Los perímetros tradicionales de las redes han desaparecido. El acceso a las aplicaciones y a los activos digitales de una organización se produce desde lugares lejanos, y controlar esos accesos se convierte en un serio desafío. Los días en los que se podían proteger las fronteras de la red han quedado atrás. Ahora es el momento de adoptar nuevas estrategias de seguridad de confianza cero.
Cuando los activos digitales de una empresa tienen que atravesar largas distancias por los caminos inseguros de Internet, es tanto lo que está en juego que no se puede confiar en nada ni en nadie. Por eso debe adoptar el modelo de red de confianza cero para restringir el acceso de todos los usuarios a todos los recursos de la red en todo momento.
En las redes de confianza cero, se restringe cualquier intento de acceso a un recurso por parte de un usuario o un dispositivo, independientemente de si han accedido previamente al mismo recurso. Cualquier usuario o dispositivo debe pasar siempre por un proceso de autenticación y verificación para acceder a los recursos, aunque se encuentre físicamente dentro de la organización. Estas autenticaciones y verificaciones deben ser rápidas para evitar que las políticas de seguridad degraden el rendimiento de las aplicaciones y la experiencia de los usuarios.
NordLayer
NordLayer ofrece una solución de seguridad de acceso a la red adaptable basada en el marco Security Service Edge. Suministrada como una solución de seguridad de red de software como servicio (SaaS), incorpora los principios clave de confianza cero y proporciona un acceso remoto seguro, minimizando los riesgos de la organización.
La confianza implícita se elimina de toda la infraestructura, utilizando Secure Web Gateways como portales hacia la red interna de la empresa. El enlace desde el punto final del usuario hasta la SWG se cifra con un cifrado AES de 256 bits, mientras que la propia pasarela aplica las políticas de seguridad establecidas para evitar diversas amenazas. Ninguna conexión no supervisada se colará entre los mecanismos de defensa de NordLayer.
El tráfico entre el SWG y el dispositivo del usuario también se ve facilitado por protocolos de túnel de última generación como NordLynx (una versión propia de WireGuard desarrollada por Nord Security). Mientras tanto, otras opciones como las versiones IKEv2 y OpenVPN (UDP y TCP) aumentan la compatibilidad entre dispositivos. De este modo, es posible configurar NordLayer en routers y otros dispositivos de hardware.
La identidad de un usuario puede comprobarse varias veces antes de acceder a datos sensibles o recursos de trabajo. NordLayer también es compatible con el inicio de sesión único (SSO) con Azure AD, OneLogin, Okta y G Suite, lo que facilita la transición entre las herramientas que utiliza actualmente y la red de confianza cero. Aprovechando las capacidades del agente de seguridad de acceso a la nube, NordLayer mejora la visibilidad de la red y conserva un mayor control de acceso a los recursos críticos de la organización.
La solución tampoco requiere que las empresas descarten las herramientas utilizadas actualmente: NordLayer puede combinarse con la infraestructura existente. El producto no limita el número de usuarios, por lo que es altamente escalable sin aumentar drásticamente el precio de la suscripción. Esto hace que la segmentación de usuarios sea más fácil y eficaz al proporcionar una visión clara de los participantes en la red. Además, las licencias pueden transferirse fácilmente entre usuarios, adaptándose así a la dinámica de los entornos de trabajo de ritmo rápido.
Perímetro 81
Perimeter81 ofrece dos enfoques para gestionar y mantener seguras las aplicaciones y redes de una organización, tanto en entornos en la nube como locales. Las dos propuestas parten de ofrecer redes de confianza cero como servicio. Para ello, Perimeter 81 utiliza una arquitectura perimetral definida por software, que proporciona una gran flexibilidad para incorporar nuevos usuarios y ofrece una mayor visibilidad de la red. Además, el servicio es compatible con los principales proveedores de infraestructuras en la nube.
Zero Trust Application Access parte de la base de que todas las empresas tienen aplicaciones y servicios críticos a los que la mayoría de los usuarios no necesitan acceder. El servicio permite levantar barreras a usuarios específicos en función de sus funciones, dispositivos, ubicaciones y otros identificadores.
Por su parte, Zero Trust Network Access define una segmentación de la red de la organización por zonas de confianza, lo que permite crear límites de confianza que controlan el flujo de datos con un alto nivel de granularidad. Las zonas de confianza están formadas por conjuntos de elementos de infraestructura con recursos que operan al mismo nivel de confianza y proporcionan una funcionalidad similar. Esto reduce el número de canales de comunicación y minimiza la posibilidad de amenazas.
