Los perímetros tradicionales de las redes han desaparecido. El acceso a las aplicaciones y los activos digitales de una organización se produce desde lugares lejanos, y controlar esos accesos se convierte en un serio desafío. Los días en los que se podían proteger las fronteras de la red han quedado atrás. Ha llegado el momento de aplicar nuevas estrategias de seguridad de confianza cero.
Cuando los activos digitales de una empresa tienen que atravesar largas distancias por los inseguros caminos de Internet, hay tanto en juego que no se puede confiar en nada ni en nadie. Es por eso que debe adoptar el modelo de red de confianza cero para restringir el acceso de todos los usuarios a todos los recursos de la red en todo momento.
In redes de confianza cero, cualquier intento de acceder a un recurso está restringido por parte de un usuario o un dispositivo, independientemente de si han accedido previamente al mismo recurso. Cualquier usuario o dispositivo siempre debe pasar por un proceso de autenticación y verificación para acceder a los recursos, incluso cuando se encuentran físicamente dentro de la organización. Estas autenticaciones y verificaciones deben ser rápidas para evitar que las políticas de seguridad degraden el rendimiento de las aplicaciones y la experiencia de los usuarios.
Confianza cero frente a VPN
El modelo de red de confianza cero es reemplazando la VPN modelo tradicionalmente utilizado por las empresas para que sus empleados accedan a sus activos digitales de forma remota. Las VPN están siendo reemplazadas porque tienen una falla importante que las redes de confianza cero pueden resolver. En las VPN, cualquier brecha que se produzca en el canal cifrado que conecta a un usuario con la red de la organización otorga a los atacantes potenciales acceso ilimitado a todos los recursos de la empresa conectados a la red.
En las viejas infraestructuras locales, las VPN funcionaron bien, pero generan más riesgos que las soluciones en la nube o en infraestructuras mixtas.
Las redes de confianza cero solucionan esta deficiencia de las VPN, pero agregan una desventaja potencial: pueden generar una complejidad adicional en términos de implementación y mantenimiento, ya que las autorizaciones deben mantenerse actualizadas para todos los usuarios, dispositivos y recursos. Esto requiere trabajo adicional, pero los departamentos de TI logran un mayor control sobre los recursos y una reducción de las vulnerabilidades a cambio.
Afortunadamente, los beneficios de una red de confianza cero se pueden realizar sin la necesidad de esfuerzos adicionales de mantenimiento e implementación, gracias a las herramientas que automatizan y ayudan en las tareas de administración de la red. Las herramientas que se describen a continuación lo ayudan a aplicar políticas de confianza cero con un esfuerzo y costos mínimos.
NordLayer
NordLayer ofrece una solución de seguridad de acceso a la red adaptativa basada en el marco Security Service Edge. Entregado como una solución de seguridad de red de software como servicio (SaaS), incorpora los principios clave de Zero Trust y proporciona acceso remoto seguro, minimizando los riesgos de la organización.
La confianza implícita se elimina de toda la infraestructura, utilizando Secure Web Gateways como portales a la red interna de la empresa. El enlace desde el extremo del usuario hasta el SWG está encriptado con cifrado AES de 256 bits, mientras que la propia puerta de enlace aplica políticas de seguridad configuradas para prevenir diversas amenazas. Ninguna conexión no supervisada escapará de los mecanismos de defensa de NordLayer.
El tráfico entre el SWG y el dispositivo del usuario también se ve facilitado por protocolos de tunelización de vanguardia como NordLynx (una versión patentada de WireGuard desarrollada por Nord Security). Mientras tanto, otras opciones como las versiones IKEv2 y OpenVPN (UDP y TCP) aumentan la compatibilidad entre dispositivos. De esa forma, es posible configurar NordLayer en enrutadores y otros dispositivos de hardware.
La identidad de un usuario se puede verificar varias veces antes de acceder a datos confidenciales o recursos de trabajo. NordLayer también es compatible con el inicio de sesión único (SSO) con Azure AD, OneLogin, Okta y G Suite, lo que facilita la transición entre las herramientas que usa actualmente y la red Zero Trust. Aprovechando las capacidades del corredor de seguridad de acceso a la nube, NordLayer mejora la visibilidad de la red y retiene un mayor control de acceso a los recursos críticos de la organización.
La solución tampoco requiere que las empresas descarten las herramientas utilizadas actualmente: NordLayer se puede combinar con la infraestructura existente. El producto no limita el número de usuarios, lo que lo hace altamente escalable sin aumentar drásticamente el precio de la suscripción. Esto hace que la segmentación de usuarios sea más fácil y efectiva al proporcionar una visión general clara de los participantes de la red. Además de eso, las licencias se pueden transferir fácilmente entre usuarios, adaptándose a la dinámica del entorno de trabajo acelerado.
