Recursos > Glosario de términos de seguridad > Qué es una Arquitectura de red de confianza cero

¿Qué es una Arquitectura de red de confianza cero?

¿Qué es una Arquitectura de red de confianza cero?

Para poder examinar con más detalle las diferentes arquitecturas de red de confianza cero, es necesario comprender los antecedentes del acceso a la red de confianza cero (ZTNA) como marco de seguridad. El acceso a la red de confianza cero, anteriormente conocido como perímetro definido por software, ha ganado popularidad en los últimos años, ya que las organizaciones buscan formas de conectar a los usuarios con sus aplicaciones y datos cuando es cada vez más probable que ni los usuarios ni las aplicaciones estén en la red. Y es que, para estar habilitadas digitalmente, las organizaciones deben hacer accesibles sus sistemas, servicios, API, datos y procesos en cualquier lugar, en cualquier momento y desde cualquier dispositivo a través de Internet. Para hacerlo de forma segura, están aprovechando la ZTNA para proporcionar el acceso preciso y contextual necesario, a la vez que blindan los servicios contra los atacantes. La ZTNA ofrece importantes ventajas en cuanto a la experiencia del usuario, la agilidad, la adaptabilidad y la gestión simplificada de las políticas, y la ZTNA basada en la nube ofrece las ventajas añadidas de la escalabilidad y la facilidad de adopción.

Gartner diseñó la ZTNA para proporcionar un modelo que permita eliminar la excesiva confianza depositada en los empleados y socios cuando se conectan a las aplicaciones y los datos mediante tecnologías tradicionales, como las VPN. El modelo ZTNA responde a la idea de que no se puede confiar en nada hasta que se demuestre que es digno de confianza y, una vez establecida la confianza, ésta debe reevaluarse continuamente a medida que el contexto (ubicación del usuario, dispositivo, aplicación, etc.) cambia.

 

Las dos aproximaciones a la arquitectura de red de confianza cero

Existen dos arquitecturas distintas a la hora de ofrecer la ZTNA: la iniciada por el punto final y la iniciada por el servicio. Una arquitectura de red de confianza cero iniciada por el punto final significa que el punto final o el usuario final inicia el acceso a una aplicación. Esta aproximación es el modelo más cercano a la especificación original del perímetro definido por software (SDP). En este caso, se instala un agente (una aplicación de software ligera) en los dispositivos de los usuarios finales. El agente se comunica con un controlador, que autentifica al usuario y le otorga conectividad a una aplicación específica a la que el usuario está autorizado a acceder. Es difícil, si no imposible, implementar la ZTNA iniciada por el punto final en un dispositivo no gestionado, debido al requisito de instalar algún tipo de agente o software local.

Con  una arquitectura de red de confianza cero iniciada por un servicio, un intermediario de ZTNA inicia la conexión entre el usuario y la aplicación. En este caso, un conector ligero de ZTNA se posiciona frente a las aplicaciones empresariales, ubicadas en el centro de datos o la nube de un cliente, y establece una conexión saliente desde la aplicación solicitada hasta el intermediario de servicios de ZTNA. Una vez que el proveedor autentifica al usuario para su acceso a la aplicación, el tráfico pasará a través del proveedor de servicios de ZTNA, que aísla las aplicaciones del acceso directo a través de un proxy. La ventaja de la ZTNA iniciada por un servicio es que no se requiere ningún agente en el dispositivo del usuario final, lo que la convierte en un enfoque atractivo para los dispositivos no gestionados (BYOD) y para el acceso de socios y clientes. Algunos servicios ZTNA iniciados por un servicio pueden utilizar el acceso basado en el navegador para las aplicaciones web.

Los dos modelos de suministro de acceso a la red de confianza cero

Más allá de las diferencias arquitectónicas entre las arquitecturas de red de confianza cero iniciadas por el punto final y las iniciadas por un servicio, los clientes tienen la opción de adoptar la ZTNA como un producto independiente o como un servicio. Aunque Gartner recomienda un modelo basado en servicio, a continuación se ofrece una breve explicación de cada uno para ayudarle a tomar la mejor decisión para su estrategia de ZTNA:

 

ZTNA como producto independiente

Las ofertas de ZTNA como producto independiente requieren que los clientes implementen y administren todos los elementos del producto. Además, varios proveedores de nube IaaS ofrecen capacidades de ZTNA para sus clientes. La ZTNA se posiciona en el perímetro de su entorno, ya sea en el centro de datos o en la nube, y ofrece una conexión segura entre el usuario y la aplicación.

