¿ZTNA reemplaza tu VPN? Conoce 3 enfoques de acceso remoto
El acceso remoto seguro e ininterrumpido es un habilitador empresarial: aumenta la productividad de los usuarios remotos y reduce el tiempo que los equipos de TI dedican a incorporar y mantener la conectividad entre el usuario y la aplicación con agilidad y resiliencia. Sin embargo, el acceso remoto sigue siendo un desafío para muchas organizaciones.
Las VPN ofrecieron una forma sencilla de conectar algunos usuarios remotos a redes corporativas durante breves periodos de tiempo. A medida que, las fuerzas de trabajo se distribuyeron más y las organizaciones necesitaban mantener a los usuarios remotos conectados de forma segura durante períodos de tiempo más prolongados, las fallas se hicieron evidentes, presentando rendimientos lentos y mayores riesgos de seguridad hasta problemas de escalabilidad.
A medida que aumentan las necesidades de acceso remoto, las organizaciones se alejan cada vez más de las implementaciones VPN tradicionales y se acercan a soluciones de acceso remoto más seguras y eficaces. El acceso a la red Zero Trust o ZTNA, crea límites seguros alrededor de aplicaciones específicas, IP privadas y nombres de host, reemplazando las conexiones VPN permitidas por defecto con políticas de denegación predeterminadas que otorgan acceso en función de la identidad y el contexto.
En 2020, aproximadamente el 5% de todo el uso de acceso remoto fue atendido predominantemente por ZTNA, debido a las limitaciones del acceso VPN tradicional y la necesidad de brindar un control de sesión y acceso más preciso, se espera que ese número aumente al 40% para 2024.
VPN vs Seguridad Zero Trust
Seguridad VPN
Si bien las VPN brindan un nivel básico de privacidad para usuarios remotos, no se diseñaron teniendo en cuenta la seguridad o la escalabilidad. Tradicionalmente, las organizaciones han usado VPN para conectar algunos usuarios remotos a la red corporativa por períodos cortos de tiempo. Sin embargo, los problemas de VPN comienzan a multiplicarse:
- Los usuarios experimentan un rendimiento lento. Si la infraestructura VPN no tiene la capacidad de manejar el rendimiento del tráfico y las conexiones simultáneas creadas por su fuerza laboral, los usuarios experimentan una ralentización en su conexión a Internet.
- Las redes corporativas quedan vulnerables a los ataques. Las VPN suelen utilizar un modelo de castillo y foso, en el que un usuario tiene acceso sin restricciones a todos los recursos corporativos una vez que se conecta a una red.
Seguridad Zero Trust
La seguridad Zero Trust evita muchos de los desafíos inherentes a las VPN. Se basa en el principio de que no se puede confiar de forma predeterminada en ningún usuario o dispositivo dentro o fuera de una red.
Con el fin de reducir el riesgo y el impacto de las filtraciones de datos, los ataques internos y otras amenazas, un enfoque de confianza cero:
- Autentica y registra cada inicio de sesión y solicitud,
- Requiere una verificación estricta de todos los usuarios y dispositivos,
- Limita la información a la que cada usuario y dispositivo puede acceder según la identidad y el contexto,
- Agrega cifrado de extremo a extremo para aislar aplicaciones y datos dentro de la red.
Formas de configurar ZTNA
- ZTNA sin cliente (o iniciado por servicio) utiliza el navegador existente, en lugar de un cliente, para crear una conexión segura y autenticar los dispositivos de los usuarios. Tradicionalmente, ZTNA sin cliente se ha limitado a aplicaciones con protocolos HTTP/HTTPS, pero la compatibilidad está evolucionando rápidamente.
- El ZTNA basado en el cliente (o iniciado en el punto final) instala el software en un dispositivo de usuario antes de que se pueda establecer una conexión cifrada entre el agente de control y las aplicaciones autorizadas.