El servicio Zero Trust Network Access (ZTNA) de Perimeter 81 ofrece una visión completa y centralizada de la red de la organización, garantizando el menor acceso privilegiado posible para cada recurso. Sus funciones de seguridad responden al modelo SASE de Gartner, ya que la seguridad y la gestión de la red están unificadas en una única plataforma.
Los dos servicios de Permiter 81 se incluyen en un esquema de precios con una amplia gama de opciones. Estas opciones van desde un plan básico con lo esencial para asegurar y gestionar una red hasta un plan empresarial que puede escalar ilimitadamente y proporciona un soporte dedicado las 24 horas del día, los 7 días de la semana.
ZScaler Private Access
ZScalerPrivate Access (ZPA) es un servicio de red de confianza cero basado en la nube que controla el acceso a las aplicaciones privadas de una organización, independientemente de si se encuentran en un centro de datos propio o en una nube pública. Con ZPA, las aplicaciones son completamente invisibles para los usuarios no autorizados.
En la ZPA, la conexión entre aplicaciones y usuarios se realiza siguiendo una estrategia de dentro afuera. En lugar de extender la red para incluir a los usuarios (como debería hacerse si se utiliza una VPN), los usuarios nunca están dentro de la red. Este enfoque minimiza sustancialmente los riesgos al evitar la proliferación de malware y los riesgos de movimiento lateral. Además, el alcance de ZPA no se limita a las aplicaciones web, sino a cualquier aplicación privada.
ZPA utiliza una tecnología de microtúneles que permite a los administradores de red segmentar la red por aplicaciones, evitando la necesidad de crear una segmentación artificial en la red o de aplicar un control mediante políticas de cortafuegos o gestionando listas de control de acceso (ACL). Los microtúneles emplean cifrado TLS y claves privadas personalizadas que refuerzan la seguridad al acceder a las aplicaciones corporativas.
Gracias a su API y a las mejoras de ML (aprendizaje automático), ZPA permite a los departamentos de TI automatizar los mecanismos de confianza cero descubriendo aplicaciones y creando políticas de acceso para ellas y generando segmentación automáticamente para cada carga de trabajo de aplicación diferente.
Acceso de Cloudflare
El servicio dered de confianza cero de Cloudflare está respaldado por una red propia con puntos de acceso distribuidos por todo el mundo. Esto permite a los departamentos de TI proporcionar un acceso seguro y de alta velocidad a todos los recursos de una organización: dispositivos, redes y aplicaciones.
El servicio de Cloudflare sustituye a los perímetros de seguridad tradicionales centrados en la red, utilizando en su lugar accesos seguros y cercanos que garantizan una velocidad óptima para los grupos de trabajo distribuidos.
El acceso de confianza cero de Cloudflare opera en todas las aplicaciones de una organización, autenticando a los usuarios a través de su propia red global. Esto permite a los responsables de TI registrar cada evento y cada intento de acceso a un recurso. Además, facilita el mantenimiento de los usuarios y la adición de usuarios adicionales.
Con Cloudflare Access, la organización puede mantener su identidad, los proveedores de protección, la postura de los dispositivos, los requisitos de ubicación por aplicación e incluso su infraestructura de nube existente. Para el control de identidades, Cloudflare se integra con Azure AD, Okta, Ping, y la postura de dispositivos, con Tanium, Crowdstrike y Carbon Black.
Cloudflare ofrece una versión gratuita de su servicio que proporciona las herramientas principales y permite proteger hasta 50 usuarios y aplicaciones. Debe optar por las versiones de pago del servicio para escalar a muchos usuarios o aplicaciones, que añaden otras ventajas como la asistencia telefónica y por chat 24x7x365.
Wandera
La solución de red de confianza ceroWandera Private Access ofrece un acceso remoto rápido, sencillo y seguro a las aplicaciones de una organización, tanto si operan en SaaS como si están desplegadas internamente. El servicio destaca por su sencillez, con procedimientos de instalación que pueden completarse en minutos y que no requieren hardware especializado, certificados ni dimensionamiento.
Wandera Private Access ofrece flexibilidad para equipos de trabajo distribuidos, que operan en plataformas heterogéneas, con dispositivos gestionados o propios (BYOD). La solución proporciona visibilidad en tiempo real del acceso a las aplicaciones, identificando la TI en la sombra y restringiendo automáticamente el acceso desde dispositivos infectados o inseguros, gracias a políticas de acceso conscientes de los riesgos.
