MAPS Número 1 en Ciberseguridad

  • Home
  • ¿ZTNA es su primera parada en SASE?

¿ZTNA es su primera parada en SASE?

enero 13, 2022 admin 0 Comments

Más que otra palabra de moda en seguridad, el borde del servicio de acceso seguro ( SASE ) se está apoderando rápidamente de la industria de seguridad de redes. Según Gartner , “para 2024, la mayoría de las medianas y grandes empresas preferirán un modelo de entrega basado principalmente en la nube y basado en suscripciones para redes y seguridad”. [1] Además de las redes como servicio, SASE incorpora lo mejor de la tecnología de seguridad de red actual, para proteger el acceso a las aplicaciones basadas en la nube (CASB) , hacer cumplir el acceso de confianza cero a las aplicaciones empresariales (ZTNA) , conexiones seguras de sucursales: FWaaS para seguridad SD-WAN y acceso seguro a Internet: SWG , todo bajo un mismo paraguas.

Sobre el papel, SASE suena genial. Promete simplificar radicalmente la seguridad, creando políticas unificadas en una solución nativa de la nube que se adapta y escala fácilmente, perfecta para la era del trabajo remoto e híbrido. Pero en la práctica, puede ser difícil encontrar una hoja de ruta y comprender qué pasos tomar primero.

Hagamos las cosas muy simples. Si sus aplicaciones o servidores más sensibles…

  • residir en centros de datos basados ​​en prem y con frecuencia se accede a ellos de forma remota; o
  • están alojados en la nube pública (AWS, GCP, Azure, ); o
  • requieren el acceso de terceros, como contratistas y socios, entonces el acceso a la red de confianza cero debe ser una de sus principales prioridades.

Para ciertas organizaciones, asegurar el acceso a Internet y a la nube es una prioridad más alta. Las conexiones directas de sucursal a Internet se pueden proteger mediante FWaaS. Los usuarios remotos pueden protegerse mediante un Secure Web Gateway (SWG) entregado en la nube .

Una implementación completa y exitosa de SASE también gira en torno a un paso esencial: asegurar el acceso a las aplicaciones. Esto se puede lograr con Zero Trust Network Access (ZTNA). Una vez que ZTNA está en su lugar, puede estar seguro de que sus activos y recursos internos más confidenciales están protegidos, cuando el personal interno o externo accede de forma remota y también desde dispositivos BYOD y no administrados.

Echemos un vistazo a lo que implica exactamente SASE y luego veamos por qué ZTNA es una parte tan central del viaje.

 

¿Qué es SASE?

El término borde de servicio de acceso seguro (SASE) fue acuñado por Gartner en 2019 , a la luz de los desafíos de la seguridad moderna en un entorno diverso y distribuido. Unifica una serie de servicios críticos de seguridad de red con capacidades de red para crear un modelo de acceso seguro que es altamente seguro, pero flexible y escalable.

SASE amplía los beneficios de las redes de área amplia definidas por software (SD-WAN), como un rendimiento de red rápido y confiable y menores costos de infraestructura. Muchas organizaciones ya están utilizando SD-WAN para mejorar la experiencia de red de sus usuarios mediante la virtualización de rutas de red a través de MPLS, VPN tradicional, banda ancha y conexiones inalámbricas. Además de las ventajas de red de SD-WAN, SASE agrega varias funciones de seguridad de red importantes dentro de su cobertura:

  • Acceso a aplicaciones empresariales: Zero Trust Network Access (ZTNA)
  • Acceso a aplicaciones basadas en la nube: Cloud Access Security Broker (CASB)
  • Acceso seguro a Internet: Secure Web Gateway (SWG)
  • Seguridad de red como servicio, reemplazando un firewall perimetral tradicional con un FWaaS

Si bien todos estos elementos son importantes, ZTNA no es solo otra pieza del rompecabezas SASE. Para muchas organizaciones, es el punto de partida para evolucionar y escalar la seguridad de su red para abordar el nuevo perímetro, que se define por la necesidad de agilidad, nube, trabajo remoto y BYOD.

 

¿Dónde encaja la confianza cero?

