¿Qué es Zero Trust?

Zero Trust Network Access es cada vez más popular para las organizaciones que desean proteger sus recursos. Aprenda sobre qué es y por qué es beneficioso.

Julio 21 2023 por

Close up of a server in a data center where ZTNA is implemented

Es posible que haya oído hablar del cada vez más popular ZTNA, o Zero Trust Network Access, como reemplazo de las VPN. Pero, ¿qué es ZTNA, cómo funciona y cuáles son sus beneficios? Vamos a averiguarlo.

¿Qué es Zero Trust?

Pero primero, hablemos de la primera mitad de "ZTNA": Zero Trust (confianza cero). NIST define Zero Trust como

Una colección de conceptos e ideas diseñados para minimizar la incertidumbre en la aplicación de decisiones de acceso precisas y con privilegios mínimos por solicitud en sistemas y servicios de información frente a una red vista como comprometida.

En otras palabras, nunca confíe, siempre verifique. Suponga que su red ya ha sido transgredida, por lo que cada solicitud de acceso debe ser examinada y verificada para confirmar que esté accediendo a sus recursos la persona adecuada. Zero Trust Architecture (ZTA) lleva este principio más allá y construye un plan de ciberseguridad a su alrededor, adoptando políticas de acceso y flujos de trabajo estrictos. ZTA se construye teniendo en cuenta estos conceptos:

  • Los "recursos" son todas las fuentes de datos y servicios, incluidos, entre otros, plataformas SaaS, dispositivos de almacenamiento, dispositivos de propiedad corporativa y dispositivos BYOD con acceso a los recursos de la empresa.
  • Toda la comunicación debe protegerse independientemente de la ubicación de la red, incluso fuera del perímetro de la organización.
  • El acceso a los recursos se concede en función de una sola sesión.
  • El acceso a los recursos está determinado por una política dinámica que comprueba atributos como la cuenta de usuario, la aplicación o el servicio, las características del dispositivo y/o los atributos de comportamiento.
  • La organización supervisa y mide la integridad y la postura de seguridad de todos los activos propios y asociados, valorando esto al evaluar una solicitud de recursos y denegar el acceso a dispositivos que no cumplen con los requisitos.
  • El acceso solo se concede una vez que la autenticación y la autorización de un recurso se verifican estrictamente, cada vez que se solicita acceso.
  • La información contextual sobre el estado actual de los activos, el tráfico de red y las solicitudes de acceso se recopila para mejorar la postura de seguridad de la organización.

Las organizaciones utilizan las mejores prácticas de Zero Trust porque la confianza implícita ya no es suficiente. Durante décadas se han utilizado las VPN, pero un inicio de sesión exitoso en una VPN le da al usuario acceso a su red en su conjunto, lo que permite que los actores perniciosos se muevan lateralmente hasta que obtengan lo que quieren. El aumento del trabajo remoto eliminó el perímetro de la red, ya que los usuarios se conectan a los recursos de la empresa desde quién sabe dónde y quién sabe qué red. Esto significa que las empresas necesitan una política de acceso más estricta: bienvenido a ZTNA.

¿Cómo funciona Zero Trust Network Access?

ZTNA se basa en dos conceptos principales: microsegmentación y un perímetro definido por software.

Microsegmentación

La microsegmentación se refiere a la división de una red en segmentos aislados. Se monitorea y controla el tráfico dentro y fuera de cada segmento para reducir el movimiento lateral en la red. La microsegmentación se puede lograr mediante la implementación de políticas basadas en la identidad que no dependen de los parámetros de la red o el entorno; en su lugar, utiliza identidades criptográficas y requiere autenticación y autorización mutuas cada vez que se solicita acceso. Este método solo permite que el tráfico de red válido proveniente de dispositivos y cuentas de usuario verificados acceda a los recursos de la empresa.

Perímetro definido por software

Un perímetro definido por software utiliza estos principios fundamentales:

  • Privilegio mínimo: una vez que un usuario se autentica correctamente y se le concede acceso a un recurso, solo tiene una conexión de red a ese recurso.
  • Reevaluación continua del acceso: El nivel de acceso de un usuario se reevalúa continuamente durante una sesión y se cambia si se cuestiona la identidad del usuario.
  • Reducción de la superficie de ataque: El movimiento lateral se evita con técnicas como la microsegmentación y la recopilación de información contextual garantiza que cualquier dispositivo al que le falten parches, que esté comprometido o que carezca de configuraciones reforzadas no pueda conectarse y causar daños a la infraestructura corporativa.

Uso de ZTNA

Entonces, ¿qué hacen en la práctica la microsegmentación y un perímetro definido por software? Para ponerlo en términos más simples:

  1. Un usuario intenta acceder a los recursos de la empresa.
  2. Se verifican las credenciales del usuario, el estado del dispositivo y otros criterios establecidos por las políticas.
  3. Si se confirma la identidad y el cumplimiento, se crea un microtúnel entre el dispositivo y el recurso (no a la red en su conjunto).
  4. Continuamente se supervisan la identidad y el estado del dispositivo, y la conexión se revoca si se cuestiona alguno de ellos.

Puntos clave

  • Zero Trust da por hecho que no se puede confiar en nadie con acceso a la red y, por lo tanto, los datos deben protegerse del movimiento lateral, mientras que el acceso solo se concede con el privilegio mínimo.
  • ZTNA se basa en los principios de Zero Trust.
  • ZTNA utiliza microsegmentación y un perímetro definido por software para aislar los recursos de red de los hosts dentro y fuera de la red.

Cree conexiones seguras a los recursos de su empresa con Jamf.

Suscribirse al Blog de Jamf

Haz que las tendencias del mercado, las actualizaciones de Apple y las noticias de Jamf se envíen directamente a tu bandeja de entrada.

Para saber más sobre cómo recopilamos, usamos, compartimos, transferimos y almacenamos su información, consulte nuestra Política de privacidad.

Etiquetas: