Por Peter Newton, Director Senior de Marketing de producto, Fortinet.

Intentar asegurar una plantilla cada vez más dispersa no es fácil. Los empleados utilizan sus propios dispositivos para acceder a las aplicaciones empresariales críticas desplegadas en entornos multicloud y a los activos corporativos locales desde casa, la oficina y la carretera. Muchas organizaciones deben gestionar ecosistemas complejos que son cada vez más difíciles de proteger. Y el problema se agrava cuando intentan confiar en herramientas de seguridad rígidas y obsoletas. 

Para dar soporte al trabajo desde cualquier lugar, las organizaciones están implementando SD-WAN y herramientas que apoyan el modelo de seguridad de red de confianza cero, en particular el Acceso a la Red de Confianza Cero (ZTNA), que se utiliza para asegurar el acceso a las aplicaciones. En un nivel alto, la confianza cero se basa en el principio de que sólo se puede confiar en un usuario o dispositivo después de confirmar explícitamente su identidad y estado. Se centra en los usuarios, los dispositivos y los recursos específicos a los que se accede, utilizando la segmentación y las zonas de control. Cada solicitud de acceso debe ser autorizada y verificada continuamente.  

Una implementación integral de la confianza cero debe abarcar todo y a todos, sin importar dónde se encuentren. Y dado que no es probable que las arquitecturas de TI híbridas desaparezcan en un futuro próximo, es fundamental un enfoque de ciberseguridad que admita tanto la nube como “on-premises”. 

¿Cómo funciona ZTNA? 

El ZTNA adopta el enfoque de que no se puede confiar en ningún usuario o dispositivo para acceder a nada hasta que se demuestre lo contrario. ZTNA se compone de tres elementos clave: los dos primeros son un agente en el dispositivo del empleado y un motor de políticas que determina si la persona tiene permitido el acceso y a qué puede acceder. La política de acceso a las aplicaciones de ZTNA y el proceso de verificación son los mismos tanto si los usuarios están dentro como fuera de la red. 

El tercer elemento es el correspondiente a la aplicación, que debe producirse lo más cerca posible de la misma. Una vez que el usuario ha proporcionado las credenciales de acceso adecuadas, puede acceder sólo a las aplicaciones que necesita para realizar su trabajo. El ZTNA opera en términos de identidad en lugar de asegurar un lugar en la red, lo que permite que las políticas sigan las aplicaciones y otras transacciones de extremo a extremo. 

La implementación de ZTNA no puede limitarse a las aplicaciones basadas en la nube, ya que no serviría para aquellas organizaciones que tienen una combinación de aplicaciones híbridas en la nube y on-premises. 

Desde el punto de vista de TI, la configuración de ZTNA basada en el cliente ofrece una mejor visibilidad y control de los dispositivos, y se puede ejecutar un firewall de aplicaciones dentro del agente.  

Por otro lado, la verificación no debe realizarse en la nube del proveedor, ya que lo que puede funcionar para ciertas aplicaciones SaaS no es óptimo si hay que acceder a recursos en un centro de proceso de datos.  En este sentido, es más adecuada la verificación integrada en el firewall, que se distribuye por toda la red a través de dispositivos o máquinas virtuales. Un diseño que ofrece importantes ventajas desde el punto de vista de la eficiencia. 

No todos los firewalls son iguales 

Aunque hay voces que vaticinan la muerte del firewall e incluso de la red, nada más lejos de la realidad. La clave reside en instalar un firewall de nueva generación capaz de ejecutar ZTNA. Los firewalls basados en CPUs genéricas no pueden proporcionar el rendimiento adecuado, por eso es importante seleccionar un fabricante  de NGFW capaz de ejecutar ZTNA de forma rápida y eficiente.  

Por otro lado, las redes están muy vivas, incluso en los entornos centrados en la nube. La seguridad debe converger perfectamente con la red subyacente para permitir protecciones que puedan adaptarse dinámicamente a una red en constante cambio. En este entorno, el firewall de red se convierte en la base de una plataforma convergente de seguridad y red. 

Para adaptarse al nuevo modelo de trabajo, las organizaciones necesitan una red y una seguridad convergentes y coherentes, disponibles tanto en las instalaciones como en la nube. Tratar de fusionar otra solución puntual en una situación de red ya compleja genera confusión. Los usuarios necesitan acceder a todas sus aplicaciones, sin importar dónde se encuentren ellos o la aplicación. ZTNA debe ser omnipresente asegurando todo a través de políticas.