¿Qué es el acceso de confianza cero a la red (ZTNA)?

 

El acceso de confianza cero a la red (ZTNA) es una solución de seguridad de TI que proporciona un acceso remoto seguro a las aplicaciones, los datos y los servicios de una organización según una serie de políticas de control de acceso claramente definidas.

 

El ZTNA se diferencia de las redes privadas virtuales (VPN) en que otorga acceso solo a servicios o aplicaciones específicos, mientras que las VPN conceden acceso a una red completa. Cada vez son más los usuarios que acceden a los recursos desde casa u otras ubicaciones, por lo que las soluciones ZTNA pueden ayudar a salvar las carencias de otras tecnologías y métodos de acceso remoto seguro.

 

 

 

¿Cómo funciona el acceso de confianza cero a la red?

Cuando se hace uso del ZTNA, el acceso a ciertas aplicaciones o recursos solo esta garantizado si el usuario se ha autenticado en el servicio ZTNA.

Tras esta autenticación, el ZTNA otorga al usuario acceso a la aplicación específica mediante un túnel seguro y cifrado que ofrece una capa adicional de seguridad protegiendo las aplicaciones y los servicios de direcciones IP que de otro modo serían visibles.

Confianza cero

Libro «SASE & ZTNA for Dummies» como guía rápida para conocer estas tecnologías

Descargar gratis 

¿Cuáles son los casos de uso del acceso de confianza cero a la red?

Autenticación y acceso: el uso principal del ZTNA es proporcionar un mecanismo de acceso altamente granular basado en la identidad de un usuario. Cuando el acceso VPN basado en IP ofrece un acceso amplio a una red una vez autorizado, el ZTNA ofrece acceso granular limitado a aplicaciones y recursos específicos. El ZTNA puede proporcionar más niveles de seguridad con políticas de control de acceso específicas para la ubicación o el dispositivo. Estas pueden evitar que los dispositivos no deseados o en peligro accedan a los recursos de la organización. Este acceso se puede contrastar con algunas VPN que ofrecen a los dispositivos propiedad de los empleados los mismos privilegios de acceso que los de los administradores locales.

 

Visibilidad y control integrales: dado que el ZTNA no inspecciona el tráfico de los usuarios después de la autenticación, podrían surgir problemas si un empleado malintencionado utilizara su acceso con fines infames, o bien si las credenciales de un usuario acabaran perdidas o robadas. Al incorporar el ZTNA a una solución de perímetro de servicio de acceso seguro (SASE), una organización puede beneficiarse de las prestaciones de seguridad, escalabilidad y red necesarias para el acceso remoto seguro, así como de la supervisión posterior a la conexión para evitar la pérdida de datos, acciones maliciosas o riesgos para las credenciales de los usuarios.

 

 

Ventajas del acceso de confianza cero a la red

El ZTNA ofrece una forma de conectar usuarios, aplicaciones y datos, incluso cuando no residen en la red de la organización, un escenario cada vez más habitual en los entornos multinube de hoy en día, donde las aplicaciones basadas en microservicios pueden residir tanto en múltiples nubes como en las instalaciones. Las organizaciones modernas necesitan que su base de usuarios distribuidos pueda tener sus activos digitales disponibles en cualquier momento, lugar y dispositivo.

 

El ZTNA satisface esta necesidad proporcionando acceso detallado y contextual a las aplicaciones esenciales sin tener que exponer otros servicios a posibles ataques.

El modelo ZTNA fue acuñado por Gartner para ayudar a eliminar la concesión de una confianza excesiva a los empleados, los trabajadores externos y otros usuarios que solo necesitan un acceso muy limitado. El modelo afirma que no se debe confiar en nada hasta que se demuestre que es fiable y, lo que es más importante, la confianza debe volver a autenticarse siempre que se produzca algún cambio en la red (ubicación, contexto, dirección IP, etc.).

 

 

¿Qué diferencia hay entre las VPN y el ZTNA?

Existen varias diferencias entre las VPN y el ZTNA. Principalmente, las VPN se han diseñado para ofrecer acceso a toda la red, mientras que el ZTNA otorga acceso solo a ciertos recursos y requiere autenticarse de nuevo con frecuencia.

 

Las VPN presentan ciertas desventajas si las comparamos con el ZTNA. Por ejemplo:

Uso de los recursos: a medida que aumenta el número de usuarios remotos, la carga en la VPN puede provocar una latencia inesperadamente alta y requerir que tengan que añadirse nuevos recursos a esta red para satisfacer el crecimiento de la demanda o los momentos de mayor uso. Esto también puede suponer una presión adicional para la mano de obra de la organización de TI.