Con Wandera Private Access, se pueden implementar modelos de seguridad centrados en la identidad, garantizando que sólo los usuarios autorizados puedan conectarse a las aplicaciones de la organización. El uso de microtúneles basados en aplicaciones conecta a los usuarios únicamente a las aplicaciones a las que están autorizados a acceder. La aplicación de las políticas de seguridad sigue siendo coherente en todas las infraestructuras, ya sean aplicaciones en la nube, en el centro de datos o SaaS.
El sistema de protección de Wandera está impulsado por un motor inteligente de detección de amenazas llamado MI:RIAM. Este motor se alimenta diariamente con la información proporcionada por 425 millones de sensores móviles, lo que garantiza la protección contra la más amplia gama de amenazas conocidas y de día cero.
Okta
Okta ofrece un modelo de seguridad de confianza cero que abarca una amplia gama de servicios, entre los que se incluyen la protección de aplicaciones, servidores y API; el acceso unificado y seguro de los usuarios a las aplicaciones en la nube y on-prem; la autenticación multifactor adaptable y basada en el contexto, y la baja automática para mitigar los riesgos de las cuentas huérfanas.
El servicio de directorio universal de Okta proporciona una visión única y consolidada de todos los usuarios de una organización. Gracias a la integración de grupos de usuarios con AD y LDAP, y a las conexiones con sistemas de RRHH, aplicaciones SaaS y proveedores de identidad de terceros, el directorio universal de Okta integra todo tipo de usuarios, ya sean empleados de la empresa, socios, contratistas o clientes.
Okta destaca por su servicio de protección de API, ya que las API se consideran una nueva forma de TI en la sombra. La gestión de acceso a API de Okta reduce las horas de diseño y aplicación de políticas basadas en XML a cuestión de minutos, lo que facilita la incorporación de nuevas API y la integración con socios para el uso de API. El motor de políticas de Okta permite aplicar las mejores prácticas en seguridad de API, integrándose fácilmente con marcos de identidad como OAuth. Las políticas de autorización de API se crean en función de las aplicaciones, el contexto del usuario y la pertenencia a grupos para garantizar que solo los usuarios adecuados puedan acceder a cada API.
La red de integración de Okta evita el bloqueo de proveedores, dando a las organizaciones la libertad de elegir entre más de 7.000 integraciones pre-construidas con sistemas en la nube y on-prem.
CrowdStrike Falcon
La solución de seguridad de confianza cero CrowdStrike Falcon Identity Protection detiene rápidamente las brechas de seguridad debidas a identidades comprometidas, protegiendo las identidades de todos los usuarios, ubicaciones y aplicaciones de una organización mediante políticas de confianza cero.
Falcon Identity Protection pretende reducir costes y riesgos y aumentar el retorno de la inversión de las herramientas en uso reduciendo los requisitos de recursos de ingeniería y eliminando procesos de seguridad redundantes.
El control unificado de todas las identidades facilita la aplicación de estrategias de acceso condicional y autenticación adaptativa, además de garantizar una mejor experiencia de usuario y una mayor cobertura de la autenticación multifactor (MFA), incluso para sistemas heredados.
La solución de acceso remoto CrowdStrike ofrece una visibilidad completa de la actividad de autenticación de todas las cuentas y puntos finales, proporcionando datos de ubicación, origen/destino, tipo de inicio de sesión (cuenta humana o de servicio), entre otros. A su vez, protege la red de amenazas internas, como cuentas privilegiadas obsoletas, cuentas de servicio desajustadas, comportamientos anómalos y credenciales comprometidas por ataques de movimiento lateral.
Al integrarse con las soluciones de seguridad existentes, la implantación de Falcon Identity Protection se realiza en un tiempo mínimo y sin fricciones. Además de ofrecer integración directa con soluciones de seguridad para activos críticos, como CyberArk y Axonius, CrowdStrike ofrece API de alto rendimiento que permiten a las empresas integrarse con prácticamente cualquier sistema.
Conclusión
La nueva normalidad parece quedarse, y los administradores de TI deben acostumbrarse a ella. El trabajo a distancia seguirá siendo una realidad cotidiana, y las redes de las organizaciones nunca volverán a tener límites claramente definidos.