[08/06/2022] El interés de las empresas por el Acceso a la Red de Confianza Cero (ZTNA, por sus siglas en inglés) se ha disparado en los últimos dos años entre las organizaciones que intentan permitir el acceso seguro a los recursos de TI desde cualquier lugar, en cualquier momento y con cualquier dispositivo, para empleados, contratistas y terceros.
Gran parte de este interés ha surgido de las organizaciones que buscan reemplazar las VPN como el principal mecanismo de acceso remoto a sus redes y datos. Pero también está siendo impulsado por las organizaciones que buscan reforzar la seguridad en un entorno en el que los datos de la empresa se encuentran dispersos en entornos locales y en múltiples nubes, y a los que se accede de más formas que nunca.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
"Hay dos tipos de empresas que adoptan la confianza cero", señala David Holmes, analista principal de Forrester Research. "El éxodo del trabajo desde casa de la pandemia sobrecargó muchas VPNs corporativas, haciendo que el departamento de TI llegara a las soluciones de Acceso a la Red de Confianza Cero principalmente como un reemplazo de la VPN", anota.
Aunque ZTNA es principalmente un enfoque de seguridad, la mitad de las organizaciones que Forrester encontró lo adoptaron por su rendimiento, citando la latencia de su tecnología VPN. "Se podría decir legítimamente que el trabajo remoto fue la aplicación asesina de Zero Trust en los últimos dos años", sostiene Holmes.
El segundo tipo de organización que Forrester ha comenzado a ver más recientemente son aquellas que adoptan un enfoque estratégico de la Confianza Cero y la utilizan para asegurar el acceso a su red, aplicaciones y datos, indica. "Muchas agencias federales tienen un mandato de la Orden Ejecutiva de Biden del año pasado y estamos trabajando con muchas de ellas para crear hojas de ruta para aumentar su madurez de Confianza Cero", añade.
¿Qué es el acceso a la red de confianza cero?
Zero Trust es esencialmente un enfoque de seguridad en el que todas las solicitudes de acceso a las aplicaciones de la empresa y a los recursos de TI se autentican y supervisan de forma continua, independientemente de si el acceso procede del interior del perímetro o del exterior.
El modelo asume una posición de denegación por defecto para todas las solicitudes de acceso y está diseñado para garantizar el acceso menos privilegiado a los recursos en función de las necesidades. Aunque la mayoría de las organizaciones aplican actualmente Zero Trust al acceso a la red, el modelo también puede aplicarse para proteger los datos, las aplicaciones y la infraestructura mediante la microsegmentación.
John Watts, analista de Gartner, afirma que muchas organizaciones están aplicando actualmente Zero Trust de forma táctica como un enfoque de sustitución de VPN. Los principales casos de uso para estas organizaciones son permitir el acceso seguro a las aplicaciones internas para los trabajadores remotos; proporcionar acceso remoto para la fuerza de trabajo extendida; y proporcionar acceso seguro a los usuarios de cuentas privilegiadas. Algunos también están aplicando un modelo de confianza cero para el acceso en las instalaciones, indica.
Las tecnologías de confianza cero que soportan el primer caso de uso suelen implicar el uso de un agente, un gateway de seguridad en las instalaciones o en la nube, y un conector seguro entre la empresa y el gateway, señala Watts. Las tecnologías para el acceso ampliado de la fuerza de trabajo suelen ser sin cliente y basadas en el navegador o el portal, mientras que las de los otros casos de uso pueden incluir enfoques basados en agentes y sin agentes, anota.
Los proveedores se suben al carro de ZTNA, pero las ofertas varían
El creciente interés por la confianza cero ha empujado a muchos proveedores de seguridad a ofrecer productos etiquetados como de confianza cero, pero que a menudo tienen capacidades diferentes. "La comunidad de proveedores se ha apresurado a promocionar Zero Trust a través del marketing, lo que ha provocado una reacción contra el bombo y platillo", afirma Holmes.
"Lo que los responsables de TI deben saber es que Zero Trust no es solo un ejercicio de compra, por mucho que ayude a desbloquear el presupuesto", afirma. No es algo que simplemente se pueda comprar y conectar. Una organización sigue necesitando un enfoque convincente para la clasificación de datos, y alguien tiene que auditar los privilegios de los empleados y de terceros. "Ambas cosas no son triviales y suelen ser tareas manuales", señala Holmes.
