En la era de la transformación digital, las empresas están adaptando sus estrategias de red y seguridad a la luz de dos tendencias clave que se aceleraron con la llegada de la pandemia del COVID-19. La primera es la transición hacia una mayor adopción de la nube, y la segunda es el crecimiento de una fuerza de trabajo remota altamente distribuida que ha reconfigurado los requisitos de red y seguridad.
Hoy en día, las empresas necesitan desplegar servicios de seguridad libremente, en cualquier momento y en cualquier lugar, con la capacidad de controlar y asegurar la fuerza de trabajo remota, así como los recursos internos. Esto significa que la frontera tradicional de la seguridad de la red se está desintegrando gradualmente. Sin embargo, las arquitecturas y soluciones de seguridad de red heredadas que se basan en el límite físico son difíciles de adaptar a los nuevos paradigmas de redes empresariales. Es entonces cuando entra en juego un modelo de confianza cero.
¿Qué es la confianza cero?
Según la definición de la publicación especial del NIST (National Institute of Standards and Technology), «Zero Trust Architecture*»:
«La confianza cero (ZT) es el término que designa a un conjunto de paradigmas de ciberseguridad en evolución que hace que las defensas pasen de los perímetros estáticos basados en la red a centrarse en los usuarios, los activos y los recursos… La confianza cero supone que no hay una confianza implícita concedida a los activos o a las cuentas de los usuarios basada únicamente en su ubicación física o en la red (es decir, redes de área local frente a Internet) o basada en la propiedad de los activos (propiedad de la empresa o personal)…»
La confianza cero no es una tecnología ni un producto, sino un concepto de seguridad. La esencia de la confianza cero es construir un entorno de acceso empresarial seguro eliminando la confianza implícita no verificada en la red. «Nunca confíes, y siempre verifica», es la idea central de la confianza cero. El objetivo final es conceder sólo la cantidad exacta de acceso y autoridad a los usuarios de confianza. Con la confianza cero, no se utiliza una frontera física para dividir a los usuarios, dispositivos y redes de confianza y los que no lo son.
Muchas empresas han llevado a cabo un desarrollo técnico y de productos basado en el modelo de confianza cero. La confianza cero se utiliza sobre todo para resolver los problemas de gestión de identidades y control de acceso. El acceso a la red de confianza cero (ZTNA) es una parte del concepto que transforma los métodos tradicionales de conexión remota con un control más fino, una expansión más flexible y una mayor fiabilidad.
¿Por qué el acceso a la red de confianza cero?
La VPN tradicional asume que cualquier usuario que pase el control del perímetro corporativo, o cualquier dispositivo que esté dentro de la red corporativa, es de confianza. Sin embargo, la ZTNA adopta un enfoque diferente: no se confía en ningún usuario o dispositivo para que acceda a ningún recurso hasta que su identidad esté totalmente autentificada, y el acceso a los recursos se limita sólo a lo que está permitido.
Además, una VPN tradicional no es fácil de escalar porque requiere una configuración manual y procesos masivos de gestión de IP para adaptarse a los constantes cambios de usuarios y aplicaciones. Por eso, con el gran aumento de usuarios itinerantes y del trabajo a distancia, Zero Trust Network Access (ZTNA) ofrece a las empresas una forma mejor de controlar el acceso a las aplicaciones y asegurar sus recursos, independientemente de la ubicación física de los usuarios.
ZTNA puede ayudar a proteger sus datos en cualquier lugar
Hillstone cree que ZTNA necesita aplicar un enfoque usuario-a-aplicación no centrado en la red, para autenticar la seguridad basándose en la identidad y el contexto del usuario y del dispositivo, así como en los recursos a los que se accede. Este cambio de enfoque extrapola la seguridad del perímetro de la red a la nube y a los trabajadores distribuidos, y permite un escalado mucho más fácil.
Nuestra concepción de ZTNA proporcionaría una visión holística de las conexiones de los usuarios remotos y ayudaría a configurar políticas corporativas coherentes que concedan un acceso granular a los usuarios legítimos sólo a las aplicaciones y recursos permitidos dentro de sus credenciales de privilegio.
Varios atributos del usuario y del dispositivo, como el nivel de parches y la presencia de antivirus actual, se comprobarían y supervisarían continuamente. Una vez que el usuario y el dispositivo cumplan ciertos requisitos, se concederá acceso a aplicaciones y recursos específicos en función de la identidad del usuario.
Además, con una tecnología como Single Packet Authorization (SPA), ningún servicio del centro de datos o las aplicaciones SaaS quedaría expuesto a la red pública, y sería invisible para los usuarios no autorizados.
Las tendencias que se han visto aceleradas por COVID-19 -la adopción más amplia de la nube, así como el crecimiento de la fuerza de trabajo distribuida- han exigido una remodelación de los requisitos de red y seguridad. El concepto de ZTNA, si se ejecuta correctamente, tiene un gran potencial para extender la ciberseguridad a cualquier lugar y en cualquier momento para controlar y asegurar la fuerza de trabajo remota y local, protegiendo al mismo tiempo los recursos internos y de la nube.
*Rose, S. , Borchert, O. , Mitchell, S. y Connelly, S. (2020), Zero Trust Architecture, Special Publication (NIST SP), National Institute of Standards and Technology, Gaithersburg, MD, [en línea], https://doi.org/10.6028/NIST.SP.800-207, https://tsapps.nist.gov/publication/get_pdf.cfm?pub_id=930420 (consultado el 28 de septiembre de 2021)