZTNA funciona de forma fundamentalmente diferente a las soluciones centradas en la red. ZTNA suele estar definida al 100 % por software, lo que elimina la sobrecarga de la gestión de dispositivos. ZTNA también ayuda a las organizaciones a simplificar las pilas de entrada, ya que ya no necesitan sus concentradores VPN y sus VPN, la protección DDoS, el equilibrio de carga global y los dispositivos de cortafuegos.

Hay dos modelos clave de arquitectura ZTNA. Este artículo pone de relieve la arquitectura ZTNA iniciada por servicio que figura a continuación. Lea la Guía de mercado de ZTNA de Gartner para obtener más detalles.

 

¿Cuál es la diferencia entre VPN y ZTNA?

Entre las soluciones de seguridad heredadas más populares que se utilizan hoy en día, las VPN están destinadas a simplificar la gestión del acceso permitiendo a los usuarios finales acceder de forma segura a una red, y por lo tanto a los recursos corporativos, a través de un túnel designado, normalmente mediante el inicio de sesión único (SSO).

Durante muchos años, las VPN funcionaron bien para los empleados que necesitaban trabajar a distancia durante uno o dos días, pero a medida que iba habiendo más y más trabajadores remotos a largo plazo en todo el mundo, estas VPN se volvieron ineficaces debido a su falta de escalabilidad y a la enorme cantidad de mantenimiento (y coste) para mantenerlas en funcionamiento. Además, la rápida adopción de la nube pública significó que no solo se hizo más difícil aplicar políticas de seguridad a esta nueva amplitud de trabajadores remotos, sino también perjudicó la experiencia del usuario.

Sin embargo, el principal problema con las VPN es la superficie de ataque que crean. Cualquier usuario o entidad con las credenciales de SSO necesarias puede iniciar sesión en una VPN y trasladarse lateralmente por toda la red, lo que les da acceso a todos los recursos y datos que la VPN pretendía proteger.

ZTNA protege el acceso de los usuarios concediéndolo según el principio del mínimo privilegio. En lugar de confiar en las credenciales correctas, la confianza cero únicamente se autentica en el contexto correcto, es decir, cuando el usuario, la identidad, el dispositivo y la ubicación coinciden.

Además, ZTNA proporciona acceso granular en lugar de acceso a la red. Los usuarios se conectan directamente y de forma segura a las aplicaciones y datos que necesitan, lo que evita la posibilidad de movimientos laterales por parte de usuarios malintencionados. Además, dado que las conexiones de usuario son directas, las experiencias mejoran enormemente al aprovechar un marco ZTNA.

 

Principales casos de uso de ZTNA

ZTNA cuenta con muchos casos de uso de seguridad en la nube. La mayoría de las organizaciones eligen comenzar con uno de estos cuatro.

 

Alternativa a la VPN

Las VPN son incómodas y lentas para los usuarios, ofrecen poca seguridad y son difíciles de gestionar, por lo que las organizaciones quieren reducir o eliminar su dependencia de ellas. Gartner predice lo siguiente: “En 2023, el 60 % de las empresas eliminará la mayoría de sus VPN de acceso remoto a favor de ZTNA".

 

Acceso seguro a nubes múltiples

Entre las organizaciones, lo más popular es asegurar el acceso híbrido y multinube para comenzar su experiencia con ZTNA. Con el aumento en el número de empresas que adoptan aplicaciones y servicios en la nube, el 37 % de ellas recurren a ZTNA para obtener seguridad y control de acceso para sus estrategias de nube múltiple.

 

Reducción del riesgo de terceros

La mayoría de los usuarios de terceros tienen un acceso con excesivos privilegios y en su mayoría acceden a las aplicaciones utilizando dispositivos no gestionados, lo que introduce riesgos. ZTNA reduce significativamente el riesgo de terceros al garantizar que los usuarios externos nunca accedan a la red y que solo los usuarios autorizados accedan a las aplicaciones permitidas.

 

Integración acelerada de fusiones y adquisiciones

En las fusiones y adquisiciones tradicionales, la integración puede durar varios años, ya que las organizaciones deben hacer converger las redes y lidiar con la superposición de diferentes IP. ZTNA reduce y simplifica el tiempo y la gestión necesarios para garantizar el éxito de las fusiones y adquisiciones y proporciona un valor inmediato a la empresa.

Consideraciones sobre ZTNA

En la reciente Guía de mercado de Gartner sobre el acceso a la red de confianza cero, Steve Riley, Neil MacDonald y Lawrence Orans destacan varios aspectos que las organizaciones deben tener en cuenta al elegir una solución ZTNA:

  1. ¿Requiere el proveedor que se instale un agente de punto final? ¿Qué sistemas operativos son compatibles? ¿Qué dispositivos móviles? ¿Cómo se comporta el agente en presencia de otros agentes? Nota: las tecnologías ZTNA que no admiten el uso sin cliente a menudo no son compatibles con los casos de uso de dispositivos no gestionados (por ejemplo, acceso de terceros, dispositivos propios).
  2. ¿La oferta es compatible únicamente con aplicaciones web o pueden obtener las mismas ventajas de seguridad las aplicaciones heredadas (del centro de datos)?
  3. Algunos productos de ZTNA se suministran parcial o totalmente como servicios basados en la nube. ¿Cumple esto con los requisitos de seguridad y residencia de la organización? Nota: Gartner recomienda que las empresas favorezcan a los proveedores que ofrecen ZTNA como servicio, ya que los servicios son más fáciles de implementar, están más disponibles y proporcionan una mejor seguridad contra los ataques DDoS.
  4. ¿Hasta qué punto la ocultación parcial o total, o el permitir o prohibir las conexiones entrantes, forman parte de los requisitos de seguridad de la aplicación aislada?
  5. ¿Qué estándares de autenticación admite el agente de confianza? ¿Está disponible la integración con un directorio local o con servicios de identidad basados en la nube? ¿Se integra el agente de confianza con el proveedor de identidades existente en la organización?
  6. ¿Cuál es la diversidad geográfica de los puntos de entrada y salida del proveedor (denominados ubicaciones de perímetro y/o puntos de presencia) en todo el mundo?
  7. Después de que el usuario y el dispositivo del usuario paean la autenticación, ¿el agente de confianza permanece residente en la ruta de datos?
  8. ¿Se integra la oferta con los proveedores de gestión unificada de terminales (UEM), o puede el agente local determinar la postura de seguridad y el estado del dispositivo como factores en la decisión de acceso? ¿Con qué proveedores de UEM se ha asociado el proveedor de ZTNA?

Todas estas son consideraciones importantes para su empresa a la hora de buscar el proveedor de ZTNA que complemente sus objetivos y visión actuales y de futuro. Para obtener más información sobre ZTNA, consulte nuestro servicio líder de ZTNA, Zscaler Private Access. Incluso puede probar ZPA gratuitamente durante 7 días.

Informe de adopción de la confianza cero de Cybersecurity Insiders 2019

Acceda al informe completo
Icono de confianza

Guía del arquitecto de redes para la adopción del ZTNA

Leer la guía
Icono de confianza

Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)

Lea nuestro documento técnico
Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)

Infografía del perímetro de servicio de seguridad de Zscaler (SSE)

Eche un vistazo
Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)