A continuación, un resumen de los tipos de ofertas de ZTNA que están disponibles de algunos de los principales proveedores (sin ningún orden en particular):
Akamai: Acceso remoto seguro basado en la nube
Las ofertas de Zero Trust de Akamai surgen directamente de la propia experiencia del proveedor en la implementación de un modelo ZTNA para sus más de siete mil trabajadores. Las principales ofertas de Akamai en la categoría ZTNA son Enterprise Application Access (EAA) y Enterprise Threat Protector (ETP).
Akamai EAA está diseñado para permitir el acceso remoto seguro a los recursos internos desde cualquier lugar y en cualquier momento. Se trata de un proxy consciente de la identidad dirigido a las empresas que desean sustituir o aumentar sus VPN y otras tecnologías de acceso remoto heredadas.
Akamai dice que EAA permite a las organizaciones proporcionar a los usuarios adecuados el nivel correcto de acceso a las aplicaciones correctas cuando sea necesario y desde cualquier lugar. Akamai ETP es un gateway web seguro (SWG) para proteger las aplicaciones en la nube contra el phishing, el malware, los ataques de día cero y otras amenazas.
Gartner incluye a Akamai entre sus cinco principales proveedores por ingresos en el mercado de ZTNA. Forrester lo identifica como una buena opción para las organizaciones que desean servicios gestionados en torno a ZTNA.
La integración es un área que la firma analista cree que Akamai puede mejorar. "Al igual que muchos proveedores, el agente de puntos finales de Akamai para ZTNA está innecesariamente separado de los otros agentes de puntos finales de Akamai", afirma Forrester.
Zscaler: Aislamiento y protección de aplicaciones en la nube
Zscaler, otro de los principales proveedores de Gartner por ingresos de ZTNA, se centra en aislar el acceso a las aplicaciones del acceso a la red para reducir el riesgo para la red debido a dispositivos comprometidos e infectados.
Zscaler Private Access es un servicio nativo de la nube basado en un marco de servicios de seguridad. Está diseñado para proporcionar conectividad directa a las aplicaciones empresariales que se ejecutan en las instalaciones o en la nube pública. El servicio incluye capacidades para proteger contra el acceso no autorizado y el movimiento lateral asegurando que solo se puede acceder a las aplicaciones a través de la plataforma. El acceso a las aplicaciones empresariales está restringido a los usuarios autorizados y autentificados para acceder a una aplicación o servicio concreto.
Al igual que muchos otros proveedores de ZTNA, Zscaler ha posicionado sus servicios como diseñados para organizaciones listas para deshacerse de VPNs, firewalls y otros enfoques convencionales para asegurar el acceso remoto a aplicaciones y servicios.
Forrester considera que el servicio de Zscaler es altamente escalable y particularmente adecuado para las organizaciones que ya utilizan sus tecnologías para la seguridad saliente. Un área en la que Forrester cree que Zscaler puede añadir más soporte es en torno a las aplicaciones iniciadas por el servidor, como VoIP y SIP.
Cloudflare: Servicio gestionado de autenticación y control de acceso
La oferta ZTNA de Cloudflare es un servicio gestionado que está diseñado para ofrecer a las organizaciones una forma de sustituir las conexiones VPN por políticas universales que conceden a los usuarios el acceso a las aplicaciones internas en función de la identidad y el contexto. El servicio permite a las organizaciones dos formas de conectarse a los recursos corporativos. Una es a través de un modelo cliente-en-dispositivo para el acceso a aplicaciones que no sean HTTP, el enrutamiento a direcciones IP privadas y conexiones de protocolo de escritorio remoto (RDP).
El otro modelo es sin cliente, lo que significa que se utiliza un navegador web para las conexiones a aplicaciones web, de protocolo de shell seguro (SSH) y de computación de red virtual (VNC).
Las solicitudes de acceso a los recursos corporativos se enrutan de forma privada a través de la red Anycast de Cloudflare, donde se evalúan según las reglas de Zero Trust, utilizando telemetría sobre la identidad del usuario, el dispositivo y otros datos basados en el contexto.
Para la autenticación de usuarios, Cloudflare Access es compatible con múltiples plataformas de gestión de identidades y accesos, como Azure Active Directory, Okta, Citrix, Centrify y Google Workspace. Cloudflare Access puede utilizar la telemetría de las tecnologías de protección de puntos finales, como las de CrowdStrike, Carbon Black, SentinelOne y otras, a la hora de evaluar la postura de los dispositivos con respecto a las reglas de Zero Trust de una organización.
