We couldn't find a match for given <KEYWORD>, please try again.

¿Qué es el ZTNA?

El acceso de confianza cero a la red (ZTNA) es una solución de seguridad de TI que proporciona un acceso remoto seguro a las aplicaciones, los datos y los servicios de una organización según una serie de políticas de control de acceso claramente definidas. El ZTNA se diferencia de las redes privadas virtuales (VPN) en que otorga acceso solo a servicios o aplicaciones específicos, mientras que las VPN conceden acceso a una red completa. Cada vez son más los usuarios que acceden a los recursos desde casa u otras ubicaciones, por lo que las soluciones ZTNA pueden ayudar a salvar las carencias de otras tecnologías y métodos de acceso remoto seguro.

«How To Get From Here To Zero Trust»

Simplifique la transición a la confianza cero

¿Cómo funciona la ZTNA?

Cuando se hace uso del ZTNA, el acceso a ciertas aplicaciones o recursos solo está garantizado si el usuario se ha autenticado en el servicio ZTNA. Tras esta autenticación, el ZTNA otorga al usuario acceso a la aplicación específica mediante un túnel seguro y cifrado que ofrece una capa adicional de seguridad protegiendo las aplicaciones y los servicios de direcciones IP que de otro modo serían visibles.

De esta manera, los ZTNA actúan de forma muy similar a los perímetros definidos por software (SDP), ya que se basan en la misma idea de la «nube opaca» para evitar que los usuarios vean los servicios y las aplicaciones a los que no tienen permitido acceder. También ofrece protección contra los ataques laterales, puesto que un atacante, aunque obtuviera acceso, no podría analizar el entorno para encontrar otros servicios.

¿Cuáles son los casos de uso del ZTNA?

Autenticación y acceso: el uso principal del ZTNA es proporcionar un mecanismo de acceso altamente granular basado en la identidad de un usuario. Cuando el acceso VPN basado en IP ofrece un acceso amplio a una red una vez autorizado, el ZTNA ofrece acceso granular limitado a aplicaciones y recursos específicos. El ZTNA puede proporcionar más niveles de seguridad con políticas de control de acceso específicas para la ubicación o el dispositivo. Estas pueden evitar que los dispositivos no deseados o en peligro accedan a los recursos de la organización. Este acceso se puede contrastar con algunas VPN que ofrecen a los dispositivos propiedad de los empleados los mismos privilegios de acceso que los de los administradores locales.

Visibilidad y control integrales: dado que el ZTNA no inspecciona el tráfico de los usuarios después de la autenticación, podrían surgir problemas si un empleado malintencionado utilizara su acceso con fines infames, o bien si las credenciales de un usuario acabaran perdidas o robadas. Al incorporar el ZTNA a una solución de perímetro de servicio de acceso seguro (SASE), una organización puede beneficiarse de las prestaciones de seguridad, escalabilidad y red necesarias para el acceso remoto seguro, así como de la supervisión posterior a la conexión para evitar la pérdida de datos, acciones maliciosas o riesgos para las credenciales de los usuarios.

Ventajas del ZTNA

El ZTNA ofrece una forma de conectar usuarios, aplicaciones y datos, incluso cuando no residen en la red de la organización, un escenario cada vez más habitual en los entornos multinube de hoy en día, donde las aplicaciones basadas en microservicios pueden residir tanto en múltiples nubes como en las instalaciones. Las organizaciones modernas necesitan que su base de usuarios distribuidos pueda tener sus activos digitales disponibles en cualquier momento, lugar y dispositivo.

El ZTNA satisface esta necesidad proporcionando acceso detallado y contextual a las aplicaciones esenciales sin tener que exponer otros servicios a posibles ataques.

El modelo ZTNA fue acuñado por Gartner para ayudar a eliminar la concesión de una confianza excesiva a los empleados, los trabajadores externos y otros usuarios que solo necesitan un acceso muy limitado. El modelo afirma que no se debe confiar en nada hasta que se demuestre que es fiable y, lo que es más importante, la confianza debe volver a autenticarse siempre que se produzca algún cambio en la red (ubicación, contexto, dirección IP,etc.).

¿Qué diferencia hay entre las VPN y el ZTNA?

Existen varias diferencias entre las VPN y el ZTNA. Principalmente, las VPN se han diseñado para ofrecer acceso a toda la red, mientras que el ZTNA otorga acceso solo a ciertos recursos y requiere autenticarse de nuevo con frecuencia.

