¿Puede protegernos ZTNA en la era digital?

La seguridad de la red y nuestros datos es una preocupación cada vez más importante en un mundo más digital y globalizado. De esta preocupación, nace un enfoque con popularidad creciente que nos ayuda a proteger nuestra red contra accesos no autorizados o malintencionados:  Zero Trust Network Access (ZTNA).

El concepto de ZTNA gana fuerza como solución o estrategia de seguridad en la Ciberseguridad. Este enfoque supone que ningún usuario o dispositivo debe ser asumido automáticamente como de confianza, independientemente de su ubicación física o lógica dentro de la red. En lugar de confiar en la pertenencia a una red interna, el enfoque de ZTNA requiere la verificación de la identidad y la autenticación de cada usuario o dispositivo que intenta acceder algún recurso de la red.

Uno de los principales beneficios de este enfoque de seguridad es que protege la red contra amenazas internas y externas, como los usuarios maliciosos o los dispositivos comprometidos que pueden ser utilizados para infiltrarse en la red. Además, permite una mayor flexibilidad y movilidad al permitir que los usuarios accedan a los recursos de la red de manera segura desde cualquier lugar y desde cualquier dispositivo.

¿De dónde nace la idea de este enfoque de seguridad?

Durante décadas, la estrategia de seguridad basada en el perímetro había sido la postura de seguridad predominante, en el que se protegía a la red de amenazas externas mediante el uso de firewalls y otras medidas de seguridad en el perímetro de la red. Sin embargo, con la adopción masiva de la computación en la nube y el aumento del trabajo remoto, este enfoque comenzó a mostrar grietas.

En 2004, el Foro de Jericó, un consorcio de seguridad internacional, desarrolló un nuevo concepto de seguridad llamado "desperimetrización". Esto requería múltiples niveles de controles de seguridad, incluido el cifrado y la autenticación de datos. El término "confianza cero" (ZTNA) se popularizó en 2010 cuando John Kindervag, analista de Forrester Research, presentó la idea de que una organización no debe confiar en nada dentro o fuera de sus perímetros.

Google también contribuyó a la popularización de la confianza cero con su iniciativa BeyondCorp, que permitía a los empleados trabajar de forma remota sin el uso de una VPN.

En 2018, Forrester estableció siete pilares básicos para la confianza cero, y el NIST (National Institute of Standards and Technology) publicó pautas para la implementación de una arquitectura de confianza cero. En 2019, Gartner introdujo el término acceso a la red de confianza cero (ZTNA) para describir productos y servicios que brindan acceso seguro a redes privadas sin una conexión directa.

En la actualidad, el enfoque de Zero Trust Network Access (ZTNA) se ha vuelto cada vez más popular como una estrategia de seguridad para proteger las redes y los datos contra amenazas internas y externas. Prueba de ello, es el gobierno de Estados Unidos quien ha adoptado el ZTNA como parte de sus esfuerzos para mejorar la seguridad de sus redes y sistemas.

A partir de 2018, lanzaron una estrategia de ciberseguridad basada en el enfoque ZTNA llamada "El camino hacia una red más segura". Esta estrategia establece un marco para la adopción del ZTNA en todos los niveles de gobierno y proporciona orientación a las agencias sobre cómo implementar el enfoque de manera efectiva.

Entre las agencias donde ya se ha implementado el marco de adopción del ZTNA, se encuentran: la Oficina de Administración de Recursos y Servicios (OMB) y la Agencia de Seguridad Nacional (NSA). Al parecer ya es un hecho que EEUU está adoptando activamente el ZTNA como parte de su estrategia integral de seguridad.

Dicho lo anterior, podemos predecir que a medida que la tecnología y los patrones de uso de datos continúan evolucionando, es probable que el enfoque ZTNA siga siendo una parte importante en las estrategias de seguridad de las organizaciones tanto públicas como privadas.

¿Qué tipo de arquitectura utiliza ZTNA y cuáles pilares la sustentan?

La arquitectura de ZTNA se basa en la verificación de la identidad y en la confiabilidad de cada acceso a los recursos de la red de manera independiente. Esto se logra mediante la implementación de diversas medidas de seguridad y la aplicación de políticas de acceso de manera dinámica y en tiempo real. La misma se sustenta en 7 pilares fundamentales:

Autenticación fuerte: Verifica la identidad del usuario o dispositivo que solicita acceso a la red mediante la utilización de credenciales robustas y la implementación de medidas de autenticación multifactor.

Acceso justo en tiempo real: Concede el acceso a recursos de la red de manera dinámica y en tiempo real en función de la identidad del usuario, la confiabilidad del dispositivo y la política de acceso aplicable.

Aislamiento de red: Implementa técnicas de aislamiento de red para proteger los recursos de la red de posibles ataques o accesos no autorizados.

Encriptación de extremo a extremo: Protege la información transmitida a través de la red mediante la encriptación de extremo a extremo.

Gestión centralizada de políticas de acceso: Define y aplica políticas de acceso de manera centralizada para garantizar la seguridad de la red.

Visibilidad y control: Monitorea y controla todo el tráfico de la red para detectar posibles amenazas y garantizar el cumplimiento de las políticas de acceso.

Adaptabilidad y escalabilidad: Da la capacidad de adaptarse a cambios en el entorno y de escala, para soportar una mayor cantidad de usuarios y dispositivos sin comprometer la seguridad.

A continuación, una representación de una arquitectura ZTNA implementada por Fortinet, donde se aplican los 7 pilares fundamentales:

¿En qué se diferencia una solución de ZTNA de una VPN?

Ambas son soluciones de red que se utilizan para proteger los datos y la privacidad de los usuarios mientras navegan por Internet. Sin embargo, hay algunas diferencias clave entre ellas:

Enfoque de seguridad: ZTNA se centra en la verificación de la identidad del usuario y en la autenticación de las solicitudes de acceso, mientras que las VPNs se centran en la encriptación de los datos y en la ocultación de la dirección IP del usuario.

Alcance: ZTNA se aplica a una red específica, mientras que las VPNs proporcionan acceso a cualquier red privada a través de Internet.

Eficiencia: ZTNA puede ser más eficiente que las VPNs debido a que solo se aplica a las solicitudes de acceso específicas, en lugar de encriptar todo el tráfico de Internet.

Gestión: ZTNA requiere una configuración y gestión más complejas que las VPNs, ya que implica la verificación de la identidad de los usuarios y el control de acceso a recursos específicos.

En general, ZTNA y las VPNs son soluciones útiles para proteger la privacidad y la seguridad en línea, pero cada una tiene sus propias ventajas y desventajas y puede ser más adecuada para ciertos escenarios. Es importante evaluar cuidadosamente las necesidades de seguridad de su organización y elegir la solución más adecuada.

¿Cómo implementamos una solución ZTNA?

Se pueden utilizar varias técnicas y tecnologías, tales como:

Autenticación multifactor: requiere que los usuarios proporcionen más de una forma de autenticación, como un nombre de usuario y una contraseña, junto con un código enviado a un dispositivo móvil o una lectura de huella dactilar.

Verificación de la identidad basada en el contexto: implica la verificación de factores adicionales, como la ubicación del usuario y el tipo de dispositivo utilizado, antes de conceder el acceso.

Acceso condicional: implica la configuración de políticas de acceso que determinan qué usuarios y dispositivos tienen acceso a qué recursos en función de factores como la ubicación, el tipo de dispositivo y el momento del día.

¿Cuáles herramientas o soluciones existen actualmente?

Cada herramienta tiene sus propias características y beneficios, por lo que es importante evaluar cuál es la mejor opción para sus necesidades específicas. Es posible que desee consultar con un experto en seguridad o realizar una investigación adicional para determinar cuál es la herramienta ZTNA más adecuada para su organización. Aquí una lista de algunas a considerar:

Okta Identity-Driven Security

Características:

• Inicio de sesión único en varias plataformas.
• Autenticación adaptable de múltiples factores.
• Flexible.
  

Cons:

• No es adecuado para organizaciones más pequeñas
  
  

Twingate

Características:

• Seguridad avanzada.
• Control de acceso condicionado.
• Intuitivo y fácil de configurar.
  

Cons:

• Necesita recopilar datos privados por diseño.
  
  

Ping Identity

Características:

• Seguridad avanzada y robusta.
• Control de acceso condicionado.
  

Cons:

• Necesitará algunos conocimientos técnicos básicos para crear soluciones personalizadas.
  
  

Google BeyondCorp

Características:

• Seguridad avanzada.
• Soporte de implementación rápido y escalable.
• Integración con Chrome.
  

Cons:

• Es posible que en los sistemas legacy no funcionen correctamente.
• Necesitará asistencia por parte del equipo de GCP, para integrar esta solución en tu organización.  
  

Entonces, ¿podemos concluir que al adoptar ZTNA, es suficiente para protegernos de todas las amenazas?

En mi experiencia dentro de la industria tecnológica, puedo decir que nunca es suficiente confiar en una única solución para protegernos contra todas las amenazas que existen. Aunque el enfoque de Zero Trust Network Access (ZTNA) tiene un gran potencial y ofrece un alto valor para proteger nuestros datos, sistemas e identidades, debemos resaltar que no es una solución mágica y por ello debemos integrar medidas de seguridad adicionales.

Además, también es crucial recordar, que a menudo somos nosotros mismos, como usuarios, el vínculo más débil en cualquier protocolo de seguridad. Por lo tanto, es esencial desarrollar e implementar estrategias integrales de seguridad, que aborden todas las posibles amenazas, como la implementación de software de seguridad, la realización de pruebas de penetración activa y el entrenamiento de los usuarios en seguridad cibernética.

Nos vemos en un próximo artículo. ¡Hasta pronto!