El perímetro de confianza cero es una solución de seguridad que conecta el tráfico de Internet a los sitios remotos utilizando principios de acceso de confianza cero, principalmente mediante el uso de servicios de red y seguridad basados en la nube.
El perímetro de confianza cero (ZTE) proporciona un acceso a Internet más seguro, ya que las redes del ZTE son accesibles desde prácticamente cualquier lugar, abarcando Internet mediante el acceso de confianza cero a la red (ZTNA) para autenticar a los usuarios y los dispositivos a medida que se conectan.
Tras observar que las redes y la ciberseguridad están cada vez más interconectadas, Gartner presentó el concepto de perímetro de servicio de acceso seguro (SASE), que en parte incluye la convergencia de la seguridad de la nube y los servicios de redes de nube. Las soluciones SASE están diseñadas para proteger la nube, el centro de datos y los perímetros de red de las sucursales, así como ofrecer una estructura SD-WAN segura en distintas conexiones. Recientemente, Forrester ha documentado un modelo más reciente de SASE en su informe Introducing The Zero Trust Edge Model For Security And Network Services, que define el perímetro de confianza cero (ZTE), poniendo más énfasis en el concepto de la confianza cero.
Aunque el perímetro de red empresarial lleva décadas decayendo, cuando la pandemia global de COVID-19 mandó a todos los empleados a casa, el perímetro se evaporó por completo. El teletrabajo forma parte de la nueva normalidad, y las empresas buscan constantemente nuevos canales para interactuar con sus clientes, incluidas las aplicaciones web y móviles.
Dado que este universo en expansión de usuarios y dispositivos debe conectarse a los recursos empresariales para completar sus tareas o efectuar transacciones comerciales, los profesionales de la seguridad adoptan cada vez más enfoques de confianza cero en las redes para respaldar de forma segura a sus teletrabajadores.
Por este motivo, el caso de uso inicial del ZTE para la mayoría de las organizaciones es proteger a los teletrabajadores y eliminar la necesidad de redes privadas virtuales (VPN), que a menudo se sobrecargan con la avalancha de nuevas conexiones provocadas por la multitud de teletrabajadores.
El aumento en la integración de la red y la seguridad lo impulsan tres factores principales:
Aunque muchas organizaciones han virtualizado la red recurriendo a las redes de área extendida definidas por software (SD-WAN), este enfoque no aborda muchos de los requisitos de seguridad más recientes. Al combinar la seguridad de la nube y la red de esta manera, el ZTE ofrece algunas ventajas clave, como, por ejemplo:
Reducción de riesgos. Dado que la seguridad está integrada en la estructura de la red y cada conexión se inspecciona y protege, los profesionales de TI no tienen que preocuparse por el lugar desde el que se conectan los usuarios, las aplicaciones que utilizan o el tipo de cifrado (si lo hay). Las conexiones y transacciones se autentican cuando ocurren.
Ahorro de costes. Dado que el ZTE se ofrece normalmente como un servicio automatizado en la nube, sus redes son intrínsecamente escalables. Al formar parte de la estructura de Internet, respaldan la transformación digital de una organización sin tener en cuenta las arquitecturas heredadas.
Mejor experiencia de usuario. El rendimiento de la red mejora, ya que las vías de acceso están disponibles en todo el mundo, lo que reduce la necesidad de tráfico de retorno y disminuye la latencia.
Aunque el modelo del ZTE está diseñado para funcionar como una pila de seguridad alojada en la nube o en el perímetro, las limitaciones de ancho de banda en muchas áreas requieren que algunos elementos de la pila residan en la infraestructura local.
Actualmente hay tres enfoques para aplicar el ZTE que las organizaciones pueden aprovechar:
Se espera que el ZTE será más útil cuando esté basado en la nube, ya que las soluciones deben fundamentarse en dos principios clave basados en la nube:
Cuando está completamente implementado, las organizaciones pueden gestionar, supervisar y analizar de forma centralizada el conjunto de servicios de red y seguridad que residen en las soluciones del ZTE, independientemente de si están alojados en la nube o en una ubicación remota.
El modelo de perímetro de confianza cero es transformador y no afecta la forma en que se han utilizado tradicionalmente la seguridad y las redes. Las funciones de ciberseguridad, siempre en constante evolución, se han trasladado rápidamente al perímetro de confianza cero.
El problema de la seguridad de los teletrabajadores ha llevado a las empresas al perímetro de confianza cero, pero aún quedan desafíos importantes por delante para cumplir plenamente las expectativas del modelo, como, por ejemplo:
Aplicaciones y servicios tradicionales. Las aplicaciones web modernas que admiten la federación de identidades se configuran más fácilmente en un ZTE, pero las aplicaciones creadas en protocolos no web, especialmente los protocolos de escritorios remotos y virtuales (RDP y VDI) para el acceso remoto, y los protocolos de inicio de sesión (SIP) y de aplicaciones de voz por IP (VoIP) para voz, no se integrarán tan fácilmente, ya que no existe una estandarización para utilizarlos en un entorno ZTE.
Equipo de red tradicional. Una vez que los ordenadores y las aplicaciones se han unido al ZTE, el departamento de TI debe tener en cuenta la gran cantidad de dispositivos de tecnología operativa y de Internet de las cosas (IdC), de los cuales puede haber miles en cualquier organización.
Capacidad. Aunque el ZTE puede solucionar problemas tácticos de acceso para los teletrabajadores, todavía no es capaz de sustituir los servicios de red y seguridad de alta capacidad que proporcionan acceso al centro de datos en la actualidad. Las organizaciones pueden optar por realizar una migración a la nube antes de pasar a la protección de ZTE para determinados activos empresariales.
Forrester define el ZTE como un refinamiento del modelo SASE original, poniendo más énfasis en el concepto de la confianza cero. Dado que Internet se diseñó sin tener en cuenta la seguridad, ha generado un universo de programas maliciosos y superficies de ataque en constante cambio. El ZTE opta por no hacer caso de las décadas de parches de seguridad y soluciones puntuales que se han aplicado para intentar establecer una conexión segura, y asume lo peor. Por lo tanto, autentica cada conexión que utiliza el ZTE, incluso si la única conexión a Internet del terminal es un túnel a otro punto de acceso, lo que mantiene a los usuarios alejados de las «zonas malas» de Internet público.
Obtenga visibilidad y control con un enfoque intrínseco de la seguridad de confianza cero.
El perímetro de servicio de acceso seguro (SASE) reúne las redes y la seguridad de la nube.
SD-WAN aplica tecnologías de red basadas en software.