Acceso a redes Zero Trust (ZTNA)

¿Qué es el ZTNA?

El ZTNA es una solución tecnológica que obliga a todos los usuarios, pertenezcan o no a la red de la empresa, a pasar por un proceso de autenticación, autorización y validación continua para poder acceder o mantener el acceso a las aplicaciones y los datos.

En ocasiones descrito como un perímetro definido por software (SDP), el ZTNA es un modelo adaptativo donde el acceso a aplicaciones y servicios se otorga atendiendo al menor número posible de privilegios y según las directivas de control de acceso de la empresa.

A menudo, se emplea como una alternativa al modelo de red privada virtual (VPN), que otorga acceso completo a los usuarios verificados. Ante el constante aumento del trabajo en remoto, las VPN empiezan a considerarse un riesgo de ciberseguridad, puesto que las empresas tienen cada vez más dificultades para monitorizar y analizar el tráfico de red y el uso de aplicaciones ubicadas en diferentes lugares y dispositivos.

¿Cómo funciona el ZTNA?

El ZTNA distingue entre el acceso a aplicaciones y el acceso a la red. Esto significa que los usuarios deben autenticarse individualmente para utilizar cada aplicación, lo cual no ocurre con el acceso a la red.

Una vez autenticado, el ZTNA establece un túnel seguro y cifrado para otorgarle acceso a ese recurso específico. Al igual que los perímetros definidos por software (SDP), aplica principios propios de la "nube oscura" para blindar las direcciones IP de los usuarios y limitar su visibilidad sobre otras aplicaciones y servicios a los que no tiene acceso.

Si las empresas autentican cada usuario y aíslan su acceso, podrán reducir el riesgo de infección procedente de un dispositivo vulnerado, así como evitar el movimiento lateral en caso de brecha.

Comparativa del ZTNA, la VPN y el acceso de red tradicional

El marco Zero Trust se desvía de los enfoques tradicionales de seguridad de las redes, que se guiaban por el principio de "confianza tras la verificación". Los enfoques tradicionales daban por hecho que los usuarios y endpoints del perímetro de red de una empresa eran fiables. Esto exponía a la empresa a agentes internos maliciosos y a credenciales no autorizadas; además, concedía involuntariamente un amplio acceso a usuarios no autorizados una vez dentro de la red.

Estas son las tres principales diferencias entre el ZTNA y los modelos de acceso de red tradicionales:

1. Control de acceso

En un modelo ZTNA, la autenticación y el acceso se basan en técnicas de identificación avanzadas (y no en la dirección IP del usuario, comúnmente utilizada por la mayoría de VPN).

Cuando las empresas aplican este marco al acceso de red, tienen una flexibilidad mayor para establecer directivas de acceso seguro personalizadas, las cuales pueden denegar automáticamente cualquier solicitud de acceso según criterios de ubicación y tipo de dispositivo. Por ejemplo, una empresa puede implementar una directiva diseñada para impedir que un dispositivo tradicional o vulnerable se conecte a su red, y asegurarse de que los dispositivos cuentan con los parches necesarios antes de darles acceso.

2. Detección de aplicaciones

En el marco ZTNA, los servicios y aplicaciones privados no están en la red o en Internet, lo que hace que los usuarios no autorizados no lo tengan tan fácil para encontrarlos y acceder a ellos. De esta manera, las empresas logran reducir enormemente su superficie de ataque.

Un intermediario de acceso fiable gestiona el acceso de red y verifica los derechos de acceso de cada usuario antes de concedérselo.

3. Privilegios de acceso

Como acabamos de comentar, los modelos ZTNA otorgan acceso atendiendo a cada caso. Es decir, cuando se conceder acceso a un usuario, no es para todos los dispositivos. De la misma manera, si se permite el acceso de un dispositivo, no es para todos sus usuarios. En su lugar, las solicitudes de acceso se evalúan y aceptan de forma individual, incluso las de usuarios o dispositivos frecuentes o conocidos.

Teniendo en cuenta que las empresas son cada más permisivas en cuanto al uso de dispositivos personales en el trabajo, este nivel de seguridad es fundamental. Los modelos de seguridad tradicional, en cambio, dan acceso a usuarios independientemente del dispositivo que estén utilizando, lo cual expone la red a un gran número de amenazas.

Casos de uso del ZTNA

Son muchas las aplicaciones del ZTNA para las empresas. Estas son las más comunes:

1. Alternativa a la VPN: el ZTNA proporciona las mismas funcionalidades de acceso remoto que una VPN pero con una gestión reducida y una mayor seguridad y velocidad de red.
2. Acceso multinube: la arquitectura Zero Trust es idónea para las empresas con un entorno multinube que busquen un acceso individual a la nube más flexible, así como servicios y aplicaciones basados en la nube.
3. Procesos de fusión y adquisición: el ZTNA agiliza los procesos de fusión y adquisición al simplificar la convergencia de redes.

Limitaciones del ZTNA

El ZTNA es una alternativa de última generación a la VPN, ya que garantiza que solo los usuarios autenticados y autorizados puedan acceder a un entorno o recurso informático. No obstante, no monitoriza ni mitiga activamente las amenazas una vez que se ha concedido acceso a un usuario a una zona de confianza.

Además, aunque el acceso seguro a través del ZTNA es un componente fundamental de una estrategia de ciberseguridad global, no es suficiente para detener ciberataques modernos como el ransomware o los ataques contra la cadena de suministro. En este caso, debe combinarse con una solución de servicio de acceso seguro al perímetro (SASE) y otras herramientas y soluciones de seguridad para garantizar una protección infalible.

El ZTNA tampoco almacena datos de actividad ni la actividad de endpoints (esto supondría una capa adicional de protección de la identidad). No puede detectar patrones de comportamiento en los usuarios, lo que dificulta la detección de anomalías y desviaciones.

Finalmente, al igual que las VPN, la mayoría de soluciones de ZTNA también requieren una puerta de enlace. Esto implica una planificación cuidadosa para garantizar la mayor protección posible sin crear grandes inconvenientes que lleguen a impedir el acceso a las herramientas y los recursos que los usuarios necesitan para realizar su trabajo.

Cómo escoger el enfoque de seguridad de la identidad adecuado para tu empresa

Teniendo en cuenta las limitaciones de las herramientas de ZTNA existentes, puede que algunas empresas quieran adquirir una solución más amplia para proteger la identidad y obtener un mayor nivel de seguridad y de control de acceso. Estas son las ventajas clave de una solución de protección de la identidad:

1. Una solución de protección de la identidad aporta un nivel de defensa completo, compuesto por: análisis de comportamiento y de riesgos (los cuales engloban cuentas humanas y programáticas); detección y prevención ante ataques contra el almacén de identidades; análisis de amenazas en tiempo real contra Active Directory (AD) local y Entra ID (anteriormente, Azure AD). Es fundamental garantizar la protección de AD, ya que es un blanco fácil de ciberataques.
2. Una solución de protección de la identidad abarca todas las cuentas: las cuentas de usuarios, las cuentas de servicio y las cuentas con privilegios; y evalúa tanto el riesgo del usuario como los riesgos asociados con endpoints. De esta manera, segmenta la identidad y automatiza la protección de forma individual, en lugar de dar acceso a aplicaciones concretas basándose en las directivas del ZTNA.
3. Aunque el ZTNA defiende contra el movimiento lateral, una solución de protección de la identidad también detecta cambios en las tácticas del adversario que podrían producir una elevación de privilegios, el uso indebido de cuentas de servicio, inicios de sesión interactivos, ataques de protocolo de escritorio remoto (RDP) y ataques basados en los protocolos NTLM y LDAP/S.

Levanta tu barrera de defensa con CrowdStrike Identity Protection

CrowdStrike Falcon® Next-Gen Identity Security blinda a las empresas modernas con una solución basada en la nube que detecta debilidades y problemas en el almacén de identidades, y detiene posibles ataques contra esta en tiempo real, independientemente de su procedencia.

La solución de CrowdStrike incluye:

1. Falcon Identity Threat Detection: la primera instancia de detección que vela por la seguridad de AD; proporciona análisis de riesgos para la identidad y detecta las amenazas que puedan afectar a las credenciales y al sistema de autenticación
2. Falcon Identity Protection: garantiza una seguridad sin interrupciones mediante la prevención de amenazas en tiempo real y el cumplimiento de las directivas de TI a través de análisis del riesgo, de la identidad y del comportamiento que pueden combinarse con cualquier proveedor de autenticación multifactor (MFA)/inicio de sesión único (SSO) para contraatacar las amenazas al instante

Si quieres saber más sobre cómo emplear CrowdStrike Identity Protection para reforzar y perfeccionar tu estrategia de ciberseguridad frente al panorama actual de amenazas modernas, descarga nuestra ficha técnica y reserva una demo hoy mismo.