Perimeter 81
Perímetro 81 ofrece dos enfoques para administrar y mantener seguras las aplicaciones y redes de una organización, tanto en la nube como en los entornos locales. Las dos propuestas parten de ofrecer redes de confianza cero como servicio. Para hacer esto, Perimeter 81 utiliza una arquitectura de perímetro definida por software, que proporciona una gran flexibilidad para incorporar nuevos usuarios y ofrece una mayor visibilidad de la red. Además, el servicio es compatible con los principales proveedores de infraestructura en la nube.
Zero Trust Application Access se basa en la suposición de que todas las empresas tienen aplicaciones y servicios críticos a los que la mayoría de los usuarios no necesitan acceder. El servicio permite levantar barreras a usuarios específicos en función de sus roles, dispositivos, ubicaciones y otros identificadores.
Mientras tanto, Acceso a la red Zero Trust define una segmentación de la red de la organización por zonas de confianza, lo que permite la creación de límites de confianza que controlan el flujo de datos con un alto nivel de granularidad. Las zonas de confianza se componen de conjuntos de elementos de infraestructura con recursos que operan al mismo nivel de confianza y proporcionan una funcionalidad similar. Esto reduce el número de canales de comunicación y minimiza la posibilidad de amenazas.
El servicio Zero Trust Network Access (ZTNA) de Perimeter 81 ofrece una vista completa y centralizada de la red de la organización, lo que garantiza el acceso menos privilegiado posible para cada recurso. Sus características de seguridad responden al modelo SASE de Gartner, ya que la seguridad y la gestión de la red están unificadas en una única plataforma.
Los dos servicios de Permiter 81 están incluidos en un esquema de precios con una amplia gama de opciones. Estas opciones van desde un plan básico con lo esencial para proteger y administrar una red hasta un plan empresarial que puede escalar ilimitadamente y brinda soporte dedicado 24/7.
Últimamente, Perimeter 81 fue nombrado líder de ZTNA.
ZScaler Private Access
Acceso privado a ZScaler (ZPA) es un servicio de red de confianza cero basado en la nube que controla el acceso a las aplicaciones privadas de una organización, independientemente de si están ubicadas en un centro de datos propietario o en un nube pública. Con ZPA, las aplicaciones son completamente invisibles para los usuarios no autorizados.
En ZPA, la conexión entre aplicaciones y usuarios se realiza siguiendo una estrategia de adentro hacia afuera. En lugar de ampliar la red para incluir usuarios (como debería hacerse si se usa una VPN), los usuarios nunca están dentro de la red. Este enfoque minimiza sustancialmente los riesgos al evitar la proliferación de malware y los riesgos de movimiento lateral. Además, el alcance de ZPA no se limita a las aplicaciones web sino a cualquier aplicación privada.
ZPA utiliza una tecnología de micro túnel que permite a los administradores de red segmentar la red por aplicación, evitando la necesidad de crear una segmentación artificial en la red o aplicar el control por cortafuegos políticas o gestión de listas de control de acceso (ACL). Los micro túneles emplean cifrado TLS y claves privadas personalizadas que refuerzan la seguridad al acceder a las aplicaciones corporativas.
Gracias a sus mejoras de API y ML (aprendizaje automático), ZPA permite a los departamentos de TI automatizar los mecanismos de confianza cero al descubrir aplicaciones y crear políticas de acceso para ellas y al generar segmentación automáticamente para cada carga de trabajo de aplicación diferente.
Cloudflare Access
De Cloudflare El servicio de red de confianza cero está respaldado por una red patentada con puntos de acceso distribuidos por todo el mundo. Esto permite que los departamentos de TI proporcionen acceso seguro y de alta velocidad a todos los recursos de una organización: dispositivos, redes y aplicaciones.
El servicio de Cloudflare reemplaza los perímetros de seguridad tradicionales, centrados en la red, utilizando en su lugar accesos seguros y de corto alcance que garantizan una velocidad óptima para grupos de trabajo distribuidos.
El acceso de confianza cero de Cloudflare opera aplicaciones generales en una organización, autenticando a los usuarios a través de su propia red global. Esto permite a los administradores de TI registrar cada evento y cada intento de acceder a un recurso. Además, facilita el mantenimiento de usuarios y la adición de usuarios adicionales.
Con Cloudflare Access, la organización puede mantener su identidad, proveedores de protección, postura del dispositivo, requisitos de ubicación por aplicación e incluso su infraestructura de nube existente. Para el control de la identidad, Cloudflare se integra con Azure AD, Okta, Ping y la postura del dispositivo, con Tanium, Crowdstrike y Carbon Black.
Cloudflare ofrece una versión gratuita de su servicio que proporciona las principales herramientas y le permite proteger hasta 50 usuarios y aplicaciones. Debe elegir las versiones pagas del servicio para escalar a muchos usuarios o aplicaciones, lo que agrega otros beneficios, como soporte telefónico y por chat 24x7x365.
Wandera
Acceso privado a Wandera La solución de red de confianza cero ofrece acceso remoto rápido, simple y seguro a las aplicaciones de una organización, ya sea que operen en SaaS o se implementen internamente. El servicio destaca por su simplicidad, con procedimientos de instalación que se pueden completar en minutos y no requieren hardware, certificados o dimensionamiento especializados.