Zero Trust Network Access (ZTNA) , como sugiere el nombre, elimina la confianza implícita de su red, por lo que no se confía en ninguna conexión o intento de acceso de forma predeterminada. En cambio, ZTNA genera una confianza explícita en las personas, los dispositivos, los activos y los datos dondequiera que se encuentren. Con acceso de confianza cero, solo el usuario correcto, en el contexto correcto, recibe acceso con privilegios mínimos a los recursos correctos, en el rol correcto.

Con la seguridad tradicional basada en el perímetro, una vez que los usuarios se autentican, a menudo pueden moverse libremente dentro de la red y hay poco control granular sobre sus acciones. Este tipo de configuración se ha vuelto cada vez más difícil de mantener con empleados, terceros y otras personas que inician sesión de forma remota y acceden a una variedad de datos y aplicaciones; on-premise y varios en la nube, híbridos y multinube.

En pocas palabras: en el entorno de seguridad de TI actual, una infraestructura basada en VPN que ofrece amplios permisos de acceso no es suficiente. Tampoco es una estrategia de seguridad que se base únicamente en controles de acceso como nombre de usuario y contraseña.

Con un modelo ZTNA, por otro lado, se verifica cada etapa de la sesión de un usuario, tanto antes como después del inicio de sesión. Al principio, un usuario se autentica, por ejemplo, utilizando un proveedor de identidad actual o IdP como Okta , OneLogin , Ping , etc. Después de autenticarse con éxito en el servicio, la sesión del usuario es monitoreada por el agente de seguridad de confianza, por ejemplo, un agente de seguridad en la nube. basado en ZTNA a través del cual se enruta e inspecciona todo el tráfico, lo que permite la aplicación de políticas durante la sesión de la aplicación con controles granulares en la aplicación a nivel de comando y consulta. Esto también permite cosas como la grabación de sesiones y la finalización en tiempo real después de acciones no autorizadas dentro del acceso SSH del administrador a las terminales y el acceso de DevOps a los entornos de producción..

 

Eliminar la confianza implícita

La suposición central de ZTNA es que cada interacción debe verificarse antes de otorgar acceso. ZTNA también incorpora el principio de privilegio mínimo, lo que significa que los usuarios obtienen acceso solo a los recursos que necesitan para fines comerciales. Esto crea un mayor nivel de seguridad en toda la organización y sus activos digitales.

Con el plano de identidad autenticando a los usuarios y el plano de datos asegurando el flujo de tráfico desde el individuo hasta el centro de datos o la nube, se mantiene una verdadera confianza cero y se eliminan los riesgos de la capa de red, incluido el riesgo de movimiento lateral.

El principio de acceso con privilegios mínimos implementado por una arquitectura de confianza cero es la razón por la cual las empresas que consideran un modelo SASE a menudo encuentran en ZTNA un punto de partida lógico.

 

Punto final frente a confianza cero iniciada por el servicio

Además, con lo que se denomina arquitectura Zero Trust iniciada por el servicio , no se requiere ningún agente. En el ámbito del acceso a la red Zero Trust, Zero Trust puede iniciarse en el punto final o en el servicio. Las conexiones iniciadas por el punto final se basan en un cliente instalado en el dispositivo del usuario para proporcionar información de autenticación y autorización al agente de confianza basado en la nube. Como explica Tech Target , “una arquitectura iniciada por el servicio utiliza un dispositivo conector para iniciar una conexión saliente a la nube del proveedor de ZTNA donde se evalúan las credenciales de identidad y los requisitos de contexto, lo que elimina la necesidad de un agente de software de punto final”.

Al implementar un solo conector para cada centro de datos, segmento de red o nube privada virtual (VPC), todos los intentos de acceso a los recursos detrás del conector son examinados y controlados por el agente de confianza de la nube.

Otro hecho divertido es que Zero Trust iniciado por el servicio hace uso de lo que se denomina autorización de paquete único o golpe de puerto. Como explica Network World , “un método alternativo llamado autorización de paquete único o golpe de puerto utiliza el navegador o la aplicación del cliente para enviar un conjunto de paquetes al controlador de perímetro definido por software (SDP) que identifica al usuario y su dispositivo”, con el Controlador SDP referente al plano de identidad.

La confianza cero iniciada por el servicio significa que los gastos generales relacionados con la instalación y el mantenimiento de los agentes se eliminan para los administradores, mientras que los usuarios se ahorran el alboroto de los problemas de sincronización y autenticación del cliente.

