¿Qué es el acceso a la red Zero Trust (ZTNA)?

El modelo zero trust describe el principio de seguridad de “nunca confíe, siempre verifique”. El acceso a la red Zero Trust (ZTNA) es una forma de implementar este modelo de seguridad en los puntos de acceso de una empresa. En la práctica, esto se basa en el principio del privilegio mínimo (PoLP), que establece que los usuarios solo deben poder acceder a los recursos que necesitan para su trabajo diario.

Informe de zero trust de Forrester Wave Resumen de la solución ZTNA

¿Qué es el acceso a la red Zero Trust (ZTNA)?

¿Cómo funciona ZTNA?

Zero Trust tiene como objetivo erradicar la confianza heredada de una manera que no perjudique las experiencias del usuario ni la productividad.

Para ello, permite a los usuarios acceder únicamente a los recursos necesarios para su función, y todas las solicitudes de acceso se verifican de manera estricta y repetida. El principio de privilegio mínimo (PoLP) es fundamental para ZTNA: el acceso y los permisos de usuarios se conceden únicamente según lo que necesita para realizar su trabajo. 

Por ejemplo, a los usuarios remotos del departamento de ventas se les pueden conceder permisos de solo lectura para los datos de los clientes dentro de Salesforce, pero se les impide interactuar con el código fuente en GitHub.

El PoLP universal exigiría la configuración opuesta para el personal de DevOps.

Para optimizar esto en toda la organización, se requiere una comprensión profunda de lo que cada cuenta necesita. Este principio también se aplica a los recursos no humanos, tales como:

  • Sistemas
  • Aplicaciones
  • dispositivos
  • Procesos

Al asignar a estos recursos solo los permisos necesarios para sus actividades autorizadas, se minimizan y controlan eficazmente los derechos de acceso. También es la diferencia entre ZTNA y VPN:

  • VPN simplemente establecen un túnel cifrado entre el servidor VPN de la empresa y el cliente en el dispositivo, más allá del comportamiento subyacente de la cuenta.
  • ZTNA tiene en cuenta el estado de seguridad del dispositivo antes de conceder acceso al recurso individual.

Esto también es diferente: en lugar de conceder acceso a la totalidad de una red conectada, ZTNA proporciona acceso aislado únicamente al recurso solicitado.

Cómo implementar el acceso a la red Zero Trust

Desde la perspectiva de un CISO, es fundamental equilibrar la verificación de alta seguridad y garantizar que se mantenga la experiencia del usuario y del cliente. El objetivo final de la seguridad de ZTNA es evaluar cuidadosamente cada solicitud de acceso en comparación con las políticas de acceso establecidas; de este modo, se deberían verificar factores como:

 

  • Estado actual de las credenciales del usuario
  • Si la postura del dispositivo cumple con los estándares de seguridad de la compañía
  • La aplicación o servicio específico que se está solicitando

Paso 1: Comprenda quién es quién

Para el enfoque zero trust, debe saber quién accede a qué. El primer paso de cualquier implementación zero trust se centra en establecer una imagen clara de los usuarios, dispositivos y cargas de trabajo que componen su red corporativa.

Para lograrlo, muchas organizaciones optan por un proveedor de identidad corporativa. 

Esto permite que todos los empleados, clientes y contratistas se incorporen al ecosistema de seguridad, y se los tenga en cuenta de forma individual. También sienta las bases para un método coherente de aplicación de la autenticación. Si bien esto proporciona una visibilidad detallada a los usuarios, no garantiza el inventario de todos los servicios que se comunican a través de una red.

Esto se puede lograr mediante un escaneo de red, ya sea interno o mediante una herramienta de gestión de activos de terceros. Con este nivel de granularidad, es posible identificar su superficie de ataque. Durante los siguientes pasos, asegúrese de priorizar los activos digitales más valiosos.

El enfoque DAAS que se muestra a continuación lo desglosa en cuatro pasos:

  1. Datos: ¿Qué hay que proteger?
  2. Aplicaciones: ¿Qué aplicaciones manejan información confidencial?
  3. Activos: ¿Cuáles son sus activos más críticos?
  4. Servicios: ¿Qué servicios podría atacar un actor malicioso para interrumpir las operaciones normales de TI?

Paso 2: Aproveche los controles de red seguros

Un marco de zero trust solo proporciona acceso a los usuarios de acuerdo con el PolP. Todos los demás usuarios están básicamente desconectados de las vastas extensiones de toda la red a las que no tienen acceso empresarial.

Entonces, ¿cómo corta todo acceso entrante innecesario? 