Gartner identificó a Cloudflare como un proveedor representativo en la categoría de ZTNA-as-a-service en el 2020. Forrester ha alabado la integración de Cloudflare Access con múltiples proveedores de identidad y acceso. Pero un área que la firma de análisis cree que Cloudflare puede mejorar es la integración con los controles de seguridad de los puntos finales.
Appgate: Ofrece una opción de autoalojamiento para el control de acceso
La oferta de ZTNA de Appgate se llama AppGate SDP. Al igual que otras tecnologías de acceso de confianza cero, AppGate SDP utiliza información basada en el dispositivo, la identidad y el contexto -como el lugar desde el que se puede originar una solicitud de acceso- para proporcionar el acceso menos privilegiado a los recursos de las empresas. La arquitectura de Appgate SDP está diseñada para empresas híbridas, multi-nube y locales, y comprende dos componentes principales que pueden ser consumidos como un servicio o como dispositivos auto-alojados.
Uno de ellos es el Controlador SDP de Appgate, que sirve como motor de políticas y punto de decisión de políticas. El controlador SDP gestiona tareas como la autenticación de usuarios, las políticas de acceso y los derechos de los usuarios que desean acceder a los recursos de la empresa. Un gateway SDP separado de Appgate sirve como punto de aplicación de la política, y controla el acceso a los recursos basándose en las decisiones del controlador SDP.
Appgate ofrece componentes adicionales y opcionales, como un conector para los requisitos de IoT y de las sucursales, así como un portal para permitir el acceso sin clientes y basado en el navegador a los activos de la empresa. Appgate SDP incluye una función de autorización de paquete único (SPA) que garantiza que los recursos de una organización orientados a Internet solo sean visibles para un usuario autorizado.
"Appgate es uno de los pocos proveedores en este espacio que se especializa en ZTNA sin asumir directamente todo el modelo de seguridad Zero Trust edge (ZTE/SASE)", ha señalado Forrester. La firma de análisis considera que la tecnología es adecuada sobre todo para las empresas que quieren autoalojar su capacidad ZTNA.
Cisco: Tres opciones de ZTNA según los casos de uso
Cisco ha dividido su oferta de Zero Trust en tres categorías distintas: Cisco Zero Trust para la fuerza de trabajo; Cisco Zero Trust para las cargas de trabajo; y Cisco Zero Trust para el lugar de trabajo.
La oferta de fuerza de trabajo está diseñada para las organizaciones que buscan una forma de garantizar que solo los usuarios y dispositivos de confianza tengan acceso a las aplicaciones empresariales, independientemente de la ubicación de la solicitud de acceso. El componente de carga de trabajo es para las organizaciones que buscan implementar el modelo de Zero Trust para todas las APIs, microservicios y contenedores que acceden a las aplicaciones empresariales en las instalaciones, en la nube y en los entornos virtuales. Cisco Zero Trust para el lugar de trabajo permite a las organizaciones aplicar las políticas de ZTNA para los clientes y servidores de puntos finales de TI, dispositivos de IoT y OT, y sistemas de control industrial que necesitan acceder a la red de la empresa.
Cisco Zero Trust para el lugar de trabajo es el componente que más se acerca a las ofertas de ZTNA de otros proveedores. Está dirigido a las organizaciones que quieren habilitar el acceso seguro a las aplicaciones empresariales para los empleados y otros terceros, como contratistas, socios comerciales y proveedores. La tecnología permite a los administradores de seguridad verificar y autenticar las identidades de los usuarios para cada solicitud de acceso, identificar los dispositivos de riesgo y aplicar políticas contextuales que regulen el acceso de los usuarios y de los dispositivos a las aplicaciones.
Gartner ha situado a Cisco entre los cinco primeros proveedores por ingresos en el mercado de ZTNA. El núcleo de la cartera de Zero Trust de Cisco se basa en la tecnología de su adquisición de Duo Security y, por tanto, encaja bien en las organizaciones que ya han incorporado la tecnología de Duo, según Forrester.
