Tarde o temprano, el acceso a la red de confianza cero (ZTNA) jugará un papel importante para muchas organizaciones. Tanto si se trata de gestionar el aumento inmediato de usuarios remotos como de adoptar el marco Secure Access Service Edge (SASE), ZTNA será una parte cada vez más importante del panorama de ciberseguridad.
Los clientes nos dicen que no quieren implementar varios agentes en sus endpoints. Paralelamente, la escasez de personal de seguridad de TI sigue siendo un desafío continuo para la mayoría de las organizaciones. Es por eso que Sophos ZTNA aprovecha el ecosistema de Sophos existente para simplificar tanto la implementación como la administración diaria. Esta integración reduce tanto el esfuerzo de administración como la huella en el dispositivo, es una situación en la que todos ganan.
Una tecnología cuyo momento ha llegado
Últimamente ZTNA ha cobrado protagonismo, y no nos sorprende. TI se enfrenta a una intersección de desafíos de seguridad en los que puede ayudar.
Lo más evidente es que todos los indicios sugieren que la fuerza de trabajo híbrida ha llegado para quedarse. Los equipos de TI tendrán que dar soporte a más usuarios, que necesitan acceder a más aplicaciones y datos, desde más lugares fuera de las instalaciones de la organización. Y no sólo las oficinas en casa, sino también las cafeterías y otros espacios compartidos. Los datos se almacenan cada vez más en múltiples ubicaciones: en las instalaciones, en nubes públicas y privadas, y en aplicaciones basadas en SaaS.
Mientras tanto, el ransomware no va a desaparecer pronto. Es una amenaza persistente y omnipresente, y el verdadero desafío es la forma en que se propaga lateralmente por tu red. No es solo el dispositivo inicial el que queda como rehén, los ciberdelincuentes detrás del ransomware buscan formas de maximizar su impacto. Por ejemplo, se sabe que la cepa Ryuk se propaga a servidores de aplicaciones, controladores de dominio, servidores de terminales y más. Limitar el acceso amplio a la red ayuda a mitigar el daño y el dominio del ransomware.
Como resultado, las organizaciones están tratando de asegurar patrones de trabajo híbridos, al mismo tiempo que mitigan el daño potencial de confiar en cualquier dispositivo individual. ZTNA encaja perfectamente.
Acceso simplificado, sin las llaves del castillo
Fundamentalmente, el acceso a la red de confianza cero resuelve el problema de cómo dar a los usuarios y dispositivos adecuados el acceso a la aplicación que necesitan, sin dejarlos sueltos en tu red. Una pasarela ZTNA da a una entidad con nombre, un usuario, acceso discreto a una aplicación discreta.
La puerta de enlace valida tres cosas: la identidad del usuario, la identidad del dispositivo y el estado del dispositivo. Y lo que es más importante, hace esto cada vez, para cada solicitud de sesión, por lo que si un dispositivo es robado o infectado, el acceso se puede revocar instantáneamente.
Para reducir aún más la exposición, puedes establecer políticas granulares de estilo semáforo según el rol, las necesidades y el estado de validación del usuario. Por ejemplo, un dispositivo en un estado “rojo”, porque está infectado con malware, podría tener su acceso restringido a todas las aplicaciones excepto al sitio web del servicio de asistencia, lo que permite al usuario buscar ayuda o solucionar el problema.
Por ejemplo, con una solución VPN, es posible que el usuario final necesite averiguar a qué puerta de enlace conectarse, preocuparse por ser expulsado de la red cuando se mueva de una conexión cableada a una inalámbrica y que se le solicite que se vuelva a autenticar cada vez. ZTNA hace que toda la complejidad suceda detrás de escena, lo que mejora drásticamente la experiencia del usuario.
Con ZTNA, todo lo que el usuario final debe hacer es ingresar su autenticación multifactor, asumiendo que la tiene habilitada, y las verificaciones de estado del dispositivo y las validaciones de identidad de terceros son esencialmente invisibles.
Un rol más definido para VPN
Mientras los equipos de TI todavía estaban en la fase de extinción de la pandemia, el uso de las VPN se disparó. Esto tiene sentido: es una forma fiable de proporcionar acceso remoto.
Pero 18 meses después, un número creciente está considerando si ZTNA es una mejor respuesta a su problema. Y si solo está conectando usuarios remotos y brindando soporte para aplicaciones modernas (generalmente usando protocolos TCP y UDP), un reemplazo integral podría ser una buena opción.