Flexibilidad y agilidad: las VPN no ofrecen la granularidad del ZTNA. Además, instalar y configurar el software VPN en todos los dispositivos de los usuarios finales que necesitan conectarse a los recursos de la empresa puede suponer todo un desafío. Por el contrario, con este método es mucho más fácil agregar o eliminar políticas de seguridad y de autorización de usuarios en función de las necesidades inmediatas de la empresa. Los controles de acceso basados en atributos (ABAC) y en funciones (RBAC) en los ZTNA simplifican la tarea.

Granularidad: una vez dentro de un perímetro VPN, el usuario obtiene acceso a todo el sistema. Los ZTNA adoptan el enfoque opuesto: no otorgan acceso alguno, a menos que un activo (aplicación, datos o servicio) se haya autorizado expresamente para ese usuario. A diferencia de las VPN, los ZTNA brindan una verificación continua de la identificación basada en la autenticación de la identidad. Cada usuario y cada dispositivo se verifican y autentican antes de otorgarles acceso a aplicaciones, sistemas u otros activos específicos. Las VPN y los ZTNA se pueden combinar entre sí, por ejemplo, para reforzar la seguridad en un segmento de red particularmente sensible, proporcionando así una capa de seguridad adicional en caso de que la VPN se vea comprometida.

 

 

¿Cómo se implementa el ZTNA?

Existen dos enfoques diferentes para la implementación de ZTNA en función del punto de partida: los puntos de acceso o los servicios. Tal como su propio nombre indica, en la arquitectura de red de confianza cero iniciada en los puntos de acceso, es el usuario quien inicia el acceso a una aplicación desde un dispositivo conectado a un punto de acceso, parecido a lo que ocurre con un perímetro definido por software (SDP). Un agente instalado en el dispositivo se comunica con el controlador ZTNA, que proporciona la autenticación y se conecta al servicio deseado.

 

Por el contrario, en un ZTNA iniciado por un servicio, la conexión la inicia un intermediario entre la aplicación y el usuario. Esto requiere disponer de un conector ZTNA ligero ante las aplicaciones empresariales ubicadas en las instalaciones o en entornos de proveedores de nubes. Una vez que la conexión de salida de la aplicación solicitada autentica al usuario u a otra aplicación, el tráfico fluye a través del proveedor de servicios ZTNA, aislando las aplicaciones del acceso directo a través de un proxy. La ventaja de todo esto es que no se requiere ningún agente en los dispositivos del usuario final, lo que lo hace más atractivo para el uso de dispositivos personales (BYOD) por parte de consultores y partners.

 

También hay dos modelos de distribución para el acceso de confianza cero a la red: ZTNA autónomo o ZTNA como servicio. Estas son las principales diferencias entre ambos:

 

El ZTNA autónomo requiere que la organización implemente y gestione todos los elementos del ZTNA distribuidos en las conexiones seguras con agentes del perímetro del entorno (nube o centro de datos). Aunque esto les viene bien a las organizaciones que son reacias a la nube, su implementación, gestión y mantenimiento suponen una carga adicional importante.

 

El ZTNA como servicio alojado en la nube permite a las organizaciones aprovechar la infraestructura del proveedor de nube para todo, desde la implementación hasta la aplicación de políticas. En este caso, la organización simplemente adquiere licencias de usuario, implementa conectores frente a aplicaciones protegidas, y permite que el proveedor de la nube o del ZTNA proporcionen la conectividad, la capacidad y la infraestructura. Esto simplifica la gestión y la implementación, y el ZTNA distribuido en la nube puede garantizar la selección de la ruta de tráfico óptima para la latencia más baja y para todos los usuarios.


Gartner estima que más del 90 % de las organizaciones están implementando el ZTNA como servicio.

Productos, soluciones y recursos de VMware relacionados con el acceso de confianza cero a la red

VMware SD-WAN

VMware SD-WAN va más allá de lo básico para ofrecer una verdadera y completa solución SASE que respalda la transición de las empresas a la nube.

Implemente la seguridad de confianza cero

Obtenga visibilidad y control con un enfoque intrínseco de la seguridad de confianza cero que es modular, lo que facilita la protección de todo su espacio digital.

Casos de uso empresariales de VMware SD-WAN

Las empresas se enfrentan a un aumento de los costes del ancho de banda y de las dificultades de implementación de redes.

Perímetro de servicio de acceso seguro (SASE)

El perímetro de servicio de acceso seguro, o SASE, es la convergencia de la red de nube y la seguridad de nube para lograr sencillez, escalabilidad, flexibilidad y seguridad generalizada.

Cuadrante Mágico de Gartner de 2020 para la categoría de infraestructura perimetral de WAN

Lea el informe del Cuadrante Mágico de Gartner de 2020 para obtener más información.

Soluciones Anywhere Workspace

Permita a los empleados trabajar desde cualquier lugar con experiencias seguras y fluidas.