Para ello, Harmony SASE establece una puerta de enlace segura: todas las solicitudes de acceso se filtran a través de esta puerta de enlace, que primero establece el papel del usuario y los recursos asociados a los que tiene acceso. Se impide automáticamente el acceso a todos los dispositivos no autorizados, y la naturaleza individual de cada conexión implica que ningún dispositivo tiene visibilidad de otras conexiones en curso.

La implementación de este protocolo de conexión segura varía ligeramente en función de la aplicación que se desee proteger. Hay dos tipos principales de aplicaciones:

  • Autoalojado. El túnel zero trust de la puerta de enlace SASE puede establecerse entre la aplicación y la capa de políticas del firewall.
  • SaaS. El acceso a SaaS se puede regular con la lista blanca de direcciones IP: esto significa que su solución SaaS solo puede aceptar solicitudes que se originen desde la puerta de enlace SASE verificada.

Paso 3: Implementar la protección NGFW

Con una forma segura de acceso establecida, es hora de establecer quién puede acceder a qué.

Ya sean autoalojadas o basadas en SaaS, todas las solicitudes de red se dirigen a través de un firewall de última generación. El NGFW puede utilizar la inspección HTTPS y el descifrado de TLS para examinar cada paquete de datos. Además, la inspección con estado permite examinar el comportamiento del usuario y del dispositivo antes de conceder el acceso.

¡Con estas herramientas en mano, se puede lograr ZTNA!

Desde allí, es importante iterar continuamente: mantener una estrecha vigilancia sobre los registros del firewall ayuda a determinar si las políticas de acceso están bien equilibradas. Una perspectiva de inteligencia sobre amenazas externas puede perfeccionarla aun más, pero esto se está convirtiendo en una tarea cada vez más exigente.

Por eso, una solución Secure Access Service Edge (SASE) puede ofrecer la forma más eficiente de implementar ZTNA e innovar en ella dentro de su organización.

Beneficios de ZTNA

ZTNA permite a las organizaciones implementar un modelo de seguridad de confianza cero dentro de sus ecosistemas de red. Esto se puede aplicar a varios casos de uso y mejora la postura de seguridad de la organización.

  • Acceso remoto seguro

A raíz del COVID-19, la mayoría de las organizaciones han cambiado a una fuerza laboral mayoritariamente o totalmente remota. Muchas empresas están utilizando redes privadas virtuales (VPN) para respaldar esto. Sin embargo, las VPN tienen una serie de limitaciones, incluida la escalabilidad y la falta de seguridad integrada.

Uno de los mayores problemas de las VPN es que otorgan a un usuario autenticado acceso completo a la red, lo que aumenta la exposición de la empresa a las amenazas cibernéticas. ZTNA, implementado como parte de una solución WAN definida por software (SD-WAN) o Secure Access Service Edge  (SASE), brinda la capacidad de integrar ZTNA en una solución de acceso remoto, reduciendo el acceso de los trabajadores remotos a la red solo a lo que necesitan. requieren para sus trabajos.

  • Acceso seguro a la nube

La mayoría de las organizaciones están adoptando la computación en la nube y muchas empresas tienen múltiples plataformas en la nube. Para reducir su superficie de ataque, las organizaciones deben limitar el acceso a estos recursos basados en la nube.

ZTNA permite a una organización limitar el acceso a sus entornos y aplicaciones en la nube según las necesidades comerciales. A cada usuario y aplicación se le puede asignar una función dentro de la solución ZTNA con los derechos y permisos adecuados asociados con la infraestructura basada en la nube de la organización.

  • Riesgo minimizado de compromiso de cuenta

El compromiso de la cuenta es un objetivo común de los ciberdelincuentes. Un atacante intentará robar o adivinar las credenciales de la cuenta de un usuario y usarlas para autenticarse como usuario en los sistemas de la organización. Esto proporciona al atacante el mismo nivel de acceso que el usuario legítimo.

La implementación de ZTNA ayuda a minimizar este nivel de acceso y el daño que un atacante puede causar al usar una cuenta comprometida. La capacidad del atacante para moverse lateralmente a través del ecosistema de una organización está limitada por los derechos y permisos asignados a la cuenta de usuario comprometida.

Elija Full-Enterprise Zero Trust con Harmony SASE

Su red no es la única superficie que debe cumplir con los principios de zero trust.

Los canales de comunicación y los terminales requieren protección continua y constante, y el principio de zero trust puede aplicarse a todos.

Check Point Harmony SASE va un paso más allá con una arquitectura de red de malla completa que proporciona protección de zero trust en cada punto de acceso, para cada usuario. Las políticas de seguridad centradas en la identidad combinan los requisitos de recursos reales de cada equipo con una verificación continua para identificar y detener comportamientos sospechosos.

Descubra cómo Harmony SASE ofrece protección zero trust, informes en profundidad y alto rendimiento con una demostración hoy.