Sin embargo, para la mayoría de las organizaciones, todavía habrá un momento y un lugar para usar una solución VPN. Es posible que se quiera unir dos redes de oficina, por ejemplo, o utilizar software más antiguo con sus protocolos patentados. Como tal, ZTNA generalmente no reemplazará a las VPN por completo, lo más probable es que sean opciones complementarias en tu caja de herramientas de seguridad de TI.
Respaldar secure access service edge (SASE)
Esa es la situación hoy. Pero el panorama se está volviendo más complejo, con aplicaciones locales, en la nube pública y privada, y SaaS, y usuarios que se conectan desde cualquier lugar, utilizando todo tipo de dispositivos.
Para darle sentido a todo, la ciberseguridad se está moviendo hacia un enfoque de ecosistema más cohesivo y controlado de forma centralizada. Y ZTNA, junto con los servicios de identidad de terceros que utiliza, será un pilar clave de ese marco.
Hay varios nombres para esta idea, uno de los más populares es el secure access service edge (SASE). Es un marco que toma un panorama confuso y permite aplicar políticas de seguridad unificadas. Puede concentrarse en otorgar acceso y proteger a los usuarios, sin preocuparse por dónde y cómo colocar y configurar un mosaico de soluciones puntuales para que todo suceda. Y se basa en la nube, por lo que el trabajo de inspeccionar su tráfico ejerce menos presión sobre sus dispositivos de ciberseguridad, lo que le facilita escalar con nuevos usuarios, aplicaciones y datos.
Eso cambiará significativamente la carga de trabajo para los administradores de TI. Habrá menos problemas para instalar parches y establecer políticas en dispositivos y terminales individuales. Pero será muy importante vigilar más de cerca las aplicaciones y comprender qué software está utilizando tu organización y por qué.
Hay algunas piedras angulares que permitirán que los marcos de SASE apliquen políticas en tu entorno de manera coherente. Uno de ellos es SD-WAN y ZTNA es otro. Imaginamos un mundo en el que SASE proporcione una política unificada para el acceso y la protección web, el acceso a las aplicaciones privadas, el acceso a las aplicaciones SaaS y la protección e inspección del tráfico de red en general.
La licencia y la instalación también deberían ser sencillas
Con todo este cambio que afrontar, los equipos de TI y seguridad necesitan la libertad de encontrar la mejor manera de utilizar ZTNA para sacar el máximo partido. Lo último que deseas es que tu socio de ciberseguridad haga las cosas más complicadas de lo necesario.
Por eso, en Sophos, adoptamos un enfoque diferente y mantenemos las cosas lo más simples posible.
El valor de ZTNA reside en sus usuarios y en las aplicaciones a las que les permite acceder, por lo que nuestras licencias se basan únicamente en el número de usuarios. Nuestras pasarelas de confianza cero están disponibles en configuraciones de alta disponibilidad y de clúster; despliegue todas las que quieras, como quieras, sin coste alguno.
Por lo tanto, si decides rediseñar tu centro de datos, cambiar tus aplicaciones o aprovechar las tecnologías de resiliencia existentes de tu entorno, como la agrupación en clústeres de VMware, no tienes que preocuparte de que te den gato por liebre.
ZTNA también debería ser fácil de implementar. Es por eso que usamos el mismo agente de instalación que es común a todos nuestros productos de endpoints, ya sea el cifrado de dispositivos de Sophos o Intercept X. Si ya tienes una huella de Sophos en tus endpoints, no necesitas nada más; ZTNA está a solo una casilla de verificación en la plataforma de gestión de Sophos Central.
Después de todo, los desafíos actuales son lo suficientemente complicados. ZTNA está ahí para hacer la vida más fácil, no más difícil.
En general, creemos que es un conjunto de capacidades bastante bueno y, hasta ahora, los usuarios de nuestro Early Access Program parecen estar de acuerdo. Esperamos que Sophos ZTNA esté disponible de forma generalizada a finales de 2021. Mientras tanto, haba con tu representante de Sophos para analizar cómo Sophos ZTNA puede ayudar a tu organización.
De esto, y mucho más hablaremos, este jueves 18 de Noviembre, en nuestro Sophos Day 2021. Si no se ha registrado, aún está a tiempo. Regístrese ahora aquí y no se pierda todas nuestras novedades.
Dejar un comentario