Citrix: Controles de acceso en la capa de aplicaciones para una mayor seguridad
Citrix Secure Private Access es una oferta de ZTNA en la nube para las organizaciones que quieren una alternativa de VPN para permitir el acceso seguro de los usuarios a las aplicaciones corporativas. Citrix ha posicionado el servicio como una forma de aplicar políticas de acceso y autenticación adaptables que controlan lo que los usuarios pueden acceder en función de factores como la ubicación, el comportamiento y la postura del dispositivo.
Por ejemplo, la tecnología está diseñada para cambiar automáticamente lo que un usuario podría estar autorizado a acceder si se detecta actividad sospechosa, o para aplicar una marca de agua a un dispositivo no gestionado o de propiedad personal. Las organizaciones pueden utilizar el servicio para controlar el acceso de los usuarios a aplicaciones locales, aplicaciones web y aplicaciones alojadas en la nube o SaaS.
Citrix Secure Private Access autentifica a los usuarios solo en la capa de la aplicación, impidiendo así que un atacante que pudiera haber accedido al entorno utilice ese punto de apoyo para moverse lateralmente en la red.
Al igual que otras ofertas de ZTNA, todo el acceso a las aplicaciones se supervisa continuamente para detectar actividades sospechosas o cambios inesperados en la postura o el comportamiento de los dispositivos. Forrester ha evaluado a Citrix como poseedor de una tecnología de gateway de red madura para asegurar el acceso a las aplicaciones on-prem debido a su herencia como proveedor de escritorios virtuales y acceso remoto. Las organizaciones que ya han invertido en una infraestructura local de Citrix están bien posicionadas para aprovechar su oferta de ZTNA, según la firma de análisis.
Netskope: Destaca por su rápido despliegue y facilidad de uso
La ZTNA de Netskope Private Access (NPA) es un componente de la cartera más amplia de tecnología Security Service Edge de la empresa. Las organizaciones pueden utilizarla para conectar a los usuarios autentificados con las aplicaciones empresariales en los centros de datos locales y en los entornos de nube pública. La tecnología ofrece a las organizaciones una forma de separar el acceso a las aplicaciones del acceso a la red, y garantizar que los usuarios solo tengan acceso al recurso específico al que han sido autorizados. Permite a los administradores de seguridad aplicar políticas de acceso granulares basadas en la postura del dispositivo, la identidad del usuario y el grupo al que pertenece el usuario. Netskope Private Access es compatible con el acceso al navegador sin clientes para las organizaciones que desean habilitar un acceso remoto seguro a las aplicaciones web privadas o para el acceso de terceros a las aplicaciones internas.
Netskope Private Access tiene dos componentes de despliegue: un cliente ligero que se instala en los dispositivos, y un llamado Private Access Publisher que inicia las conexiones salientes desde la empresa a la nube de Netskope para mitigar el riesgo que suponen las solicitudes de acceso entrantes. "Netskope sobresale en la seguridad de la postura de los dispositivos, y los clientes citan un despliegue rápido y fácil que lleva semanas donde otros tardan meses", según Forrester. Un área en la que el proveedor puede mejorar es la compatibilidad con más proveedores de identidad, ha señalado la firma de análisis.
Forcepoint: Integra ZTNA con la plataforma SASE más amplia
La oferta de ZTNA de Forcepoint forma parte de su plataforma más amplia Forcepoint ONE, que también incluye la tecnología Cloud Access Security Broker (CASB) de Forcepoint y su servicio Secure Web Gateway (SWG).
La tecnología ofrece a las organizaciones una forma de permitir el acceso sin agentes a las aplicaciones privadas en los centros de datos locales y en la nube. Los usuarios con dispositivos gestionados y no gestionados pueden conectarse a las aplicaciones de la empresa a través de accesos directos del navegador, o a través de portales de inicio de sesión único como Ping Networks y Okta. Forcepoint también ofrece una opción basada en agentes para las organizaciones con arquitecturas heredadas y clientes gruesos.
Las organizaciones tienen la opción de añadir el CASB y el SWG de Forcepoint para reforzar su implementación de ZTNA. El componente CASB puede ayudar a asegurar y simplificar el acceso a los inquilinos de SaaS e IaaS, al tiempo que protege contra amenazas como el malware y la filtración de datos sensibles. Las organizaciones pueden aprovechar el SWG de Forcepoint para supervisar las interacciones con los sitios web en función de factores como el riesgo y la actividad sospechosa.
Basado en el artículo de Jaikumar Vijayan (Network World) y editado por CIO Perú
Puede ver también: