Recursos > Glosario de términos de seguridad > Qué es una Arquitectura de red de confianza cero

¿Qué es una arquitectura de red de confianza cero?

¿Qué es una Arquitectura de red de confianza cero?

Fundamentalmente, una arquitectura de red de confianza cero es una arquitectura de seguridad construida para reducir la superficie de ataque de una red y evitar el movimiento lateral de las amenazas basada en los principios básicos del enfoque de confianza cero, que John Kindervag esbozó por primera vez en Forrester Research.

En el modelo de seguridad de confianza cero, se deja de lado la noción del perímetro de red, dentro del cual se supone que todos los dispositivos y usuarios son fiables y se les da permisos de acceso amplio. En su lugar, sus datos confidenciales están protegidos detrás de controles de acceso de privilegios mínimos, microsegmentación granular y autenticación multifactor (MFA) que no otorgan confianza implícita al usuario ni al dispositivo. Esta estrategia de gestión de accesos mucho más estricta reduce significativamente el riesgo de que una organización sufra una infracción de datos.

Antes de analizar las diferentes arquitecturas de confianza cero con más detalle, resumamos los antecedentes del acceso a la red de confianza cero (ZTNA) como un marco de seguridad de red. Llamado perímetro definido por software (SDP) en su iteración temprana, ZTNA se ha vuelto popular porque las organizaciones necesitan ofrecer a los usuarios un acceso seguro a las aplicaciones y los datos cuando los usuarios o aquello a lo que desean acceder pueden no estar en un perímetro de seguridad tradicional (algo que los cortafuegos heredados no pueden hacer). Hoy en día, con más trabajadores a distancia que nunca, esto se ha vuelto especialmente importante. Para habilitar este acceso seguro, las organizaciones deben hacer que sus sistemas, servicios, API, datos y procesos estén accesibles en cualquier lugar y en cualquier momento, desde cualquier dispositivo a través de Internet.

Una arquitectura de red de confianza cero proporciona el acceso contextual preciso que el usuario necesita, al tiempo que protege los servicios de los hackers y el malware. En total, ofrece una experiencia de usuario mejorada, una mayor agilidad y adaptabilidad, y una gestión simplificada de las políticas. ZTNA basado en la nube ofrece aún más beneficios, entre los que se incluyen la escalabilidad masiva y la facilidad de adopción.

Gartner definió ZTNA con el fin de proporcionar un modelo que elimine la excesiva confianza que se otorga a los empleados y socios cuando se conectan a las aplicaciones y los datos mediante tecnologías tradicionales como las VPN. En ZTNA no se confía en nada hasta que se demuestra que es digno de confianza, e incluso entonces, la validación de la confianza se reevalúa en tiempo real a medida que cambia el contexto (la ubicación del usuario, el dispositivo, la aplicación, etc.).

 

Dos enfoques para implementar la arquitectura de red de confianza cero

Existen dos arquitecturas distintas a la hora de ofrecer ZTNA: la iniciada por el punto final y la iniciada por el servicio.

El ZTNA iniciado por el punto final, donde el punto final o usuario final inicia el acceso a una aplicación, se parece más a la especificación SDP original. Un agente (una aplicación de software ligera) instalado en los dispositivos del usuario final se comunica con un controlador, que autentica la identidad del usuario y proporciona conectividad a una aplicación a la que el usuario está autorizado a acceder. El ZTNA iniciado por puntos finales puede ser difícil o incluso imposible de implementar en dispositivos no gestionados (especialmente en dispositivos IoT) debido a la necesidad de instalar algún tipo de agente o software local.

En el ZTNA iniciado por el servicio, un agente ZTNA inicia las conexiones entre los usuarios y las aplicaciones. En este caso, un conector ligero se posiciona frente a las aplicaciones empresariales, ubicadas en el centro de datos o la nube de un cliente, y establece una conexión saliente desde la aplicación solicitada hasta el agente. Una vez que el proveedor identifica al usuario, el tráfico pasará a través del proveedor de servicios ZTNA, que aísla las aplicaciones del acceso directo a través de un proxy. Este enfoque no requiere un agente en el dispositivo del usuario final, lo que lo hace útil para proteger los dispositivos no gestionados (dispositivos de uso propio), así como para otorgar acceso a socios y clientes. Algunos servicios ZTNA iniciados por el servicio pueden utilizar el acceso basado en el navegador para las aplicaciones web.

