Conceptos básicos sobre seguridad macOS: cuál es la mejor opción (VPN vs ZTNA)

Existe una sabiduría que prevalece en la seguridad informática, un principio fundamental que se identifica con tres áreas clave que garantizan la protección de dispositivos, usuarios o datos. Esta tríada se conoce como "CIA", iniciales (en inglés) de confidencialidad, integridad y disponibilidad. En pocas palabras, se considera que para garantizar la seguridad de cualquier objeto, hay que protegerlo contra varios tipos de amenazas:

• Confidencialidad: el primer principio hace referencia a proteger al objeto en sí mismo, para que únicamente las personas autorizadas tengan acceso a él (los demás no deberían tener acceso).

• Integridad: el segundo principio hace referencia a proteger los contenidos del objeto y, aún más importante, a la capacidad de modificarlos. Esto también debe limitarse a las personas autorizadas para hacerlo y además estar limitados solo a los permisos específicos necesarios para el usuario autorizado y nada más.

• Disponibilidad: el tercer principio se enfoca en proteger la capacidad del objeto que se asegura de tener acceso solo por parte de los usuarios autorizados al objeto protegido. No debe confundirse con la confidencialidad. La disponibilidad solo atañe a la capacidad de los usuarios de acceder al objeto (no a si tienen permisos para realizar acciones en el objeto o modificar sus contenidos).

Hay una serie de subconjuntos que dependen de las tres áreas clave que acabamos de mencionar y que aplican a algunos o todos los objetos que se aseguran. Por ejemplo, un subconjunto de confidencialidad son los datos en reposo y los datos en movimiento. Los primeros se refieren a los objetos de datos almacenados físicamente en unidades de disco, como en una computadora o en la matriz de almacenamiento de un servidor. Los segundos se refieren únicamente a los datos que se transmiten, por ejemplo, por correo electrónico o al cargar y descargar archivos desde una ubicación remota.

En función del uso específico que se circunscriba a su caso, puede aplicarse uno o ambos conceptos además de la tríada CIA. En el caso de la seguridad de las comunicaciones, se aplican los tres principios y también los datos en movimiento. Pero volvamos ahora a nuestro tema principal: ¿VPN o ZTNA? Ambos ofrecen una muy buena protección de las conexiones de red, pero solo el segundo ofrece protecciones para superar la variedad de obstáculos presentes en la computación moderna.

Antes de profundizar en las características de cada tecnología y sus respectivos pros y contras, echemos un vistazo a su historia.

Iván Drago, "El Expreso de Siberia"

El protocolo de túnel peer-to-peer (PPTP) se introdujo en 1996 de la mano de Microsoft, y es ampliamente considerado como el precursor del protocolo VPN que conocemos hoy. Las ventajas de utilizar redes VPN se hicieron obvias de inmediato, especialmente para aquellas empresas que necesitaban ampliar su red privada a través de otras redes existentes, públicas o poco confiables.

La tecnología VPN se adhiere a la tríada CIA porque cifra los datos enviados/recibidos (confidencialidad), proporciona controles de integridad para detectar instancias de manipulación durante el tráfico (integridad) y usa la autenticación no solo para evitar accesos no autorizados, sino también para proporcionar una alta disponibilidad a los recursos de red (disponibilidad). Además, una VPN también aporta las siguientes protecciones:

• Crea un túnel punto a punto que permite conectar de manera segura dos o más hosts separados físicamente.

• Establece una red de área amplia (WAN) entre redes conectadas.

• Mejora la privacidad al cifrar el tráfico a través de un túnel. Así, aunque sea interceptado, se dificulta ser descifrado, por lo que se protege la identidad del usuario al ocultar su dirección IP y su ubicación física.

• Proporciona acceso remoto seguro a los recursos corporativos para los empleados que trabajan en entornos híbridos o remotos.