Desafíos de la implementación de ZTNA
Si bien ZTNA brinda claras ventajas sobre las VPN tradicionales, no es un enfoque perfecto para asegurar el acceso a la red para usuarios remotos. Durante la adopción de Zero Trust puedes encontrarte con uno o más de los siguientes desafíos:
1. Las soluciones no son realmente nativas de la nube.
2. Es posible que los proveedores no ofrezcan opciones de ZTNA basadas en clientes y sin clientes.
3. La configuración puede ser compleja y llevar mucho tiempo.
Estos contenidos te van a interesar:
5 razones para fortalecer la ciberseguridad con una plataforma SOC
¿Qué es la ciberseguridad?
Cloudflare: Conectividad de trabajadores remotos a largo plazo
Enfoque de Cloudflare para los remotos
Asegurar y escalar el acceso remoto debe ser un proceso fluido, que no superponga soluciones de seguridad toscas, genere compensaciones de rendimiento o incurra en costos innecesarios. Cloudflare empodera a los equipos para manejar todos los casos de uso de acceso remoto, con los siguientes beneficios:
- Incorporación sencilla y sin riesgos para usuarios y administradores. Cloudflare se integra fácilmente con los proveedores de identidad existentes y las plataformas de protección de terminales para aplicar políticas de confianza cero que limitan el acceso a las aplicaciones y los recursos corporativos.
- Flexibilidad para implementaciones de ZTNA basadas en clientes y sin clientes. Cloudflare brinda soporte sin cliente para conexiones a aplicaciones web, SSH, VNC (y pronto, RDP), y soporte basado en el cliente para aplicaciones que no son HTTP y enrutamiento privado a direcciones IP internas.
¿Cómo aborda Cloudflare los desafíos del acceso remoto?
Problema |
Solución |
CloudFlare implementación |
Difícil de escalar |
Red perimetral global |
La red Anycast global de Cloudflare no solo hace que las conexiones de los usuarios sean más rápidas que una VPN, sino que también garantiza que las fuerzas de trabajo remotas de cualquier tamaño puedan conectarse de forma segura y rápida a los recursos corporativos. |
Poca compatibilidad con dispositivos móviles. |
Cliente ligero |
El cliente WARP de Cloudflare utiliza el protocolo Wireguard más moderno, que se ejecuta en el espacio del usuario para admitir un conjunto más amplio de opciones de sistema operativo con una experiencia de usuario más rápida que las opciones tradicionales. El cliente WARP de Cloudflare se puede configurar en dispositivos Windows, MacOS, iOS, Android y, próximamente, Linux. |
Sin protección DDoS integrada o débil |
Protección DDoS líder en la industria integrada |
La red de más de 67 Tbps de Cloudflare brinda protección DDoS integrada para cualquier modo ZTNA, lo que protege las redes contra los ataques volumétricos más grandes. |
Limitaciones del protocolo |
Soporte de aplicaciones no web |
Compatibilidad de modo: ZTNA sin cliente para aplicaciones SSH/VNC; ZTNA basado en cliente para todas las demás aplicaciones no web. |
Sin cortafuegos de red integrado |
Cortafuegos de red incorporado |
Cloudflare permite a los administradores aplicar políticas de firewall de red en el perímetro, lo que les brinda un control detallado sobre qué datos pueden entrar y salir de su red y mejorar la visibilidad de cómo fluye el tráfico a través de ella. |
Falta de control detallado |
Puerta de enlace web segura (SWG) integrada |
Al combinar ZTNA con SWG, Cloudflare permite a los administradores ejercer un control más detallado sobre los derechos de acceso de usuarios y dispositivos dentro de las aplicaciones. |
Accede sin hacer concesiones en el soporte de protocolo o la funcionalidad. La ruta de migración recomendada varía según las prioridades comerciales que impulsan tu proyecto:
- Si tu prioridad es una conectividad más rápida a las aplicaciones, primero implementa ZTNA basado en cliente para aplicaciones no web.
- Si mejorar la seguridad de las reglas de acceso a tu aplicación es más importante, comienza con las aplicaciones web.
- Reemplazar tu VPN es solo el primer paso en una transformación completa de la red. Debido a que la transición a un modelo SASE puede ser abrumadora, hemos desglosado un camino común hacia la seguridad Zero Trust basado en el enfoque que han adoptado nuestros clientes.