Las VPN presentan ciertas desventajas si las comparamos con el ZTNA. Por ejemplo:

Uso de los recursos: a medida que aumenta el número de usuarios remotos, la carga en la VPN puede provocar una latencia inesperadamente alta y requerir que tengan que añadirse nuevos recursos a esta red para satisfacer el crecimiento de la demanda o los momentos de mayor uso. Esto también puede suponer una presión adicional para la mano de obra de la organización de TI.

Flexibilidad y agilidad: las VPN no ofrecen la granularidad del ZTNA. Además, instalar y configurar el software VPN en todos los dispositivos de los usuarios finales que necesitan conectarse a los recursos de la empresa puede suponer todo un desafío. Por el contrario, con este método es mucho más fácil agregar o eliminar políticas de seguridad y de autorización de usuarios en función de las necesidades inmediatas de la empresa. Los controles de acceso basados en atributos (ABAC) y en funciones (RBAC) en los ZTNA simplifican la tarea.

Granularidad: una vez dentro de un perímetro VPN, el usuario obtiene acceso a todo el sistema. Los ZTNA adoptan el enfoque opuesto: no otorgan acceso alguno, a menos que un activo (aplicación, datos o servicio) se haya autorizado expresamente para ese usuario. A diferencia de las VPN, los ZTNA brindan una verificación continua de la identificación basada en la autenticación de la identidad. Cada usuario y cada dispositivo se verifican y autentican antes de otorgarles acceso a aplicaciones, sistemas u otros activos específicos. Las VPN y los ZTNA se pueden combinar entre sí, por ejemplo, para reforzar la seguridad en un segmento de red particularmente sensible, proporcionando así una capa de seguridad adicional en caso de que la VPN se vea comprometida.

¿Cómo se implementa el ZTNA?

Existen dos enfoques diferentes para la implementación de ZTNA en función del punto de partida: los puntos de acceso o los servicios. Tal como su propio nombre indica, en la arquitectura de red de confianza cero iniciada en los puntos de acceso, es el usuario quien inicia el acceso a una aplicación desde un dispositivo conectado a un punto de acceso, parecido a lo que ocurre con un perímetro definido por software (SDP). Un agente instalado en el dispositivo se comunica con el controlador ZTNA, que proporciona la autenticación y se conecta al servicio deseado.

Por el contrario, en un ZTNA iniciado por un servicio, la conexión la inicia un intermediario entre la aplicación y el usuario. Esto requiere disponer de un conector ZTNA ligero ante las aplicaciones empresariales ubicadas en las instalaciones o en entornos de proveedores de nubes. Una vez que la conexión de salida de la aplicación solicitada autentica al usuario u a otra aplicación, el tráfico fluye a través del proveedor de servicios ZTNA, aislando las aplicaciones del acceso directo a través de un proxy. La ventaja de todo esto es que no se requiere ningún agente en los dispositivos del usuario final, lo que lo hace más atractivo para el uso de dispositivos personales (BYOD) por parte de consultores y partners.

También hay dos modelos de distribución para el acceso de confianza cero a la red: ZTNA autónomo o ZTNA como servicio. Estas son las principales diferencias entre ambos:

El ZTNA autónomo requiere que la organización implemente y gestione todos los elementos del ZTNA distribuidos en las conexiones seguras con agentes del perímetro del entorno (nube o centro de datos). Aunque esto les viene bien a las organizaciones que son reacias a la nube, su implementación, gestión y mantenimiento suponen una carga adicional importante.

El ZTNA como servicio alojado en la nube permite a las organizaciones aprovechar la infraestructura del proveedor de nube para todo, desde la implementación hasta la aplicación de políticas. En este caso, la organización simplemente adquiere licencias de usuario, implementa conectores frente a aplicaciones protegidas, y permite que el proveedor de la nube o del ZTNA proporcionen la conectividad, la capacidad y la infraestructura. Esto simplifica la gestión y la implementación, y el ZTNA distribuido en la nube puede garantizar la selección de la ruta de tráfico óptima para la latencia más baja y para todos los usuarios.


Gartner estima que más del 90 % de las organizaciones están implementando el ZTNA como servicio.

 

Productos y soluciones relacionados

Implemente la seguridad de confianza cero

Proteja sus datos y aplicaciones mediante las prestaciones de verificación continua.

Soluciones Anywhere Workspace

Capacite a sus empleados para que trabajen desde cualquier lugar.