• Permite el acceso a sitios web con restricciones geográficas o a contenidos restringidos para ciertos países, por ejemplo, al permitir que se sorteen los bloqueos de censura impuestos por gobiernos que desean restringir la transmisión de información.

Rocky Balboa, "El Semental Italiano" ​​​​​​​

La primera vez que se publicó el término "zero trust" (confianza cero) fue en 1994, concretamente en la tesis doctoral de Stephen Paul Marsh sobre seguridad informática. A lo largo de los años, el concepto se ha ido desarrollando y no fue hasta el año 2018 que se hizo realidad, cuando NIST publicó un documento técnico titulado SP 800-207, Zero Trust Architecture (Arquitectura confianza cero). Dicho documento desarrollaba "una serie de conceptos e ideas diseñados para reducir la incertidumbre en la aplicación de decisiones de acceso precisas y por solicitud en sistemas y servicios de información ante una red que se consideraba comprometida". Esta seguridad empresarial evolucionó al crear un "plan de ciberseguridad que usa conceptos de confianza cero y abarca relaciones de componentes, planificación de flujos de trabajo y políticas de acceso". En términos generales, esto eliminó el concepto de "confianza implícita" de los marcos de seguridad, las aplicaciones y los flujos de trabajo que se usaban para implementar y administrar la seguridad de terminales, y a su vez se mitigaron los riesgos de amenaza al exigir que todos los componentes implicados en un paradigma de seguridad fueran verificados antes de otorgar acceso a un recurso protegido.

ZTNA tiene mucho en común con su predecesor, concretamente, tiene la misma capacidad para ejecutar todas las funciones de una VPN, pero hasta aquí llegan las similitudes. ZTNA ofrece una serie de características nuevas y actualizadas que propician que sea la opción ganadora para proteger su moderno entorno informático:

• Funciona con una arquitectura basada en la nube, compatible con todos los sistemas operativos y tipos de dispositivos.

• El perímetro definido por software elimina la necesidad de adquirir, administrar y ofrecer soporte a un costoso hardware o de establecer configuraciones complejas.

• Los microtúneles basados en aplicaciones se generan por recurso solicitado, lo que hace cumplir los privilegios mínimos y evitar los movimientos laterales en la red en caso de vulnerabilidad.

• La integración con proveedores de identidad (IdP) significa que solo se otorga acceso a las aplicaciones de la empresa a los usuarios autorizados, al tiempo que se extiende la funcionalidad de inicio de sesión único (SSO).

• La aplicación de la seguridad y el cumplimiento es posible gracias a la implementación de políticas de acceso que impulsan los controles de salud periódicos para determinar si los dispositivos o cuentas de un usuario han sido vulnerados.

• Los dispositivos que no cumplen con los requisitos mínimos de acceso establecidos por los administradores se ponen en cuarentena (es decir, se les prohíbe el acceso a los recursos solicitados) hasta que se complete la remediación automática. El acceso se otorgará cuando el dispositivo vuelva a analizarse y esté en cumplimiento.

• Gracias a su diseño basado en la nube, las políticas están unificadas, aunque repartidas por todas las ubicaciones posibles: en las instalaciones, en nube pública y privada, y en aplicaciones de software como servicio (SaaS).

• Se mejora la capacidad de túnel dividido, los recursos no empresariales se enrutan directamente a Internet, mientras que se mantienen protegidos los recursos de la empresa.

• El servicio ligero puede funcionar con o sin agente, con un efecto mínimo en la duración de la batería y en la experiencia del usuario, puesto que se ejecuta en silencio y en segundo plano.

“Lo que puedes lograr con este o con el otro”

A continuación presentamos una visión general de las similitudes y diferencias entre ZTNA y VPN, con un análisis a fondo de las capacidades de cada tecnología. Lo invitamos a contrastar las dos listas de características respecto a sus necesidades únicas de un entorno de trabajo remoto o híbrido, y a preguntarse si una solución ZTNA podría remplazar su VPN actual.