El Acceso a la red Zero Trust (ZTNA) es la tecnología que permite que las organizaciones implementen un modelo de seguridad Zero Trust.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
El Acceso a la red Zero Trust (ZTNA) es la tecnología que permite implementar un modelo de seguridad Zero Trust. "Zero Trust" es un modelo de seguridad informática que asume que las amenazas están presentes tanto dentro como fuera de una red. En consecuencia, Zero Trust requiere una verificación estricta para cada usuario y para cada dispositivo antes de autorizarles el acceso a los recursos internos.
La ZTNA es similar al enfoque de perímetro definido por software (SDP) para controlar el acceso. En ZTNA, al igual que en SDP, los dispositivos conectados no conocen ningún recurso (aplicaciones, servidores, etc.) de la red que no sea aquel al que están conectados.
Imaginemos un escenario en el que cada residente recibe una guía telefónica con los números de teléfono del resto de residentes de su ciudad, y cualquiera puede marcar cualquier número para ponerse en contacto con cualquier otra persona. Ahora, imaginemos un escenario en el que todos tienen un número de teléfono no listado y un residente tiene que saber el número de teléfono de otro residente para poder llamarlo. Este segundo escenario tiene algunas ventajas: no se producen llamadas no deseadas, no hay llamadas accidentales a la persona equivocada, y no se da el riesgo de que personas sin escrúpulos utilicen la guía telefónica de la ciudad para engañar o estafar a los residentes.
ZTNA es como el segundo escenario. Pero en lugar de números de teléfono, ZTNA utiliza direcciones IP, aplicaciones y servicios que "no están en una lista". Establece conexiones personalizadas entre los usuarios y los recursos que necesitan, como cuando dos personas que necesitan ponerse en contacto intercambian números de teléfono. Pero a diferencia de dos personas que intercambian números, las conexiones ZTNA se tienen que verificar y recrear periódicamente.
Las redes privadas virtuales (VPN) son lo que muchas organizaciones utilizan para controlar el acceso en lugar de ZTNA. Una vez que los usuarios se conectan a una VPN, obtienen acceso a toda la red y a todos los recursos de la misma (esto se suele conocer como modelo perimetral). En cambio, ZTNA solo concede acceso a la aplicación específica solicitada y deniega el acceso a aplicaciones y datos por defecto.
También hay diferencias entre los ZTNA y las VPN a nivel técnico. Algunas de estas diferencias son:
Por último, las VPN son imprecisas, ya que tratan a los usuarios y a los dispositivos de la misma manera, independientemente de dónde se encuentren y a qué necesiten acceder. Con los enfoques de "trae tu propio dispositivo" (BYOD), que son cada vez más habituales, es peligroso permitir este acceso, ya que cualquier punto de conexión puesto en riesgo por malware puede infectar toda una red. Por estas razones, las VPN son un objetivo de ataque frecuente.
La configuración de ZTNA es ligeramente diferente en cada organización o proveedor. Sin embargo, hay varios principios subyacentes que se mantienen en todas las arquitecturas de ZTNA:
El ZTNA basado en agentes requiere la instalación de una aplicación de software conocida como un "agente" en todos los dispositivos de punto de conexión.
El ZTNA basado en servicios o en la nube es un servicio en la nube y no una aplicación de punto de conexión. No requiere el uso ni la instalación de un agente.
Las organizaciones que quieran implementar una filosofía Zero Trust deben considerar qué tipo de solución ZTNA se ajusta mejor a sus necesidades. Por ejemplo, si una organización está preocupada por una creciente mezcla de dispositivos gestionados y no gestionados, el ZTNA basado en agentes puede ser una opción eficaz. De manera alternativa, si una organización se centra principalmente en bloquear determinadas aplicaciones basadas en la web, el modelo basado en servicios se puede implementar muy rápido.
Otra consideración es que el ZTNA basado en servicios puede integrarse fácilmente con las aplicaciones en la nube, pero no tanto con la infraestructura local. Si todo el tráfico de la red tiene que ir de los dispositivos de punto de conexión locales a la nube, y luego volver a la infraestructura local, el rendimiento y la fiabilidad podrían verse drásticamente afectados.
Especialización del proveedor: debido a que la gestión del acceso y la identidad (IAM), los servicios de redes y la seguridad de la red tradicionalmente han estado separados, la mayoría de proveedores ZINA típicamente se especializan en una de estas áreas. Las organizaciones deberían buscar un proveedor con una área de especialización que encaje con sus necesidades, o una que combine las tres áreas en una solución de seguridad de la red cohesiva.
Nivel de implementación: puede que algunas organizaciones ya hayan invertido en tecnología adyacente para dar soporte a una estrategia Zero Trust (por ejemplo, proveedores de IdP o proveedores de protección de puntos de conexión), mientras que puede que otras necesiten construir toda su arquitectura ZTNA desde cero. Los proveedores de ZTNA pueden ofrecer soluciones puntuales para ayudar a las organizaciones a completar sus implantaciones de ZTNA, crear arquitecturas ZTNA completas, o ambas cosas.
Soporte para aplicaciones heredadas: muchas organizaciones siguen teniendo aplicaciones heredadas en sus instalaciones que son fundamentales para su negocio. Como se ejecuta en Internet, ZTNA es compatible con las aplicaciones en la nube, pero puede que necesite una configuración adicional para ser compatible con las aplicaciones heredadas.
Integración de IdP: muchas organizaciones ya tienen un IdP. Algunos proveedores de ZTNA solo trabajan con determinados IdP, obligando a sus clientes a migrar su base de datos de identidad para utilizar su servicio. Otros son independientes respecto a los IdP: pueden integrarse con cualquier IdP.
El Acceso a aplicaciones Zero Trust (ZTAA), también llamado seguridad de aplicaciones Zero Trust, aplica los mismos principios que ZTNA al acceso a aplicaciones en lugar de acceso a la red. Las soluciones ZTAA verifican el acceso de los usuarios a las aplicaciones, integrándose con los proveedores de IdP y SSO, cifrando las conexiones, considerando individualmente cada solicitud de acceso a una aplicación y bloqueando o permitiendo solicitud por solicitud. ZTAA se puede ofrecer sin agente a través del navegador o utilizando un agente de punto final.
Para saber más, consulta Seguridad Zero Trust.
Cloudflare ofrece una solución ZTNA desarrollada en la red global de Cloudflare para un rápido rendimiento. Consulta la página de la solución ZTNA.
Para más información sobre la filosofía Zero Trust, consulta nuestro artículo sobre la seguridad Zero Trust.