 

Ventajas y desventajas:

  • Los clientes tienen el 100% de la responsabilidad y deben implementar, gestionar y dar mantenimiento a la infraestructura de ZTNA​​​
  • La oferta como producto independiente se adapta bien a las empresas reticentes a la nube
  • Algunos proveedores admiten ofertas de ZTNA como producto independiente y también como servicio en la nube
Modelo conceptual de ZTNA iniciado por el punto final

ZTNA como servicio en la nube

La otra opción es ZTNA como servicio. Con ZTNA como un servicio hospedado en la nube, los clientes aprovechan la infraestructura de nube de un proveedor para cumplir sus políticas. El cliente simplemente compra licencias de usuario e implementa conectores livianos que funcionan como front-end para las aplicaciones en todos los entornos; el proveedor satisface las necesidades de conectividad, capacidad e infraestructura. El acceso se establece a través de conexiones mediadas de adentro hacia afuera entre el usuario y la aplicación, desvinculando efectivamente el acceso a la aplicación del acceso a la red sin exponer nunca las IP a Internet. 

 

Ventajas y desventajas:

  • Implementación más fácil, ya que no hay requisitos de infraestructura por parte del cliente
  • El ZTNA como servicio en la nube simplifica la gestión para el departamento de TI. La gestión se centraliza en un único portal de administración y se aplica globalmente a través del servicio en la nube de ZTNA.
  • El ZTNA suministrado en la nube garantiza que se seleccionen globalmente las vías de tráfico óptimas para que todos los usuarios remotos y locales tengan el acceso más rápido.
Modelo conceptual de ZTNA iniciado por el punto final

Algunos servicios suministrados en la nube permiten implementar un paquete de software en las instalaciones. El software se ejecuta en la infraestructura proporcionada por el cliente, pero se sigue suministrando como parte del servicio ZTNA y es gestionado por el proveedor de ZTNA.  Más información sobre ZTNA en las instalaciones.

En cuanto a la interacción con el cliente, la modalidad "como servicio" está superando rápidamente a la modalidad "producto independiente". Gartner estima que más del 90% de los clientes están implementando la modalidad "como servicio".

Guía de mercado para ZTNA de Gartner, 8 de junio de 2020

Recomendaciones de productos de Gartner para la implementación de una arquitectura de red de confianza cero 

En la reciente Guía de mercado para el acceso a la red de confianza cero de Gartner, Steve Riley, Neil MacDonald y Lawrence Orans destacan varios aspectos que las organizaciones deben tener en cuenta al elegir una solución ZTNA:

  1. ¿Requiere el proveedor que se instale un agente de punto final? ¿Qué sistemas operativos son compatibles? ¿Qué dispositivos móviles? ¿Cómo se comporta el agente en presencia de otros agentes?

     

  2. ¿La oferta sólo admite aplicaciones web, o pueden obtener las mismas ventajas de seguridad las aplicaciones heredadas (del centro de datos)?

     

  3. Algunos productos de ZTNA se suministran parcial o totalmente como servicios basados en la nube. ¿Cumple esto con los requisitos de seguridad y residencia de la organización? NOTA: Gartner recomienda que las empresas favorezcan a los proveedores que ofrecen ZTNA como servicio, ya que los servicios son más fáciles de implementar, están más disponibles y proporcionan una mejor seguridad contra los ataques DDoS.

     

  4. ¿Hasta qué punto la ocultación parcial o total, o el permitir o prohibir las conexiones entrantes, forma parte de los requisitos de seguridad de la aplicación aislada?

     

  5. ¿Qué estándares de autenticación admite el agente de confianza? ¿Está disponible la integración con un directorio local o con servicios de identidad basados en la nube? ¿Se integra el agente de confianza con el proveedor de identidad existente en la organización?

     

  6. ¿Cuál es la diversidad geográfica de los puntos de entrada y salida del proveedor (denominados ubicaciones de perímetro y/o puntos de presencia) en todo el mundo?

     

  7. Después de que el usuario y el dispositivo pasen la autenticación, ¿el agente de confianza permanece residiendo en la ruta de datos?

     

  8. ¿Se integra la oferta con los proveedores de gestión unificada de terminales (UEM), o puede el agente local determinar la postura de seguridad y el estado del dispositivo como factores en la decisión de acceso? ¿Con qué proveedores de UEM se ha asociado el proveedor de ZTNA? 

    Comprender la arquitectura de red de confianza cero recomendada por Gartner: