Geekflare
Geekflare recibe el apoyo de nuestra audiencia. Podemos ganar comisiones de afiliación de los enlaces de compra en este sitio.
En Seguridad  |  Última actualización: 25 de septiembre de 2023
Compartir en:
Escáner de seguridad de aplicaciones web Invicti - la única solución que ofrece verificación automática de vulnerabilidades con Proof-Based Scanning™.

7 Soluciones de red y aplicaciones de confianza cero para las empresas

Por

Los perímetros tradicionales de las redes han desaparecido. El acceso a las aplicaciones y a los activos digitales de una organización se produce desde lugares lejanos, y controlar esos accesos se convierte en un serio desafío. Los días en los que se podían proteger las fronteras de la red han quedado atrás. Ahora es el momento de adoptar nuevas estrategias de seguridad de confianza cero.

Cuando los activos digitales de una empresa tienen que atravesar largas distancias por los caminos inseguros de Internet, es tanto lo que está en juego que no se puede confiar en nada ni en nadie. Por eso debe adoptar el modelo de red de confianza cero para restringir el acceso de todos los usuarios a todos los recursos de la red en todo momento.

En las redes de confianza cero, se restringe cualquier intento de acceso a un recurso por parte de un usuario o un dispositivo, independientemente de si han accedido previamente al mismo recurso. Cualquier usuario o dispositivo debe pasar siempre por un proceso de autenticación y verificación para acceder a los recursos, aunque se encuentre físicamente dentro de la organización. Estas autenticaciones y verificaciones deben ser rápidas para evitar que las políticas de seguridad degraden el rendimiento de las aplicaciones y la experiencia de los usuarios.

Confianza cero frente a VPN

El modelo de red de confianza cero está sustituyendo al modelo VPN utilizado tradicionalmente por las empresas para que sus empleados accedan a sus activos digitales de forma remota. Las VPN están siendo sustituidas porque tienen un defecto importante que las redes de confianza cero pueden resolver. En las VPN, cualquier brecha que se produzca en el canal cifrado que conecta a un usuario con la red de la organización concede a los posibles atacantes acceso ilimitado a todos los recursos de la empresa conectados a la red.

En las antiguas infraestructuras locales, las VPN funcionaban bien, pero generan más riesgos que las soluciones en la nube o en infraestructuras mixtas.

Las redes de confianza cero solucionan este defecto de las VPN, pero añaden un posible inconveniente: pueden generar una complejidad adicional en términos de implementación y mantenimiento, ya que las autorizaciones deben mantenerse actualizadas para todos los usuarios, dispositivos y recursos. Esto requiere un trabajo adicional, pero a cambio los departamentos de TI consiguen un mayor control sobre los recursos y una reducción de las vulnerabilidades.

Afortunadamente, las ventajas de una red de confianza cero pueden obtenerse sin necesidad de esfuerzos añadidos de mantenimiento e implantación, gracias a herramientas que automatizan y ayudan en las tareas de administración de la red. Las herramientas que se comentan a continuación le ayudarán a aplicar políticas de confianza cero con un esfuerzo y unos costes mínimos.

NordLayer

NordLayer ofrece una solución de seguridad de acceso a la red adaptable basada en el marco Security Service Edge. Suministrada como solución de seguridad de red de software como servicio (SaaS), incorpora los principios clave de la confianza cero y proporciona un acceso remoto seguro, minimizando los riesgos de la organización.

YouTube vídeo

Se elimina la confianza implícita de toda la infraestructura, utilizando Secure Web Gateways como portales hacia la red interna de la empresa. El enlace desde el punto final del usuario hasta la SWG se cifra con un cifrado AES de 256 bits, mientras que la propia pasarela aplica las políticas de seguridad establecidas para evitar diversas amenazas. Ninguna conexión no supervisada se colará entre los mecanismos de defensa de NordLayer.

El tráfico entre el SWG y el dispositivo del usuario también se ve facilitado por protocolos de túnel de última generación como NordLynx (una versión propia de WireGuard desarrollada por Nord Security). Mientras tanto, otras opciones como las versiones IKEv2 y OpenVPN (UDP y TCP) aumentan la compatibilidad entre dispositivos. De este modo, es posible configurar NordLayer en routers y otros dispositivos de hardware.

La identidad de un usuario puede comprobarse varias veces antes de acceder a datos sensibles o recursos de trabajo. NordLayer también es compatible con el inicio de sesión único (SSO) con Azure AD, OneLogin, Okta y G Suite, lo que facilita la transición entre las herramientas que utiliza actualmente y la red de confianza cero. Aprovechando las capacidades del agente de seguridad de acceso a la nube, NordLayer mejora la visibilidad de la red y conserva un mayor control de acceso a los recursos críticos de la organización.

La solución tampoco requiere que las empresas descarten las herramientas utilizadas actualmente: NordLayer puede combinarse con la infraestructura existente. El producto no limita el número de usuarios, por lo que es altamente escalable sin aumentar drásticamente el precio de la suscripción. Esto hace que la segmentación de usuarios sea más fácil y eficaz al proporcionar una visión clara de los participantes en la red. Además, las licencias pueden transferirse fácilmente entre usuarios, adaptándose así a la dinámica de los entornos de trabajo.

Perímetro 81

Perimeter81 ofrece dos enfoques para gestionar y mantener seguras las aplicaciones y redes de una organización, tanto en entornos en la nube como locales. Las dos propuestas parten de ofrecer redes de confianza cero como servicio. Para ello, Perimeter 81 utiliza una arquitectura perimetral definida por software, que proporciona una gran flexibilidad para incorporar nuevos usuarios y ofrece una mayor visibilidad de la red. Además, el servicio es compatible con los principales proveedores de infraestructuras en la nube.

Zero Trust Application Access se basa en el supuesto de que todas las empresas tienen aplicaciones y servicios críticos a los que la mayoría de los usuarios no necesitan acceder. El servicio permite levantar barreras a usuarios específicos en función de sus funciones, dispositivos, ubicaciones y otros identificadores.

Por su parte, Zero Trust Network Access define una segmentación de la red de la organización por zonas de confianza, lo que permite crear límites de confianza que controlan el flujo de datos con un alto nivel de granularidad. Las zonas de confianza están formadas por conjuntos de elementos de infraestructura con recursos que operan al mismo nivel de confianza y proporcionan una funcionalidad similar. Esto reduce el número de canales de comunicación y minimiza la posibilidad de amenazas.

YouTube vídeo

El servicio Zero Trust Network Access (ZTNA) de Perimeter 81 ofrece una visión completa y centralizada de la red de la organización, garantizando el menor acceso privilegiado posible para cada recurso. Sus funciones de seguridad responden al modelo SASE de Gartner, ya que la seguridad y la gestión de la red están unificadas en una única plataforma.

Los dos servicios de Permiter 81 se incluyen en un esquema de precios con una amplia gama de opciones. Estas opciones van desde un plan básico con lo esencial para asegurar y gestionar una red hasta un plan empresarial que puede escalar ilimitadamente y proporciona un soporte dedicado las 24 horas del día, los 7 días de la semana.

Últimamente, Perimeter 81 fue nombrado líder de ZTNA.

Acceso privado ZScaler

ZScalerPrivate Access (ZPA) es un servicio de red de confianza cero basado en la nube que controla el acceso a las aplicaciones privadas de una organización, independientemente de si se encuentran en un centro de datos propio o en una nube pública. Con ZPA, las aplicaciones son completamente invisibles para los usuarios no autorizados.

YouTube vídeo

En la ZPA, la conexión entre aplicaciones y usuarios se realiza siguiendo una estrategia de dentro afuera. En lugar de extender la red para incluir a los usuarios (como debería hacerse si se utiliza una VPN), los usuarios nunca están dentro de la red. Este enfoque minimiza sustancialmente los riesgos al evitar la proliferación de malware y los riesgos de movimiento lateral. Además, el alcance de ZPA no se limita a las aplicaciones web, sino a cualquier aplicación privada.

ZPA utiliza una tecnología de microtúneles que permite a los administradores de red segmentar la red por aplicaciones, evitando la necesidad de crear una segmentación artificial en la red o de aplicar un control mediante políticas de cortafuegos o gestionando listas de control de acceso (ACL). Los microtúneles emplean cifrado TLS y claves privadas personalizadas que refuerzan la seguridad al acceder a las aplicaciones corporativas.

Gracias a su API y a las mejoras de ML (aprendizaje automático), ZPA permite a los departamentos de TI automatizar los mecanismos de confianza cero descubriendo aplicaciones y creando políticas de acceso para ellas y generando segmentación automáticamente para cada carga de trabajo de aplicación diferente.

Acceso de Cloudflare

El servicio de red de confianza cerode Cloudflare está respaldado por una red propia con puntos de acceso distribuidos por todo el mundo. Esto permite a los departamentos de TI proporcionar un acceso seguro y de alta velocidad a todos los recursos de una organización: dispositivos, redes y aplicaciones.

El servicio de Cloudflare sustituye a los perímetros de seguridad tradicionales centrados en la red, utilizando en su lugar accesos seguros y cercanos que garantizan una velocidad óptima para los grupos de trabajo distribuidos.

El acceso de confianza cero de Cloudflare opera en todas las aplicaciones de una organización, autenticando a los usuarios a través de su propia red global. Esto permite a los responsables de TI registrar cada evento y cada intento de acceso a un recurso. Además, facilita el mantenimiento de los usuarios y la adición de usuarios adicionales.

Con Cloudflare Access, la organización puede mantener su identidad, los proveedores de protección, la postura de los dispositivos, los requisitos de ubicación por aplicación e incluso su infraestructura de nube existente. Para el control de identidades, Cloudflare se integra con Azure AD, Okta, Ping, y la postura de dispositivos, con Tanium, Crowdstrike y Carbon Black.

Cloudflare ofrece una versión gratuita de su servicio que proporciona las herramientas principales y permite proteger hasta 50 usuarios y aplicaciones. Debe optar por las versiones de pago del servicio para escalar a muchos usuarios o aplicaciones, que añaden otras ventajas como la asistencia telefónica y por chat 24x7x365.

Wandera

La solución de red de confianza ceroWandera Private Access ofrece un acceso remoto rápido, sencillo y seguro a las aplicaciones de una organización, tanto si operan en SaaS como si están desplegadas internamente. El servicio destaca por su sencillez, con procedimientos de instalación que pueden completarse en minutos y que no requieren hardware especializado, certificados ni dimensionamiento.

Wandera Private Access ofrece flexibilidad para equipos de trabajo distribuidos, que operan en plataformas heterogéneas, con dispositivos gestionados o propios (BYOD). La solución proporciona visibilidad en tiempo real del acceso a las aplicaciones, identificando la TI en la sombra y restringiendo automáticamente el acceso desde dispositivos infectados o inseguros, gracias a políticas de acceso que tienen en cuenta los riesgos.

Con Wandera Private Access, se pueden implementar modelos de seguridad centrados en la identidad, garantizando que sólo los usuarios autorizados puedan conectarse a las aplicaciones de la organización. El uso de microtúneles basados en aplicaciones conecta a los usuarios únicamente a las aplicaciones a las que están autorizados a acceder. La aplicación de las políticas de seguridad sigue siendo coherente en todas las infraestructuras, ya sean aplicaciones en la nube, en el centro de datos o SaaS.

El sistema de protección de Wandera está impulsado por un motor inteligente de detección de amenazas llamado MI:RIAM. Este motor se alimenta diariamente con la información proporcionada por 425 millones de sensores móviles, lo que garantiza la protección contra la más amplia gama de amenazas conocidas y de día cero.

Okta

Okta ofrece un modelo de seguridad de confianza cero que abarca una amplia gama de servicios, entre los que se incluyen la protección de aplicaciones, servidores y API; el acceso unificado y seguro de los usuarios a las aplicaciones en la nube y on-prem; la autenticación multifactor adaptable y basada en el contexto, y la baja automática para mitigar los riesgos de las cuentas huérfanas.

El servicio de directorio universal de Okta proporciona una visión única y consolidada de todos los usuarios de una organización. Gracias a la integración de grupos de usuarios con AD y LDAP, y a las conexiones con sistemas de RRHH, aplicaciones SaaS y proveedores de identidad de terceros, el directorio universal de Okta integra todo tipo de usuarios, ya sean empleados de la empresa, socios, contratistas o clientes.

Okta destaca por su servicio de protección de API, ya que las API se consideran una nueva forma de TI en la sombra. La gestión de acceso a API de Okta reduce las horas de diseño y aplicación de políticas basadas en XML a cuestión de minutos, lo que facilita la incorporación de nuevas API y la integración con socios para el uso de API. El motor de políticas de Okta permite aplicar las mejores prácticas en seguridad de API, integrándose fácilmente con marcos de identidad como OAuth. Las políticas de autorización de API se crean en función de las aplicaciones, el contexto del usuario y la pertenencia a grupos para garantizar que solo los usuarios adecuados puedan acceder a cada API.

La red de integración de Okta evita el bloqueo de proveedores, dando a las organizaciones la libertad de elegir entre más de 7.000 integraciones pre-construidas con sistemas en la nube y on-prem.

CrowdStrike Falcon

La solución de seguridad de confianza cero CrowdStrike Falcon Identity Protection detiene rápidamente las brechas de seguridad debidas a identidades comprometidas, protegiendo las identidades de todos los usuarios, ubicaciones y aplicaciones de una organización mediante políticas de confianza cero.

YouTube vídeo

El objetivo de Falcon Identity Protection es reducir costes y riesgos y aumentar el retorno de la inversión de las herramientas en uso reduciendo los requisitos de recursos de ingeniería y eliminando procesos de seguridad redundantes.

El control unificado de todas las identidades facilita la aplicación de estrategias de acceso condicional y autenticación adaptativa, además de garantizar una mejor experiencia de usuario y una mayor cobertura de la autenticación multifactor (MFA), incluso para sistemas heredados.

La solución de acceso remoto CrowdStrike ofrece una visibilidad completa de la actividad de autenticación de todas las cuentas y puntos finales, proporcionando datos de ubicación, origen/destino, tipo de inicio de sesión (cuenta humana o de servicio), entre otros. A su vez, protege la red de amenazas internas, como cuentas privilegiadas obsoletas, cuentas de servicio mal asignadas, comportamientos anómalos y credenciales comprometidas por ataques de movimiento lateral.

Al integrarse con las soluciones de seguridad existentes, la implantación de Falcon Identity Protection se realiza en un tiempo mínimo y sin fricciones. Además de ofrecer integración directa con soluciones de seguridad para activos críticos, como CyberArk y Axonius, CrowdStrike ofrece API de alto rendimiento que permiten a las empresas integrarse con prácticamente cualquier sistema.

Conclusión

La nueva normalidad parece quedarse, y los administradores de TI deben acostumbrarse a ella. El trabajo remoto seguirá siendo una realidad cotidiana, y las redes de las organizaciones nunca volverán a tener límites claramente definidos.

En este contexto, los administradores de TI deben adoptar cuanto antes soluciones de red y aplicaciones de confianza cero si no quieren poner en peligro los activos digitales más preciados de sus organizaciones.

  • Lakshman Sharma
    Autor
Gracias a nuestros patrocinadores
Más lecturas sobre seguridad
Potencia tu negocio
Algunas de las herramientas y servicios que le ayudarán a hacer crecer su negocio.
  • Invicti
    Invicti utiliza el Proof-Based Scanning™ para verificar automáticamente las vulnerabilidades identificadas y generar resultados procesables en tan solo unas horas.
    Pruebe Invicti
  • Brightdata
    Web scraping, proxy residencial, gestor de proxy, desbloqueador web, rastreador de motores de búsqueda, y todo lo que necesita para recopilar datos web.
    Pruebe Brightdata
  • Monday.com
    Monday.com es un sistema operativo de trabajo todo en uno que te ayuda a gestionar proyectos, tareas, trabajo, ventas, CRM, operaciones, flujos de trabajo y mucho más.
    Prueba Monday
  • Intruder
    Intruder es un escáner de vulnerabilidades en línea que encuentra puntos débiles de ciberseguridad en su infraestructura, para evitar costosas violaciones de datos.
    Prueba Intruder