¿Puede una solución ZTNA cumplir su promesa Zero Trust?

La arquitectura de acceso a la red Zero Trust, también conocida como perímetro definido por software (SDP), ha sido definida por Gartner como » un producto o servicio que crea un límite de acceso lógico basado en identidad y contexto alrededor de una aplicación o conjunto de aplicaciones «. En resumen, esto significa que el acceso no se activa a nivel de red, como es el caso de las VPN, sino que se otorga de manera específica a los usuarios y dispositivos a nivel de aplicación.

En este contexto, ZTNA es, junto con SD-WAN y NGFW, un componente clave de la arquitectura de seguridad de Secure Access Services Edge (SASE), descrita por primera vez en 2019 por Gartner. Esta arquitectura integra estrechamente las funciones de red y seguridad en una plataforma basada en la nube y, por lo tanto, lleva la seguridad y la gestión de la red al siguiente nivel. Por lo tanto, casi todos los proveedores de SASE ofrecen ZTNA.

Los tres principios básicos de Zero Trust

Como su nombre indica, ZTNA se basa en el modelo Zero Trust y aplica el principio de «no confiar en nadie, verificar la identidad de todos» y desconfiar de cualquier servicio, usuario o dispositivo dentro o fuera de su propia red. Así, Zero Trust se opone al enfoque tradicional de la seguridad que se basa en el perímetro.

En concreto, el modelo Zero Trust se basa en los siguientes tres principios básicos:

Verificación explícita: La identidad de un usuario, así como su contexto y, en particular, los datos o el tráfico de datos intercambiados, se verifican de manera sistemática y explícita.

Acceso con privilegios mínimos: El principio de derecho mínimo significa que un usuario o entidad solo debe tener acceso a los datos, recursos y aplicaciones específicos que realmente necesita para realizar una tarea específica.

Suponer Incumplimiento: Si las empresas adoptan el enfoque Assume Breach, asumen que su sistema de defensa de ciberseguridad ya se ha visto comprometido y que los atacantes tienen acceso total o parcial a sus redes. Por lo tanto, monitorean proactivamente las amenazas en su entorno.

¿Qué requisitos de Zero Trust se cumplen realmente?

Zero Trust significa Zero Trust. Al menos eso es lo que la mayoría de los administradores de TI y seguridad deberían asumir al elegir una solución ZTNA. Pero en realidad, la mayoría de las soluciones disponibles hoy en día a menudo solo cumplen una parte de los principios básicos de Zero Trust.

Entre funciones críticas de verificación que normalmente se implementanencontramos lo siguiente:

Verificación de identidad: La identidad del usuario se verifica con cada solicitud de aplicación individual mediante la integración de una base de datos de usuarios (local o alojada en la nube).

Verificación de contexto: Como parte del proceso de verificación inicial, se recopila información contextual, como el estado del dispositivo (dispositivo personal o de trabajo), geolocalización de origen y destino, reputación de IP, etc. Esta información es fundamental para decidir si un usuario puede acceder o no a la aplicación.

Segmentación : La segmentación es el proceso de dividir las aplicaciones en grupos lógicos y permitir solo lo absolutamente necesario para la comunicación entre ellas. De esa forma, debería evitar el movimiento lateral de las cargas de trabajo comprometidas hacia el resto de la red.

Túnel por aplicación : A diferencia de las soluciones VPN tradicionales, que permiten que el terminal remoto acceda a todo el segmento de la red, los túneles por aplicación permiten restringir el acceso del terminal remoto a un terminal de aplicación específico al que tiene derecho de acceso.

Si bien estos cuatro modelos de verificación o restricción de acceso ya brindan a las organizaciones un alto nivel de seguridad y ayudan a reducir la superficie de ataque, faltan dos funciones de verificación importantes.

De hecho, los siguientes se omiten en muchas soluciones ZTNAaunque forman parte de un enfoque integral de Confianza Cero:

Comprobación de dispositivos: La identidad de un dispositivo se verifica con cada solicitud de aplicación individual a través de la integración con un sistema de gestión de dispositivos móviles (local o en la nube).

por qué importa : En los casos en que la identidad del dispositivo no se puede verificar explícitamente, la solución ZTNA se basa únicamente en la identidad del usuario para establecer la confianza. Si las credenciales de los usuarios se han visto comprometidas o se están utilizando dispositivos no administrados para acceder a los recursos corporativos, esto presenta serios riesgos de seguridad. Es por eso que solo una solución ZTNA que integra autenticación de dispositivos, huellas dactilares de dispositivos y controles de postura de dispositivos proporciona la máxima seguridad cuando se trata de acceso privado a aplicaciones y recursos corporativos.

Inspección de contenido (inspección de contenido): Todo el tráfico que se origina en el punto final remoto y se destina a aplicaciones privadas está sujeto a un control de seguridad de nivel 7, independientemente del puerto o el protocolo. Esto incluye, pero no se limita a, escanear el tráfico en busca de contenido malicioso, verificar que los archivos cargados en la aplicación privada no tengan malware y que los archivos cargados ao desde la aplicación privada no contengan malware. información sensible.

Una solución ZTNA que no ofrece una inspección completa del contenido L7 no sigue fundamentalmente el principio de Zero Trust, ya que va en contra de los dos principios clave » Verificar explícitamente » y « Asumir incumplimiento «. De hecho, sería más una solución de acceso privado o acceso remoto con funciones parciales de Zero Trust. Se podría decir que eso es algo bueno. Desafortunadamente, la mayoría de las soluciones ZTNA disponibles de los proveedores SASE/SSE existentes entran en esta categoría, ya que ofrecen controles de dispositivos muy limitados o ningún control de seguridad de tráfico de acceso privado.

4 preguntas que los gerentes deben hacerse antes de elegir una solución

Para no comprar con los ojos cerrados e implementar una solución ZTNA efectiva, los administradores de seguridad y redes deben considerar cuidadosamente las funciones y capacidades de la tecnología en cuestión al momento de elegirla. Compruebe si las soluciones en la lista de selección marcan las siguientes casillas:

1/ ¿Integran la identidad del dispositivo? en la información contextual utilizada para determinar el acceso a aplicaciones privadas?

2/ ¿Aplican los mismos controles de seguridad a todo el tráfico?independientemente de la fuente o el destino?

3/ ¿Revisan todo el tráfico?independientemente de la aplicación, el puerto o el protocolo?

4/ ¿Requieren componentes adicionales? que debe instalarse antes de las aplicaciones de inspección de contenido privado?

Cuando la respuesta a estas cuatro preguntas es positiva, se trata de una tecnología ZTNA «real» que brinda a las empresas la posibilidad de ofrecer a sus empleados un acceso seguro a sus datos y al mismo tiempo asegura que se respeten los tres principios de base de Zero Trust. .
____________________________

Par Héctor ÁvalosMSP responsables de EMEA chezRedes Versa

Lea también:

Unificado o integrado, ¿cuál es el futuro de SASE?

¿Por qué encontrar el proveedor de SASE adecuado preparará la red para el futuro?

5 conceptos erróneos comunes sobre el cambio de VPN a ZTNA

Minimice el riesgo cibernético con las funciones de ZTNA líderes en la industria

La evolución de la ciberseguridad dentro de la arquitectura de red

¡Felicitaciones, se ha suscrito con éxito a nuestro boletín de noticias!

[