What is ZTNA?
ZTNA es una solución de acceso remoto seguro que implementa principios de seguridad de confianza cero con permisos específicos de la aplicación. A los trabajadores remotos que soliciten acceso a activos corporativos se les otorgará acceso a recursos específicos caso por caso, teniendo en cuenta los controles de acceso basados en roles y los datos de autenticación contextual, como dirección IP, ubicación, grupo de usuarios o rol, y restricciones de tiempo.
¿Qué es una VPN?
Las VPN brindan a los usuarios remotos una experiencia similar a una conexión directa a la red corporativa. El software del cliente VPN y el terminal VPN de la red empresarial establecen un canal cifrado por el que se envían todos los datos antes de enrutarse a su destino. Esto protege contra la escucha clandestina y permite que todo el tráfico empresarial sea inspeccionado por soluciones de seguridad basadas en perímetros, independientemente de su origen.
Limitaciones de la VPN
Las VPN son la opción tradicional para el acceso remoto seguro porque funcionan bien con modelos de seguridad basados en perímetros heredados. Sin embargo, tienen varias limitaciones que los hacen inadecuados para las necesidades de seguridad de la empresa moderna, incluyendo:
- Seguridad centrada en el perímetro: VPN ayuda a reforzar el modelo de seguridad tradicional basado en el perímetro porque a un usuario autenticado se le otorga acceso completo a la red corporativa. Esto permite a un atacante moverse lateralmente a través de la red corporativa después de obtener acceso a través de credenciales VPN comprometidas o explotar una vulnerabilidad de VPN.
- Controles de acceso a nivel de red: las VPN implementan controles de acceso a nivel de red sin visibilidad ni control sobre la capa de aplicación. Esto proporciona un acceso demasiado permisivo a los usuarios, otorgando acceso de lectura, escritura y ejecución a recursos dentro de diferentes aplicaciones.
- Sin soporte en la nube: las VPN suelen estar diseñadas para proporcionar acceso remoto seguro a la red corporativa. A menudo, tienen soporte limitado para recursos basados en la nube ubicados fuera del perímetro tradicional.
- Soporte deficiente para dispositivos BYOD: permitir que el dispositivo BYOD acceda a la VPN corporativa proporciona acceso a recursos corporativos desde terminales no corporativos no administrados. Esto puede permitir que malware u otras amenazas cibernéticas accedan directamente a la red corporativa.
Las VPNs y el ascenso del enfoque de confianza cero
Las VPN están diseñadas para la estrategia de seguridad tradicional centrada en el perímetro. Sin embargo, esta estrategia tiene problemas importantes que, combinados con las limitaciones de las VPN, han inspirado a Forrester a crear el modelo de seguridad de confianza cero.
A diferencia de la estrategia basada en perímetro, la confianza cero no otorga confianza implícita a ningún dispositivo, usuario y aplicación dentro del perímetro de la red tradicional. En su lugar, el acceso a los recursos corporativos se otorga en función del principio de privilegio mínimo, donde a las entidades se les asigna solo el conjunto mínimo de permisos necesarios para desempeñar su función.
Por qué las soluciones de ZTNA son mejores que las VPN corporativas
Con una estrategia de seguridad de confianza cero, las VPN ya no son una solución viable de acceso remoto seguro. ZTNA ofrece una alternativa con varios beneficios en comparación con las VPN, incluyendo:
- Perímetro de acceso lógico: ZTNA implementa el “perímetro” como software en lugar del límite físico de la red. Esto permite que ZTNA se utilice para la microsegmentación y para proteger los activos fuera del perímetro tradicional.
- Autorización por solicitud: ZTNA autoriza individualmente cada solicitud de acceso. Esto garantiza que los usuarios no tengan acceso a recursos que no son necesarios para su función.
- Dispositivo externo y soporte al usuario: ZTNA no tiene cliente, lo que elimina la necesidad de instalar software en el dispositivo del usuario. Esto facilita que los socios externos y los dispositivos BYOD se conecten a los recursos corporativos.
- Infraestructura oscura de TI: ZTNA solo muestra a los usuarios los recursos a los que necesitan acceder. Esto hace que sea más difícil para un atacante moverse lateralmente a través de la red o que los activos corporativos sean blanco de ataques DDoS.
- Gestión de acceso a nivel de aplicación: ZTNA tiene visibilidad en la capa de aplicación, lo que permite a las organizaciones gestionar políticas en los niveles de aplicación, consulta y comando.
- Visibilidad granular de las actividades del usuario: al autenticar de forma independiente cada solicitud de usuario, ZTNA puede crear un registro de auditoría compatible con SIEM de las interacciones de los usuarios con las aplicaciones corporativas y los activos de TI.
Migrar a ZTNA con Harmony Connect
Además de sus limitaciones de seguridad, las VPN también tienen problemas de escalabilidad y rendimiento. Para las empresas que buscan actualizar sus soluciones de acceso remoto seguro e implementar una arquitectura de confianza cero, ZTNA es una buena alternativa a la VPN corporativa heredada.
ZTNA se puede implementar mejor como parte de una solución Secure Access Service Edge (SASE), que combina una pila de seguridad de red completa con capacidades de optimización de red como WAN definida por software (SD-WAN). Al implementar SASE, las organizaciones pueden pasar de los modelos de seguridad basados en perímetros a una arquitectura de confianza cero creada para la empresa distribuida.
Check Point’s Harmony SASE enables organizations to deploy network and security functionality that meets their needs. To learn more about how Harmony SASE works and see it in action, request a demo.
Comentarios