¿Qué es el acceso Zero Trust a la red (ZTNA) 2.0?

ZTNA 2.0

El acceso Zero Trust a la red 2.0 supera las limitaciones de las soluciones ZTNA tradicionales, estableciendo conexiones seguras para ofrecer una mayor protección a las empresas con plantillas híbridas.

Las estrategias de ZTNA 1.0 (o tradicional) actuales solo admiten controles de acceso generales e incorporan un enfoque basado en «permitir e ignorar» tanto para los usuarios como para el tráfico de las aplicaciones. Además, ofrecen escasas o nulas funciones de seguridad avanzada que protejan de forma coherente todas las aplicaciones (incluida una prevención de pérdida de datos DLP] rudimentaria), lo que incumple el principio del acceso según el criterio del mínimo privilegio y expone a las organizaciones a un mayor riesgo de que se produzca una brecha.

Diferencias entre ZTNA 1.0 y ZTNA 2.0

El mayor cambio que se ha producido en los últimos 24 meses con relación a la seguridad y la conectividad es que el trabajo ya no es un lugar al que vamos, sino una actividad que realizamos. El trabajo híbrido ies la nueva normalidad, lo que significa que nuestras aplicaciones y usuarios están ahora en todas partes, por lo que la superficie de ataque se ha expandido sin control. Al mismo tiempo, hemos visto un aumento también en el volumen y el nivel de sofisticación de los ciberataques, que se aprovechan de esta enorme superficie de ataque.

Las soluciones ZTNA 1.0 actuales solo resuelven algunos de los problemas relativos al acceso directo a las aplicaciones. En concreto, en las soluciones ZTNA 1.0 ocurre esto:

• Incumplen el principio del mínimo privilegio. Las estrategias de ZTNA 1.0 identifican las aplicaciones sobre la base de constructos de red de bajo nivel, como la dirección IP (o el nombre de dominio completo [FQDN]) y el número de puerto. Esto plantea tres problemas principales que incumplen el principio del mínimo privilegio:
  • Si una aplicación usa direcciones IP o puertos dinámicos, el acceso se otorga a intervalos amplios de IP y puertos, lo que expone una superficie mayor de lo necesario.
  • El acceso no puede restringirse a nivel de subaplicación o de función de la aplicación; solo puede otorgarse a toda la aplicación.
  • Cualquier malware que escuche en los mismos números de puerto y direcciones IP permitidos, podrá comunicarse con total libertad y propagarse lateralmente
• Se basan en el modelo de «permitir e ignorar». Todas las soluciones ZTNA 1.0 aplican este principio básico: una vez que una aplicación recibe autorización para acceder, confían en esa comunicación de manera implícita para siempre; de hecho, el 100 % de las brechas se producen en actividades permitidas y, por tanto, este modelo de «permitir e ignorar» no puede prevenirlas.
• No inspeccionan la seguridad. Las soluciones ZTNA 1.0 dan por hecho que todo el tráfico permitido está exento de malware y de otras amenazas o vulnerabilidades, pues carecen de la capacidad de detectar o prevenir el malware o el movimiento lateral en las distintas conexiones.
• No protegen los datos. El ZTNA 1.0 no ofrece visibilidad ni control sobre los datos, por lo que la empresa se expone al riesgo de que atacantes y personal interno malintencionado los exfiltren.
• No pueden proteger todas las aplicaciones. Las soluciones ZTNA 1.0 son incapaces de proteger como es debido las aplicaciones nativas en la nube basadas en microservicios, las que usan puertos dinámicos (como las aplicaciones de voz y vídeo) ni las iniciadas por servidores (como los sistemas de aplicación de parches y servicios de asistencia). Además, las soluciones ZTNA 1.0 ignoran por completo las aplicaciones de software como servicio (SaaS), que a día de hoy representan la mayoría de las aplicaciones empresariales.

Además de que las soluciones ZTNA 1.0 carecen de ciertas capacidades, hay soluciones ZTNA de nueva generación que tampoco protegen por completo a los usuarios, las aplicaciones ni los datos.

ZTNA de nueva generación vs. ZTNA 2.0

En el mercado hay soluciones que se venden como ZTNA de nueva generación. Sin embargo, tienen los mismos defectos que las de ZTNA 1.0 y, por ejemplo, aplican el modelo de «permitir e ignorar», incumplen el principio del mínimo privilegio y no ofrecen una protección general ni de datos coherente para todas las aplicaciones. Es evidente que en un mundo dominado por la nube y el trabajo híbrido, el paradigma de protección del acceso directo a las aplicaciones debe cambiar.

Ventajas del ZTNA 2.0

En el intento por controlar la superficie de ataque en plena expansión y retomar el control, el ZTNA se ha erigido como el enfoque predilecto para reducir dicha superficie, ya que proporciona el acceso directo a las aplicaciones según el criterio del mínimo privilegio que precisan las plantillas híbridas de hoy en día. Las soluciones ZTNA iniciales (o 1.0) —que se desarrollaron para hacer frente a la necesidad urgente de sustituir las implementaciones de VPN tradicionales y obsoletas que desvían el tráfico y proporcionan acceso LAN o a la red— no cumplen el cometido del modelo Zero Trust, tal y como demuestran las importantes limitaciones de las soluciones 1.0 actuales. Salta a la vista que hay que adoptar un nuevo enfoque, y ese enfoque es el ZTNA 2.0.

El ZTNA 2.0 supera las limitaciones del ZTNA 1.0 y está a la altura de lo que implica una arquitectura Zero Trust. El ZTNA 2.0 se ha diseñado específicamente para suplir las carencias de las estrategias ZTNA 1.0 de forma eficaz, y ofrece lo siguiente:

• Acceso según el criterio del mínimo privilegio garantizado: identifica las aplicaciones a partir de los App-ID en la capa 7. De este modo, se proporciona un control de acceso preciso a nivel de aplicación y subaplicación, independiente de constructos de red como la dirección IP o los números de puerto.
• Verificación continua de la confianza: una vez que se concede acceso a una aplicación, la confianza se evalúa continuamente en función de los cambios en el perfil de seguridad de los dispositivos, el comportamiento de los usuarios y el comportamiento de las aplicaciones. Si se detecta algún comportamiento sospechoso, se puede revocar el acceso en tiempo real.
• Inspección continua de la seguridad: todo el tráfico (incluso el de las conexiones permitidas) se somete a una inspección profunda y continua con el fin de prevenir todas las amenazas, incluidas las de día cero. Eso es de particular importancia en casos en los que se roban credenciales de usuarios reales y se utilizan para lanzar ataques contra las aplicaciones o la infraestructura.
• Protección de todos los datos: se aplica un control coherente de los datos en todas las aplicaciones utilizadas en la empresa, incluidas las privadas y las de SaaS, con una sola política de DLP.
• Protección de todas las aplicaciones: protege de manera coherente todas las aplicaciones utilizadas en el conjunto de la empresa, incluidas las aplicaciones nativas en la nube modernas, las aplicaciones privadas antiguas y las aplicaciones SaaS, así como las que utilizan puertos dinámicos y conexiones iniciadas en el servidor.

Sin embargo, esto no es todo lo que las soluciones ZTNA 2.0 pueden ofrecer a las organizaciones.

Una sola estrategia unificada con el ZTNA 2.0

Las solucionesZTNA 2.0 ofrecen una seguridad superior a la par que garantizan un rendimiento sin concesiones y una experiencia del usuario excepcional; todo ello, adoptando una sola estrategia unificada. El ZTNA 2.0 proporciona una arquitectura 100 % nativa en la nube diseñada para proteger las empresas digitales de hoy en día a la escala de la nube sin afectar al rendimiento, con la garantía de unos acuerdos de nivel de servicio líderes en el sector que se traducen en una experiencia del usuario excepcional. El ZTNA 2.0, al basarse totalmente en software y ser compatible con cualquier tipo de hardware, garantiza el escalado automático para adaptarse a los cambios en la plantilla híbrida y las demandas de la empresa sin necesidad de recurrir a procesos ni interacciones manuales.

• Producto de seguridad unificado: las soluciones ZTNA 1.0 obligan a gestionar políticas independientes a través de diferentes consolas de gestión para proteger de forma integral todas las aplicaciones y a todos los usuarios. Cuando, por el contrario, la gestión, las políticas y los datos están dispersos por toda la infraestructura, resulta imposible evitar los incidentes o detectarlos y responder a ellos eficazmente. El ZTNA 2.0 ofrece un producto que unifica todas las funciones, como las de acceso Zero Trust a la red (ZTNA), puertas de enlace web seguras (SWG), agentes de seguridad de acceso a la nube de nueva generación (NG-CASB), cortafuegos como servicio (FWaaS) y prevención de pérdida de datos (DLP), entre otras. Se ha diseñado para unificar totalmente la gestión, las políticas y los datos de todos los usuarios y aplicaciones.
• Rendimiento y experiencias excepcionales: las soluciones ZTNA 1.0 actuales dependen de servicios físicos implementados en ubicaciones compartidas alquiladas que conforman un mosaico de componentes y cuya principal infraestructura es la red internet pública. Este enfoque limita de forma considerable el alcance, la escalabilidad y el rendimiento de la solución, y hace que dependa más de centros de datos de terceros y conexiones que dejan mucho que desear. Estas soluciones también carecen de una verdadera arquitectura con varios inquilinos que permita mitigar los problemas de los «vecinos ruidosos» y las situaciones de «destinos compartidos», obligando a los clientes a anteponer la experiencia a la seguridad.
  
  Para garantizar una verdadera arquitectura con varios inquilinos, las soluciones ZTNA 2.0 deben proporcionar un plano de datos dedicado a cada cliente, lo que evita los problemas de «vecinos ruidosos» que afectan a las estrategias ZTNA 1.0. Asimismo, la solución ZTNA 2.0 debe incorporar funciones nativas de supervisión de la experiencia digital (DEM) que permitan identificar los problemas de forma proactiva, además de aislarlos y resolverlos de forma automática para ofrecer la mejor experiencia posible.

Consulte este artículo del blog para obtener más información sobre el ZTNA 2.0.