Para entender el concepto de ZTNA debemos comprender inicialmente a que se refiere el modelo de Zero Trust (cero confianza) que básicamente significa que no se debe “confiar” en nadie desde dentro o fuera de la red, cualquier persona, sistema o dispositivo que desee tener acceso a los recursos de la red y por ende a los recursos de la organización, deben ser validados y verificados, garantizando que dichos solicitantes a los recursos sean quien dicen ser, de manera que una vez validados e identificados puedo otorgar privilegios de acceso. Estos privilegios deben ser tan granulares como sea posible, ya que esto me va a permitir manejar la opción del menor privilegio.
Por otro lado, se debe comprender que el modelo ZT (Zero Trust) es una estrategia, esto lo abordamos en nuestro blog “Zero Trust: redefiniendo la estrategia de ciberseguridad “. Recordemos las consideraciones a tener presentes allí:
- Identifique sus datos sensibles
- Identifique el uso de los datos sensibles
- Diseñe los micro-perímetros.
- Realice monitoreo continuo
- Integre y automatice los controles de seguridad.
Ahora bien, particularmente ZTNA entendido que hace parte del modelo ZT, ¿a qué se refiere?
¿Qué es ZTNA (Zero Trust Network Access)?
Como su nombre indica, hace referencia a la fortaleza o capacidad que debo tener en un punto clave a nivel de infraestructura; que es el acceso a la red, verificando quién, qué, cuándo, dónde, por qué y cómo se conectan a los recursos empresariales (Método Kipling), restringiendo el acceso y minimizando el riesgo de pérdida de datos.
¿Qué permite hacer ZTNA?
- Aislar accesos de red y de aplicaciones, es decir, puedo tener acceso a la red pero no acceso a todas las aplicaciones. Este aislamiento reduce los riesgos para la red, como la infección por dispositivos comprometidos, y solo otorga acceso a la aplicación a los usuarios autorizados.
- Realizar conexiones solo salientes, lo que garantiza que tanto la red como la infraestructura de aplicaciones sean invisibles para los usuarios no autorizados. Las IP nunca están expuestas a Internet, lo que crea una "red oscura" que hace que la red sea imposible de encontrar.
- Una vez que los usuarios estén autorizados, el acceso a las aplicaciones se otorga de forma individualizada. Los usuarios autorizados tienen acceso solo a aplicaciones específicas.
- Facilitar los accesos a aplicaciones o recursos multi-nube y/o hibridos realizando control centralizado de políticas de acceso.
- Adoptar un enfoque de dispositivo->usuario->aplicación en lugar de un enfoque de seguridad centrado en la red. La red corporativa pierde importancia e Internet se convierte en la nueva red corporativa, aprovechando micro-túneles cifrados de extremo a extremo en lugar de MPLS.
[LE PUEDE INTERESAR VER: ¿Qué es SASE y cómo complementa al modelo Zero Trust?]
Es ideal que una vez se defina o identifiquen los datos sensibles y el uso de éstos, se cuente con capacidades técnicas para realizar microsegmentación, inspección del contenido, protección a aplicaciones, identificación oportuna de los usuarios, posturas a nivel de seguridad de los dispositivos, acceso microsegmentado que tiene cada usuario a las distintas aplicaciones y una conectividad sencilla para el usuario, que no retrase las labores diarias y me permita una buena experiencia de usuario.
