El ZTNA ofrece una forma de conectar usuarios, aplicaciones y datos, incluso cuando no residen en la red de la organización, un escenario cada vez más habitual en los entornos multinube de hoy en día, donde las aplicaciones basadas en microservicios pueden residir tanto en múltiples nubes como en las instalaciones. Las organizaciones modernas necesitan que su base de usuarios distribuidos pueda tener sus activos digitales disponibles en cualquier momento, lugar y dispositivo.

El ZTNA satisface esta necesidad proporcionando acceso detallado y contextual a las aplicaciones esenciales sin tener que exponer otros servicios a posibles ataques.

El modelo ZTNA fue acuñado por Gartner para ayudar a eliminar la concesión de una confianza excesiva a los empleados, los trabajadores externos y otros usuarios que solo necesitan un acceso muy limitado. El modelo afirma que no se debe confiar en nada hasta que se demuestre que es fiable y, lo que es más importante, la confianza debe volver a autenticarse siempre que se produzca algún cambio en la red (ubicación, contexto, dirección IP,etc.).

Existen varias diferencias entre las VPN y el ZTNA. Principalmente, las VPN se han diseñado para ofrecer acceso a toda la red, mientras que el ZTNA otorga acceso solo a ciertos recursos y requiere autenticarse de nuevo con frecuencia.

Las VPN presentan ciertas desventajas si las comparamos con el ZTNA. Por ejemplo:

Uso de los recursos: a medida que aumenta el número de usuarios remotos, la carga en la VPN puede provocar una latencia inesperadamente alta y requerir que tengan que añadirse nuevos recursos a esta red para satisfacer el crecimiento de la demanda o los momentos de mayor uso. Esto también puede suponer una presión adicional para la mano de obra de la organización de TI.

Flexibilidad y agilidad: las VPN no ofrecen la granularidad del ZTNA. Además, instalar y configurar el software VPN en todos los dispositivos de los usuarios finales que necesitan conectarse a los recursos de la empresa puede suponer todo un desafío. Por el contrario, con este método es mucho más fácil agregar o eliminar políticas de seguridad y de autorización de usuarios en función de las necesidades inmediatas de la empresa. Los controles de acceso basados en atributos (ABAC) y en funciones (RBAC) en los ZTNA simplifican la tarea.

Granularidad: una vez dentro de un perímetro VPN, el usuario obtiene acceso a todo el sistema. Los ZTNA adoptan el enfoque opuesto: no otorgan acceso alguno, a menos que un activo (aplicación, datos o servicio) se haya autorizado expresamente para ese usuario. A diferencia de las VPN, los ZTNA brindan una verificación continua de la identificación basada en la autenticación de la identidad. Cada usuario y cada dispositivo se verifican y autentican antes de otorgarles acceso a aplicaciones, sistemas u otros activos específicos. Las VPN y los ZTNA se pueden combinar entre sí, por ejemplo, para reforzar la seguridad en un segmento de red particularmente sensible, proporcionando así una capa de seguridad adicional en caso de que la VPN se vea comprometida.

Existen dos enfoques diferentes para la implementación de ZTNA en función del punto de partida: los puntos de acceso o los servicios. Tal como su propio nombre indica, en la arquitectura de red de confianza cero iniciada en los puntos de acceso, es el usuario quien inicia el acceso a una aplicación desde un dispositivo conectado a un punto de acceso, parecido a lo que ocurre con un perímetro definido por software (SDP). Un agente instalado en el dispositivo se comunica con el controlador ZTNA, que proporciona la autenticación y se conecta al servicio deseado.

Por el contrario, en un ZTNA iniciado por un servicio, la conexión la inicia un intermediario entre la aplicación y el usuario. Esto requiere disponer de un conector ZTNA ligero ante las aplicaciones empresariales ubicadas en las instalaciones o en entornos de proveedores de nubes. Una vez que la conexión de salida de la aplicación solicitada autentica al usuario u a otra aplicación, el tráfico fluye a través del proveedor de servicios ZTNA, aislando las aplicaciones del acceso directo a través de un proxy. La ventaja de todo esto es que no se requiere ningún agente en los dispositivos del usuario final, lo que lo hace más atractivo para el uso de dispositivos personales (BYOD) por parte de consultores y partners.

También hay dos modelos de distribución para el acceso de confianza cero a la red: ZTNA autónomo o ZTNA como servicio. Estas son las principales diferencias entre ambos:

El ZTNA autónomo requiere que la organización implemente y gestione todos los elementos del ZTNA distribuidos en las conexiones seguras con agentes del perímetro del entorno (nube o centro de datos). Aunque esto les viene bien a las organizaciones que son reacias a la nube, su implementación, gestión y mantenimiento suponen una carga adicional importante.

El ZTNA como servicio alojado en la nube permite a las organizaciones aprovechar la infraestructura del proveedor de nube para todo, desde la implementación hasta la aplicación de políticas. En este caso, la organización simplemente adquiere licencias de usuario, implementa conectores frente a aplicaciones protegidas, y permite que el proveedor de la nube o del ZTNA proporcionen la conectividad, la capacidad y la infraestructura. Esto simplifica la gestión y la implementación, y el ZTNA distribuido en la nube puede garantizar la selección de la ruta de tráfico óptima para la latencia más baja y para todos los usuarios.

Gartner estima que más del 90 % de las organizaciones están implementando el ZTNA como servicio.