Wandera Private Access ofrece flexibilidad para equipos de trabajo distribuidos, que operan en plataformas heterogéneas, con dispositivos administrados o propios (BYOD). La solución proporciona visibilidad en tiempo real del acceso a las aplicaciones, identifica la TI en la sombra y restringe automáticamente el acceso desde dispositivos infectados o inseguros, gracias a las políticas de acceso conscientes de los riesgos.
Con Wandera Private Access, se pueden implementar modelos de seguridad centrados en la identidad, lo que garantiza que solo los usuarios autorizados puedan conectarse a las aplicaciones de la organización. El uso de micro túneles basados en aplicaciones conecta a los usuarios solo con las aplicaciones a las que están autorizados a acceder. La aplicación de políticas de seguridad sigue siendo coherente en todas las infraestructuras, ya sean aplicaciones de nube, centro de datos o SaaS.
El sistema de protección de Wandera funciona con un motor de detección de amenazas inteligente llamado MI: RIAM. Este motor se alimenta diariamente con la información proporcionada por 425 millones de sensores móviles, lo que garantiza la protección contra la más amplia gama de amenazas conocidas y de día cero.
Okta
Okta ofrece un modelo de seguridad de confianza cero que abarca una amplia gama de servicios, incluida la protección de aplicaciones, servidores y API; acceso de usuario unificado y seguro a aplicaciones locales y en la nube; Autenticación adaptativa, basada en el contexto, de múltiples factores y eliminación automática para mitigar los riesgos de las cuentas huérfanas.
El servicio de directorio universal de Okta proporciona una vista única y consolidada de cada usuario de una organización. Gracias a la integración de grupos de usuarios con AD y LDAP, y conexiones con sistemas de recursos humanos, aplicaciones SaaS y proveedores de identidad de terceros, Okta Universal Directory integra todo tipo de usuarios, ya sean empleados de la empresa, socios, contratistas o clientes.
Okta destaca por su servicio de protección de API, ya que las API se consideran una nueva forma de TI en la sombra. La gestión de acceso a la API de Okta reduce las horas de diseño y aplicación de políticas basadas en XML en cuestión de minutos, lo que facilita onboarding de nuevas APIs e integración con partners para el uso de APIs. El motor de políticas de Okta permite implementar las mejores prácticas en seguridad de API, integrándose fácilmente con marcos de identidad como OAuth. Las políticas de autorización de API se crean en función de las aplicaciones, el contexto del usuario y la pertenencia a grupos para garantizar que solo los usuarios adecuados puedan acceder a cada API.
La red de integración de Okta evita el bloqueo de proveedores, lo que brinda a las organizaciones la libertad de elegir entre más de 7,000 integraciones prediseñadas con sistemas en la nube y locales.
CrowdStrike Falcon
EL Protección de identidad CrowdStrike Falcon La solución de seguridad de confianza cero detiene rápidamente las brechas de seguridad debidas a identidades comprometidas, protegiendo las identidades de todos los usuarios, ubicaciones y aplicaciones en una organización que utiliza políticas de confianza cero.
Falcon Identity Protection tiene como objetivo reducir los costos y riesgos y aumentar el ROI de las herramientas en uso al reducir los requisitos de recursos de ingeniería y eliminar los procesos de seguridad redundantes.
El control unificado de todas las identidades facilita la implementación de estrategias de autenticación adaptativa y acceso condicional, además de garantizar una mejor experiencia de usuario y una mayor cobertura de autenticación multifactor (MFA), incluso para sistemas heredados.
La solución de acceso remoto CrowdStrike ofrece una visibilidad completa de la actividad de autenticación de todas las cuentas y puntos finales, proporcionando datos de ubicación, origen / destino, tipo de inicio de sesión (cuenta humana o de servicio), entre otros. A su vez, protege la red de amenazas internas, como cuentas privilegiadas obsoletas, cuentas de servicio mal asignadas, comportamiento anormal y credenciales comprometidas por ataques de movimientos laterales.
Al integrarse con las soluciones de seguridad existentes, la implementación de Falcon Identity Protection se lleva a cabo en un tiempo mínimo y sin fricciones. Además de ofrecer integración directa con soluciones de seguridad para activos críticos, como CyberArk y Axonius, CrowdStrike ofrece API de alto rendimiento que permiten a las empresas integrarse con prácticamente cualquier sistema.
Conclusión
La nueva normalidad parece quedarse y los administradores de TI deben acostumbrarse. Trabajo remoto seguirá siendo una realidad diaria, y las redes de organizaciones nunca volverán a tener límites claramente definidos.
En este contexto, los administradores de TI deben adoptar soluciones de aplicaciones y redes de confianza cero tan pronto como sea posible si no quieren poner los recursos más valiosos de sus organizaciones. activos digitales en riesgo.
