¿Qué es el Acceso a la red Zero Trust (ZTNA)?

El Acceso a la red Zero Trust (ZTNA) es la tecnología que permite que las organizaciones implementen un modelo de seguridad Zero Trust.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir Zero Trust y ZTNA
  • Explicar cómo funciona la arquitectura ZTNA
  • Contrastar ZTNA vs. VPNs

Copiar enlace del artículo

¿Qué es ZTNA?

El Acceso a la red Zero Trust (ZTNA) es la tecnología que permite implementar un modelo de seguridad Zero Trust. "Zero Trust" es un modelo de seguridad informática que asume que las amenazas están presentes tanto dentro como fuera de una red. En consecuencia, Zero Trust requiere una verificación estricta para cada usuario y para cada dispositivo antes de autorizarles el acceso a los recursos internos.

Acceso a la red Zero Trust ZTNA: múltiples comprobaciones de seguridad para el usuario y el dispositivo

La ZTNA es similar al enfoque de perímetro definido por software (SDP) para controlar el acceso. En ZTNA, al igual que en SDP, los dispositivos conectados no conocen ningún recurso (aplicaciones, servidores, etc.) de la red que no sea aquel al que están conectados.

Imaginemos un escenario en el que cada residente recibe una guía telefónica con los números de teléfono del resto de residentes de su ciudad, y cualquiera puede marcar cualquier número para ponerse en contacto con cualquier otra persona. Ahora, imaginemos un escenario en el que todos tienen un número de teléfono no listado y un residente tiene que saber el número de teléfono de otro residente para poder llamarlo. Este segundo escenario tiene algunas ventajas: no se producen llamadas no deseadas, no hay llamadas accidentales a la persona equivocada, y no se da el riesgo de que personas sin escrúpulos utilicen la guía telefónica de la ciudad para engañar o estafar a los residentes.

ZTNA es como el segundo escenario. Pero en lugar de números de teléfono, ZTNA utiliza direcciones IP, aplicaciones y servicios que "no están en una lista". Establece conexiones personalizadas entre los usuarios y los recursos que necesitan, como cuando dos personas que necesitan ponerse en contacto intercambian números de teléfono. Pero a diferencia de dos personas que intercambian números, las conexiones ZTNA se tienen que verificar y recrear periódicamente.

ZTNA vs. VPN

Las redes privadas virtuales (VPN) son lo que muchas organizaciones utilizan para controlar el acceso en lugar de ZTNA. Una vez que los usuarios se conectan a una VPN, obtienen acceso a toda la red y a todos los recursos de la misma (esto se suele conocer como modelo perimetral). En cambio, ZTNA solo concede acceso a la aplicación específica solicitada y deniega el acceso a aplicaciones y datos por defecto.

También hay diferencias entre los ZTNA y las VPN a nivel técnico. Algunas de estas diferencias son:

  1. Capa del modelo OSI: muchas VPN funcionan con el protocolo IPsec en la capa 3, la capa de red en el modelo OSI. ZTNA suele funcionar en la capa de aplicación. (Algunas VPN sí funcionan en la capa de aplicación usando el protocolo TLS para la encriptación en lugar de IPsec; ZTNA suele tener un enfoque similar).
  2. Instalación de software en el punto de conexión: las VPN IPsec requieren la instalación de software en todos los dispositivos de los usuarios. Este es a veces el caso del ZTNA, pero no siempre.
  3. Hardware: las VPN suelen requerir el uso de servidores VPN locales, y los dispositivos de los usuarios se conectan a estos servidores, normalmente atravesando el firewall perimetral de su organización. ZTNA se puede configurar de este modo, pero la mayoría de las veces se entrega a través de la nube, lo que permite a los usuarios conectarse desde cualquier lugar sin afectar al rendimiento de la red.
  4. Nivel de conectividad: ZTNA establece conexiones encriptadas personalizadas entre el dispositivo de un usuario y una aplicación o servidor determinados. Las VPN dan a los usuarios acceso encriptado a toda una LAN a la vez. Si la dirección IP de un usuario se conecta con la red, puede conectarse con todas las direcciones IP de esa red.

Por último, las VPN son imprecisas, ya que tratan a los usuarios y a los dispositivos de la misma manera, independientemente de dónde se encuentren y a qué necesiten acceder. Con los enfoques de "trae tu propio dispositivo" (BYOD), que son cada vez más habituales, es peligroso permitir este acceso, ya que cualquier punto de conexión puesto en riesgo por malware puede infectar toda una red. Por estas razones, las VPN son un objetivo de ataque frecuente.

¿Cómo funciona ZTNA?