Los dos modelos de suministro de acceso a la red de confianza cero

Más allá de las diferencias entre las arquitecturas iniciadas por el punto final y las iniciadas por el servicio, puede adoptar ZTNA como producto independiente o como servicio. Gartner recomienda los modelos basados en el servicio, pero cada enfoque tiene unas características únicas. En última instancia, las necesidades específicas de su organización, la estrategia de seguridad y el ecosistema determinan cuál es la mejor opción.
 

ZTNA como producto independiente

Las ofertas de ZTNA como producto independiente requieren que implemente y administre todos los elementos del producto. La infraestructura se sitúa en el perímetro de su entorno, ya sea en su centro de datos o en una nube, y facilita las conexiones seguras entre los usuarios y las aplicaciones. Algunos proveedores de infraestructura como servicio en la nube también ofrecen capacidades ZTNA.
 

Características

  • Usted es 100 % responsable de implementar, administrar y mantener la infraestructura ZTNA.
  • Algunos proveedores hacen ofertas de ZTNA como producto independiente y también como servicio en la nube.
  • El despliegue independiente es una buena opción para las empresas que evitan la nube.
Modelo conceptual de ZTNA iniciado por el punto final

ZTNA como servicio en la nube

Con ZTNA como servicio alojado en la nube, usted utiliza la infraestructura en la nube de un proveedor para la aplicación de políticas. Adquiere licencias de uso y despliega conectores ligeros que se sitúan delante de sus aplicaciones en todos los entornos, y el proveedor proporciona la conectividad, la capacidad y la infraestructura. El acceso se establece a través de conexiones mediadas de dentro hacia afuera entre el usuario y la aplicación, y desvincula con efectividad el acceso a la aplicación del acceso a la red sin exponer nunca las IP a Internet.
 

Características

  • La implementación es más fácil, ya que no necesita infraestructura.
  • La gestión es más sencilla al tener único portal de administración para la aplicación global a través del servicio en la nube.
  • La automatización selecciona las vías de tráfico óptimas para el acceso más rápido para todos los usuarios a nivel global.
Modelo conceptual de ZTNA iniciado por el punto final

 

Algunos servicios suministrados en la nube permiten implementar un paquete de software en las instalaciones. El software se ejecuta en su infraestructura, pero sigue siendo entregado como parte del servicio y administrado por el proveedor.

Más información sobre ZTNA en las instalaciones.

En cuanto a la interacción con el cliente, la modalidad "como servicio" está superando rápidamente a la modalidad "producto independiente". Gartner estima que más del 90% de los clientes están implementando la modalidad "como servicio".

Guía de mercado para el acceso a la red de confianza cero de Gartner, 8 de junio de 2020

Recomendaciones de Gartner para la implementación de una arquitectura de red de confianza cero 

La Guía de mercado para el acceso a la red de confianza cero de Gartner de 2020 describe numerosos factores que debería tener en cuenta al elegir una solución ZTNA para su organización. Aquí resumiremos los más relevantes:

  1. ¿El proveedor requiere que se instale un agente de punto final? Si es así, ¿cómo se comporta el agente en presencia de otros agentes? ¿Qué sistema operativo y dispositivos móviles son compatibles?
  2. ¿La oferta admite solamente aplicaciones web o también admite aplicaciones heredadas (centro de datos)?
  3. ¿El método de prestación de servicios cumple con sus requisitos de seguridad y residencia?
  4. ¿Hasta qué punto la ocultación parcial o total, o el permitir o prohibir las conexiones entrantes, forman parte de los requisitos de seguridad de la aplicación aislada?
  5. ¿Qué estándares de autenticación admite el agente de confianza? ¿Puede integrarse con un directorio local o con servicios de identidad basados en la nube? ¿Se integra con su actual proveedor de identidad?
  6. Geográficamente, ¿son diversos los puntos de presencia del proveedor en todo el mundo?
  7. Después de que el usuario y el dispositivo superan la autenticación, ¿el agente de confianza sigue residiendo en la ruta de datos?
  8. ¿La oferta se integra con proveedores de administración de puntos finales unificados o puede el agente local considerar el estado del dispositivo y la postura de seguridad en las decisiones de acceso? ¿Con qué proveedores de UEM se ha asociado el proveedor de ZTNA?

    Vídeo: Comprender la arquitectura de red de confianza cero recomendada por Gartner