¿Qué es el perímetro de confianza cero?

El perímetro de confianza cero es una solución de seguridad que conecta el tráfico de Internet a los sitios remotos utilizando principios de acceso de confianza cero, principalmente mediante el uso de servicios de red y seguridad basados en la nube. 

El perímetro de confianza cero (ZTE) proporciona un acceso a Internet más seguro, ya que las redes del ZTE son accesibles desde prácticamente cualquier lugar, abarcando Internet mediante el acceso de confianza cero a la red (ZTNA) para autenticar a los usuarios y los dispositivos a medida que se conectan. 

Tras observar que las redes y la ciberseguridad están cada vez más interconectadas, Gartner presentó el concepto de perímetro de servicio de acceso seguro (SASE), que en parte incluye la convergencia de la seguridad de la nube y los servicios de redes de nube.  Las soluciones SASE están diseñadas para proteger la nube, el centro de datos y los perímetros de red de las sucursales, así como ofrecer una estructura SD-WAN segura en distintas conexiones. Recientemente, Forrester ha documentado un modelo más reciente de SASE en su informe Introducing The Zero Trust Edge Model For Security And Network Services, que define el perímetro de confianza cero (ZTE), poniendo más énfasis en el concepto de la confianza cero. 

Aunque el perímetro de red empresarial lleva décadas decayendo, cuando la pandemia global de COVID-19 mandó a todos los empleados a casa, el perímetro se evaporó por completo. El teletrabajo forma parte de la nueva normalidad, y las empresas buscan constantemente nuevos canales para interactuar con sus clientes, incluidas las aplicaciones web y móviles. 

Dado que este universo en expansión de usuarios y dispositivos debe conectarse a los recursos empresariales para completar sus tareas o efectuar transacciones comerciales, los profesionales de la seguridad adoptan cada vez más enfoques de confianza cero en las redes para respaldar de forma segura a sus teletrabajadores. 

Por este motivo, el caso de uso inicial del ZTE para la mayoría de las organizaciones es proteger a los teletrabajadores y eliminar la necesidad de redes privadas virtuales (VPN), que a menudo se sobrecargan con la avalancha de nuevas conexiones provocadas por la multitud de teletrabajadores. 

El aumento en la integración de la red y la seguridad lo impulsan tres factores principales: 

• Los profesionales de la seguridad exigen que el tráfico permitido en la red cumpla sus estrictos niveles de confianza en la seguridad, así como analizar y supervisar el tráfico para garantizar el cumplimiento de las políticas.
• Los profesionales de la red deben adoptar políticas del ZTE e implementar la red desde el punto de vista de la seguridad, en lugar de que los equipos de seguridad tengan que superponerse a las redes corporativas.
• Es necesario contar con un acceso seguro a Internet para todos los clientes y terminales, y con la capacidad de evitar que los programas maliciosos puedan existir en cualquier lugar de la ruta de red y de frenarlos.

Aunque muchas organizaciones han virtualizado la red recurriendo a las redes de área extendida definidas por software (SD-WAN), este enfoque no aborda muchos de los requisitos de seguridad más recientes. Al combinar la seguridad de la nube y la red de esta manera, el ZTE ofrece algunas ventajas clave, como, por ejemplo: 

Reducción de riesgos. Dado que la seguridad está integrada en la estructura de la red y cada conexión se inspecciona y protege, los profesionales de TI no tienen que preocuparse por el lugar desde el que se conectan los usuarios, las aplicaciones que utilizan o el tipo de cifrado (si lo hay). Las conexiones y transacciones se autentican cuando ocurren. 

Ahorro de costes. Dado que el ZTE se ofrece normalmente como un servicio automatizado en la nube, sus redes son intrínsecamente escalables. Al formar parte de la estructura de Internet, respaldan la transformación digital de una organización sin tener en cuenta las arquitecturas heredadas. 

Mejor experiencia de usuario. El rendimiento de la red mejora, ya que las vías de acceso están disponibles en todo el mundo, lo que reduce la necesidad de tráfico de retorno y disminuye la latencia. 

Aunque el modelo del ZTE está diseñado para funcionar como una pila de seguridad alojada en la nube o en el perímetro, las limitaciones de ancho de banda en muchas áreas requieren que algunos elementos de la pila residan en la infraestructura local.