No menos importante, la confianza cero iniciada por el servicio es la mejor opción para una experiencia de usuario sin fricciones. Esto se debe a que se puede usar cualquier navegador, en cualquier dispositivo, de modo que los contratistas y socios externos puedan acceder de forma segura a portales y aplicaciones confidenciales desde sus propios dispositivos, y los empleados pueden optar por trabajar desde dispositivos BYOD o proporcionados por la empresa.

 

Cómo funciona ZTNA

ZTNA funciona de la siguiente manera:

  1. Primero, el usuario se autentica en el plano de control. El plano de control (también conocido como controlador de servicio) luego verifica la identidad del usuario en función de una serie de atributos, por ejemplo, autenticación multifactor, dirección IP, dispositivo y ubicación.
  2. Esto también se puede completar utilizando un proveedor de identidad integrado (IdP).
  3. Después de la autenticación, el plano de control abre un portal de usuario de inicio de sesión único que muestra las aplicaciones a las que el usuario está autorizado a acceder.
  4. Cuando el usuario hace clic en una aplicación autorizada, la solicitud pasa por la puerta de enlace (que controla el plano de datos).
  5. La puerta de enlace devuelve la aplicación autorizada. Si la solicitud no está autorizada, se bloqueará a nivel de puerta de enlace.

El controlador y la puerta de enlace están en comunicación constante para que cualquier cambio en los permisos se propague en tiempo real. Los permisos a nivel de la aplicación y dentro de la aplicación se aplican dinámicamente a medida que las políticas cambian de un minuto a otro.

 

 

 

Beneficios del acceso a la red Zero Trust

Ya sea que la implementación de ZTNA sea o no parte de su avance hacia SASE o simplemente el siguiente paso en la evolución de la seguridad estratégica de su organización, ZTNA brinda una serie de beneficios propios.

Los beneficios inmediatos de implementar ZTNA incluyen:

  • Superficie de ataque reducida para sus recursos corporativos locales y en la nube pública con acceso de capa de aplicación con privilegios mínimos, lo que elimina los riesgos a nivel de red
  • Experiencia de usuario mejorada gracias al acceso sin cliente (que no requiere la instalación de un agente), el inicio de sesión único (SSO) y el soporte BYOD tanto para empleados como para 
  • Implementación rápida a medida que el servicio se implementa con su infraestructura actual (no se requiere hardware y no se instala ningún agente)
  • Escalabilidad instantánea gracias a la arquitectura nativa de la nube
  • Visibilidad completa de la actividad del usuario, incluidas las auditorías y las grabaciones de sesiones
  • Controles granulares de políticas en la aplicación con ejecución en tiempo real

Si bien ZTNA es ciertamente atractivo, también existe la percepción de que con los presupuestos y el personal del departamento de TI estirados al límite, es demasiado complicado y lleva mucho tiempo implementarlo de inmediato. Pero cuando se implementa correctamente, ZTNA comenzará a aligerar la carga casi de inmediato, lo que permitirá un ROI muy bueno. 

ZTNA puede reducir casi inmediatamente los gastos de capital y operativos (CAPEX y OPEX); hacer que el cumplimiento normativo sea mucho más simple para las industrias que manejan datos confidenciales; y fomentar la creación de políticas de acceso universal para proteger mejor a toda la organización.

 

Dando el primer paso

Con las herramientas adecuadas, ZTNA no tiene por qué ser difícil de implementar. Harmony Connect le brinda una solución ZTNA que se implementa fácilmente en toda su organización:

  • Implementación rápida:configuración en cinco minutos, implementación ultrarrápida que brinda escalabilidad inmediata y alta disponibilidad en la nube
  • Acceso ventoso:soporte sin problemas para usuarios y terceros, como contratistas, con una arquitectura sin cliente fácil de implementar
  • Gestión sencilla:visibilidad clara del tráfico de red y control granular a nivel de aplicación, comando y consulta, seguimiento de auditoría completo y segmentación personalizable actualizada al minuto

Cuando esté listo para una solución de seguridad moderna que simplifique el viaje de su organización a SASE, Harmony Connect es un primer paso lógico.

Aquí hay algunos recursos para ayudar a preparar a toda su organización:

leave a comment