En nuestro primer post de esta serie, hablamos de cómo el cambiante panorama de la seguridad y el cambio al teletrabajo han alterado drásticamente nuestra forma de trabajar. Asegurar la fuerza de trabajo distribuida es necesariamente lo más importante para los profesionales de la seguridad en 2022.
Aunque están empezando a desplegarse tecnologías recientes como SD-WAN, ZTNA y SASE, hoy en día el método principal, con diferencia, para proporcionar un acceso remoto seguro sigue siendo la VPN. Es probable que esto sea así durante bastante tiempo, debido a la proliferación de la tecnología en la actualidad y al coste de reeducar a los usuarios, pero la buena noticia es que la VPN también puede servir de base para tecnologías más nuevas como la SD-WAN.
Por lo tanto, es crucial comprender los puntos fuertes y débiles de las soluciones VPN. En nuestro post anterior, nos sumergimos rápidamente en la VPN de seguridad del protocolo de Internet (IPsec VPN), que opera en la capa de red, con una breve descripción de cómo funciona, los inconvenientes y los casos de uso para los que es más adecuada. En esta edición, examinaremos más de cerca la VPN de capa de sockets seguros (VPN SSL).
Los Fundamentos de la VPN SSL
La VPN «SSL» es un nombre algo equivocado, ya que SSL está en desuso desde mediados de 2015. En realidad, este tipo de VPN funciona con el sucesor de SSL, TLS o Transport Layer Security, en la capa de sesión (L5) del modelo OSI. Sin embargo, como todo el mundo, desde los fabricantes hasta los analistas y los administradores, sigue refiriéndose a ella como SSL VPN, parece destinada a mantener su nombre ligeramente engañoso.
SSL VPN se diseñó desde el principio para permitir a los usuarios remotos y móviles acceder de forma segura a los datos y servicios alojados en la red. Consta de dos componentes principales: un servidor y un cliente, que reside en el punto final. El servidor acepta las solicitudes de acceso del cliente, realiza la autenticación y autorización y establece una conexión segura.
Una serie de características de la tecnología SSL VPN la diferencian de las VPN IPsec y la convierten en el método dominante para dar soporte a las fuerzas de trabajo remotas y distribuidas. Las listas de recursos, por ejemplo, permiten el acceso a recursos específicos dentro de la red corporativa mientras impiden el acceso a otras áreas. ¿Le resulta familiar? Esto emula elementos de confianza cero, así como elementos de microsegmentación. Esto permite el acceso basado en roles a sólo los datos y servicios permitidos para ese usuario o grupo de usuarios.
SSL VPN también puede admitir varios métodos de autenticación para mayor seguridad. La autenticación multifactor puede realizarse mediante SMS, tokens físicos, correo electrónico o servicios de terceros.
Otra característica que diferencia a las VPN SSL es la capacidad de verificar y validar los dispositivos de los clientes antes de la conexión con el servidor. La verificación del ID del host puede inspeccionar un punto final en busca de su dirección MAC, números de serie y otros criterios antes de permitir el acceso. Además, las comprobaciones de seguridad del host pueden detectar el estado de seguridad del dispositivo remoto, como las versiones del sistema operativo, los parches y el navegador, así como la existencia y el estado del software de seguridad, como el antivirus, antes de conceder la entrada.
A diferencia de las VPN IPsec, las VPN SSL no requieren un cliente físico en el sitio remoto; en su lugar, los clientes están basados en software y suelen ser gratuitos. La mayoría de las VPN SSL también admiten un método sin agente (o sin cliente) a través de un navegador.
Otra diferencia a destacar es el rendimiento. Mientras que el rendimiento de las VPN IPsec puede mejorarse a través de las CPU de Intel, las VPN SSL basadas en hardware, como las incluidas en los NGFW de Hillstone y otros, pueden incluir placas aceleradoras integradas. Esta capacidad puede mejorar significativamente la velocidad de las nuevas conexiones, así como el rendimiento de cifrado/descifrado, lo que resulta en una experiencia de usuario mucho mejor y una mayor productividad.
Casos De Uso De Las VPN SSL
Las VPN SSL se utilizan principalmente para proporcionar un acceso remoto seguro a la red para los teletrabajadores, los trabajadores móviles y los administradores de sistemas que supervisan y gestionan servidores en varias oficinas departamentales. Esto es especialmente importante ya que el mundo ha hecho la transición a la realidad de la «sucursal de uno» de la fuerza de trabajo distribuida. La necesidad de conectividad y seguridad en conjunto está en un nivel sin precedentes.
La VPN SSL también puede utilizarse como sustituto en los casos en los que las VPN IPsec no pueden atravesar la NAT por alguna razón, o cuando entran en conflicto con las reglas del firewall.
Y, por último, las VPN SSL suelen ser un componente de un plan de continuidad empresarial, utilizado para permitir que el personal trabaje a distancia durante las interrupciones de la actividad. Durante la pandemia de COVID-19, por ejemplo, la VPN SSL se ha utilizado ampliamente para dar soporte a la nueva fuerza de trabajo distribuida. Dado que la importancia de la continuidad del negocio aumenta constantemente, las VPN SSL pueden ser clave para crear una infraestructura de seguridad ciberresistente.
De Cara Al Futuro
Al igual que la VPN IPsec, la VPN SSL existe desde hace bastante tiempo y, dada la nueva mano de obra híbrida generada por la pandemia, es probable que ambas tecnologías sigan existiendo durante mucho tiempo más. Sin embargo, en el horizonte no tan lejano se encuentran varias tecnologías novedosas que pueden interrelacionarse con las actuales infraestructuras VPN y eventualmente suplantarlas.
La empresa de análisis del sector Gartner ha propuesto un nuevo concepto, el Secure Access Service Edge (SASE), que a su vez engloba otros conceptos y tecnologías como Zero-Trust Network Access (ZTNA), SD-WAN, Secure Web Gateways (SWGs) y otros. SD-WAN y ZTNA pueden implementarse junto a VPNs SSL o IPsec hoy en día para mejorar la seguridad, por ejemplo.
En nuestro próximo post, echaremos un vistazo más de cerca a SASE, por qué es necesario, y cómo iniciar la transición. Para obtener más información sobre las soluciones de Hillstone y cómo pueden apoyar la transición a SASE, póngase en contacto con su representante local de Hillstone o distribuidor autorizado hoy.