Zero Trust Network Access: comprensión de lo que impulsa la adopción
¿Qué es el acceso a la red Zero Trust (ZTNA)?
La idea de la seguridad de confianza cero ha surgido como una tendencia importante en la seguridad cibernética en los últimos años, con firmas de analistas como Gartner y Forrester promocionando el concepto como el próximo gran avance en la seguridad de la red a medida que avanzamos hacia entornos de trabajo más distribuidos. A raíz de la pandemia de COVID-19, a medida que el trabajo remoto se convirtió en la norma, muchas organizaciones reorganizaron sus prioridades de seguridad interna, colocando a ZTNA entre los elementos más importantes a abordar a medida que avanzamos en la década de 2020.
También conocido como perímetro definido por software (SDP), el acceso a la red de confianza cero (ZTNA) está compuesto por un conjunto de tecnologías que se adhieren a un modelo de confianza adaptativo, donde la confianza nunca es absoluta y el acceso se otorga en un nivel de privilegio mínimo. definida por políticas de cumplimiento únicas dentro de una organización.
Entonces, ¿Cómo funciona realmente ZTNA? Cada organización o proveedor configura ZTNA de forma ligeramente diferente. Sin embargo, hay varios principios subyacentes que se mantienen consistentes en las arquitecturas ZTNA:
Aplicación versus acceso a la red: ZTNA trata el acceso a la aplicación por separado del acceso a la red. Conectarse a una red no otorga automáticamente a un usuario el derecho a acceder a una aplicación.
Direcciones IP ocultas: ZTNA no expone las direcciones IP a la red. El resto de la red permanece invisible para los dispositivos conectados, excepto la aplicación o el servicio al que están conectados.
Seguridad del dispositivo: ZTNA puede incorporar el riesgo y la postura de seguridad de los dispositivos como factores en las decisiones de acceso. Para ello, ejecuta software en el propio dispositivo (consulte "ZTNA basado en agentes frente a ZTNA basado en servicios" a continuación) o analizando el tráfico de red hacia y desde el dispositivo.
Factores adicionales: a diferencia del control de acceso tradicional, que solo otorga acceso en función de la identidad y el rol del usuario, ZTNA puede evaluar los riesgos asociados con factores adicionales como la ubicación del usuario, el momento y la frecuencia de las solicitudes, las aplicaciones y los datos que se solicitan, y más. Un usuario puede iniciar sesión en una red o aplicación, pero si su dispositivo no es de confianza, se deniega el acceso.
Sin MPLS: ZTNA utiliza conexiones de Internet cifradas a través de TLS en lugar de conexiones WAN basadas en MPLS. Las redes corporativas tradicionales se basan en conexiones MPLS privadas. En cambio, ZTNA se basa en la Internet pública y utiliza el cifrado TLS para mantener privado el tráfico de la red. ZTNA configura pequeños túneles encriptados entre un usuario y una aplicación, en lugar de conectar a un usuario a una red más grande.
IdP y SSO: la mayoría de las soluciones de ZTNA se integran con proveedores de identidad independientes (IdP), plataformas de inicio de sesión único (SSO) o ambos. SSO permite a los usuarios autenticar la identidad de todas las aplicaciones; el IdP almacena la identidad del usuario y determina los privilegios de usuario asociados.
Agente frente a servicio: ZTNA puede usar un agente de punto final o estar basado en la nube. La diferencia se explica a continuación.
¿Cómo influye el control de acceso en ZTNA?
A diferencia del control de acceso basado en IP que se utiliza tradicionalmente con las VPN, el acceso a la red Zero Trust aprovecha la autenticación y el control de acceso basados en la identidad. Esta diferenciación permite a las organizaciones utilizar políticas de control de acceso únicas basadas en la ubicación o los dispositivos, que se pueden configurar para evitar que los dispositivos no compatibles se conecten a los servicios corporativos.
Otra ventaja del control de acceso basado en identidad a través de ZTNA es que también puede extenderse a dispositivos BYOD fuera del campus. Intrínsecamente, estos dispositivos suelen ser más vulnerables, por lo que aplicar diferentes niveles de acceso en este caso de uso puede ayudar a proteger mejor la red que la VPN tradicional. Algunas soluciones ZTNA basadas en agentes brindan una evaluación de confianza previa a la autenticación del usuario y el dispositivo que se conectan, incluida la postura del dispositivo, el estado de autenticación y la ubicación geográfica.
¿Cuál es la conexión entre ZTNA y SASE?
Sin embargo, al igual que SDP, ZTNA no proporciona una inspección en línea del tráfico de usuarios desde la aplicación después de que el usuario establece una conexión. Esto puede generar posibles problemas de seguridad cuando el dispositivo o las credenciales de un usuario se ven comprometidos, o en el caso de un infiltrado malicioso que utiliza su acceso a un recurso para interrumpir la aplicación o el host.
Las soluciones de borde de servicio de acceso seguro ( SASE ) que incorporan autenticación basada en identidad ZTNA y capacidades de control de acceso granular brindan un enfoque más completo y holístico. Las soluciones SASE brindan las capacidades de red, seguridad y escalabilidad en la nube necesarias para la administración segura del acceso remoto. Pero a diferencia de las soluciones independientes de ZTNA, SASE proporciona monitoreo posterior a la conexión para detectar signos de pérdida de datos o credenciales comprometidas.