Actualmente hay tres enfoques para aplicar el ZTE que las organizaciones pueden aprovechar:

1. Servicios de nube basados en redes gestionadas por proveedores o de terceros, con varios o cientos de puntos de presencia (PoP) que cuentan con funciones del ZTE. Este enfoque adopta un régimen de software como servicio (SaaS).
2. El ZTE como parte de un servicio de conexión WAN, donde el operador proporciona prestaciones de ZTE y la seguridad externalizada. Comcast Enterprise y Akami ofrecen prestaciones de ZTE, y muchos proveedores de SD-WAN se están asociando con proveedores de seguridad centrados en el ZTE para completar sus soluciones. Aunque habrá muchas opciones, las soluciones locales carecerán de la agilidad de los sistemas basados en la nube, y las combinaciones de SD-WAN/ZTE requerirán configurar las políticas para cada servicio, sin una solución global que disponga de un solo panel de control.
3. El enfoque interno, que solo es realista para empresas grandes y ágiles que tienen la capacidad de crear su propia solución de ZTE utilizando a proveedores de servicios de nube para los PoP, cortafuegos alojados en la nube y otros servicios de seguridad que residen en la nube pública. Aunque en última instancia es flexible, este enfoque requiere supervisar constantemente los componentes de seguridad, los servicios de nube y los conocimientos de TI, que no dejan de evolucionar, a fin de poder crear y gestionar una solución de este tipo.

Se espera que el ZTE será más útil cuando esté basado en la nube, ya que las soluciones deben fundamentarse en dos principios clave basados en la nube:

• Una gestión de red y seguridad basada en la nube que proporciona un único conjunto de políticas para los usuarios en toda la empresa y herramientas de gestión para redes, cortafuegos y otras funciones de SD-WAN. Esto reduce los errores, aumenta la eficiencia y facilita la configuración de políticas similares para varios sistemas.
• Herramientas de supervisión, gestión y análisis que vinculan la red y la seguridad. Esta característica distintiva del ZTE permite aprovechar mejor los enlaces, ayuda a detectar anomalías en la red que podrían provocar problemas de seguridad y permite supervisar toda la red, incluso en grandes agrupaciones de emparejamiento. El gran volumen de datos recopilados y analizados hace imprescindible contar con soluciones basadas en la nube para almacenarlos y procesarlos a fin de aplicar los análisis deseados.

Cuando está completamente implementado, las organizaciones pueden gestionar, supervisar y analizar de forma centralizada el conjunto de servicios de red y seguridad que residen en las soluciones del ZTE, independientemente de si están alojados en la nube o en una ubicación remota.

El modelo de perímetro de confianza cero es transformador y no afecta la forma en que se han utilizado tradicionalmente la seguridad y las redes. Las funciones de ciberseguridad, siempre en constante evolución, se han trasladado rápidamente al perímetro de confianza cero.

El problema de la seguridad de los teletrabajadores ha llevado a las empresas al perímetro de confianza cero, pero aún quedan desafíos importantes por delante para cumplir plenamente las expectativas del modelo, como, por ejemplo:

Aplicaciones y servicios tradicionales. Las aplicaciones web modernas que admiten la federación de identidades se configuran más fácilmente en un ZTE, pero las aplicaciones creadas en protocolos no web, especialmente los protocolos de escritorios remotos y virtuales (RDP y VDI) para el acceso remoto, y los protocolos de inicio de sesión (SIP) y de aplicaciones de voz por IP (VoIP) para voz, no se integrarán tan fácilmente, ya que no existe una estandarización para utilizarlos en un entorno ZTE.

Equipo de red tradicional. Una vez que los ordenadores y las aplicaciones se han unido al ZTE, el departamento de TI debe tener en cuenta la gran cantidad de dispositivos de tecnología operativa y de Internet de las cosas (IdC), de los cuales puede haber miles en cualquier organización.

Capacidad. Aunque el ZTE puede solucionar problemas tácticos de acceso para los teletrabajadores, todavía no es capaz de sustituir los servicios de red y seguridad de alta capacidad que proporcionan acceso al centro de datos en la actualidad. Las organizaciones pueden optar por realizar una migración a la nube antes de pasar a la protección de ZTE para determinados activos empresariales.

Forrester define el ZTE como un refinamiento del modelo SASE original, poniendo más énfasis en el concepto de la confianza cero. Dado que Internet se diseñó sin tener en cuenta la seguridad, ha generado un universo de programas maliciosos y superficies de ataque en constante cambio. El ZTE opta por no hacer caso de las décadas de parches de seguridad y soluciones puntuales que se han aplicado para intentar establecer una conexión segura, y asume lo peor. Por lo tanto, autentica cada conexión que utiliza el ZTE, incluso si la única conexión a Internet del terminal es un túnel a otro punto de acceso, lo que mantiene a los usuarios alejados de las «zonas malas» de Internet público.