La configuración de ZTNA es ligeramente diferente en cada organización o proveedor. Sin embargo, hay varios principios subyacentes que se mantienen en todas las arquitecturas de ZTNA:

  • Acceso a la aplicación vs. acceso a la red: ZTNA trata el acceso a la aplicación de forma separada al acceso a la red. Conectarse a una red no otorga automáticamente a un usuario el derecho a acceder a una aplicación.
  • Direcciones IP ocultas: ZTNA no expone las direcciones IP a la red. El resto de la red permanece invisible para los dispositivos conectados, excepto para la aplicación o el servicio al que están conectados.
  • Seguridad de los dispositivos: ZTNA puede incorporar la postura de seguridad y riesgo de los dispositivos como factores en las decisiones de acceso. Lo hace al ejecutar un software en el propio dispositivo (ver "ZTNA basado en agentes vs. ZTNA basado en servicios" a continuación) o al analizar el tráfico de red hacia y desde el dispositivo.
  • Factores adicionales: a diferencia del control de acceso tradicional, que solo concede el acceso en función de la identidad y el rol del usuario, ZTNA puede evaluar los riesgos asociados a factores adicionales como la ubicación del usuario, el momento y la frecuencia de las solicitudes, las aplicaciones y los datos que se solicitan, etc. Un usuario puede iniciar sesión en una red o aplicación, pero si su dispositivo no es de confianza, se le denegará el acceso.
  • Sin MPLS: ZTNA utiliza conexiones de Internet encriptadas por TLS en lugar de conexiones WAN basadas en MPLS. Las redes corporativas tradicionales se construyen sobre conexiones MPLS privadas. En cambio, ZTNA se construye sobre la Internet pública, y usa la encriptación TLS para mantener privado el tráfico de la red. ZTNA establece pequeños túneles encriptados entre un usuario y una aplicación, en lugar de conectar a un usuario a una red mayor.
  • IdP y SSO: la mayoría de las soluciones de ZTNA se integran con proveedores de identidad (IdP) independientes, plataformas de inicio de sesión único (SSO), o ambas. El SSO permite autenticar la identidad de los usuarios para todas las aplicaciones; el IdP almacena la identidad del usuario y determina los privilegios asociados.
  • Agente vs. servicio: ZTNA puede utilizar un agente de punto de conexión o estar basado en la nube. A continuación, se explicarán las diferencias.

ZTNA basado en agentes vs. ZTNA basado en servicios

El ZTNA basado en agentes requiere la instalación de una aplicación de software conocida como un "agente" en todos los dispositivos de punto de conexión.

El ZTNA basado en servicios o en la nube es un servicio en la nube y no una aplicación de punto de conexión. No requiere el uso ni la instalación de un agente.

Las organizaciones que quieran implementar una filosofía Zero Trust deben considerar qué tipo de solución ZTNA se ajusta mejor a sus necesidades. Por ejemplo, si una organización está preocupada por una creciente mezcla de dispositivos gestionados y no gestionados, el ZTNA basado en agentes puede ser una opción eficaz. De manera alternativa, si una organización se centra principalmente en bloquear determinadas aplicaciones basadas en la web, el modelo basado en servicios se puede implementar muy rápido.

Otra consideración es que el ZTNA basado en servicios puede integrarse fácilmente con las aplicaciones en la nube, pero no tanto con la infraestructura local. Si todo el tráfico de la red tiene que ir de los dispositivos de punto de conexión locales a la nube, y luego volver a la infraestructura local, el rendimiento y la fiabilidad podrían verse drásticamente afectados.

¿Qué otras consideraciones importantes hay en la solución ZTNA?

Especialización de proveedores: ya que la gestión de identidad y acceso (IAM), los servicios de red y la seguridad de red han estado tradicionalmente separados, la mayoría de los proveedores de ZTNA suelen especializarse en una de estas áreas. Las organizaciones deben buscar un proveedor con un área de especialización que se ajuste a sus necesidades, o uno que combine las tres áreas en una solución conjunta.

Nivel de implementación: puede que algunas organizaciones ya hayan invertido en tecnología adyacente para dar soporte a una estrategia Zero Trust (por ejemplo, proveedores de IdP o proveedores de protección de puntos de conexión), mientras que puede que otras necesiten construir toda su arquitectura ZTNA desde cero. Los proveedores de ZTNA pueden ofrecer soluciones puntuales para ayudar a las organizaciones a completar sus implantaciones de ZTNA, crear arquitecturas ZTNA completas, o ambas cosas.

Soporte para aplicaciones heredadas: muchas organizaciones siguen teniendo aplicaciones heredadas en sus instalaciones que son fundamentales para su negocio. Como se ejecuta en Internet, ZTNA es compatible con las aplicaciones en la nube, pero puede que necesite una configuración adicional para ser compatible con las aplicaciones heredadas.

Integración de IdP: muchas organizaciones ya tienen un IdP. Algunos proveedores de ZTNA solo trabajan con determinados IdP, obligando a sus clientes a migrar su base de datos de identidad para utilizar su servicio. Otros son independientes respecto a los IdP: pueden integrarse con cualquier IdP.

Cómo empezar con ZTNA

Cloudflare ofrece una solución ZTNA desarrollada en la red global de Cloudflare para un rápido rendimiento. Consulta la página de la solución ZTNA.

Para más información sobre la filosofía Zero Trust, consulta nuestro artículo sobre la seguridad Zero Trust.

Ventas