Ir al contenido
Avanet
Sophos Zero Trust Network Access: una alternativa a la VPN

Sophos Zero Trust Network Access: una alternativa a la VPN

2. JUNIO 2021

Sophos ha publicado recientemente la versión beta pública de su nuevo producto Sophos Zero Trust Network Access (ZTNA). Cualquiera puede registrarse ahora en el programa ZTNA Early Access. Veamos en qué consiste el modelo de seguridad zero trust y qué lo convierte en uno de los marcos de ciberseguridad más seguros del mundo.

¿Qué es el modelo zero trust?

En pocas palabras, el modelo zero trust establece que una empresa no puede confiar en todas las solicitudes de acceso a los datos y que siempre debe verificar primero el origen. Dicho en tres palabras: no se fíe de nadie. No conceda acceso a su red a nadie a menos que sepa con total certeza quién quiere acceder a sus datos y esté de acuerdo con ello.

¿Por qué tendría sentido utilizar este modelo de seguridad que parece tan extremo e incluso paranoico? Basta recordar que Cybersecurity Ventures pronosticó que la ciberdelincuencia causaría en todo el mundo unos daños de 6 billones de dólares estadounidenses para 2021. Esta es la pérdida prevista a pesar de las fuertes inversiones en ciberseguridad que realizan algunas de las mayores empresas del mundo. Nadie está completamente a salvo de ciberataques, inyecciones SQL y accesos no autorizados.

El modelo zero trust propone cambiar el enfoque tradicional, en el que las organizaciones se centran en las amenazas externas y presuponen que todo lo que ya está dentro de la red no necesita más autorizaciones y es inofensivo. La mayoría de las brechas de seguridad se producen porque, una vez concedido el acceso, resulta sencillo para los atacantes desplazarse lateralmente y llegar a más información dentro del sistema. Antes de depositar toda la confianza en el modelo zero trust, conviene sopesar sus ventajas e inconvenientes.

Ventajas del modelo zero trust

  • La empresa es mucho menos vulnerable a las ciberamenazas.
  • Los procesos de autenticación son muy estrictos.
  • Mejor protección de los datos corporativos.
  • Estructura de seguridad muy sofisticada.

Desventajas del modelo zero trust

  • Requiere mucho tiempo de implantación.
  • La gestión de numerosos usuarios es costosa, ya que cada solicitud de acceso debe autenticarse.
  • Las copias de seguridad de los datos se complican, porque la información se almacena en varias ubicaciones.

¿Qué es ZTNA?

ZTNA es el producto más reciente de Sophos Central y se suministra y administra íntegramente en la nube. Su objetivo es ofrecer a los usuarios remotos un acceso seguro a las aplicaciones. ¿Qué hace exactamente ZTNA? Se basa en el marco zero trust, lo que significa que se verifica al usuario por todos los medios razonables para minimizar el riesgo de compromiso. Esto incluye la autenticación del usuario (normalmente autenticación de dos factores, para evitar que unas credenciales robadas se utilicen de forma indebida), la validación del estado del dispositivo y la comprobación del cumplimiento de la política en el propio dispositivo para decidir si se concede o no el acceso.

Procedimiento ZTNA para conceder acceso a los usuarios

¿Cómo se compara ZTNA con la VPN?

Aunque la VPN nos ha funcionado bien, ZTNA ofrece una solución mejor si comparamos ambas tecnologías. ¿En qué puntos ZTNA supera a la VPN?

  • Mayor seguridad: La seguridad de las aplicaciones conectadas mejora notablemente porque, a diferencia de la VPN, ZTNA también verifica la integridad y el estado del dispositivo. Un dispositivo comprometido puede causar daños importantes a otros sistemas.
  • Transparencia: ZTNA ofrece a los usuarios una experiencia transparente y una gestión de conexiones fluida. La VPN puede resultar engorrosa de utilizar y suele generar llamadas al servicio de soporte.
  • Control granular: ZTNA ofrece un acceso segmentado a los datos de la aplicación, mientras que la VPN suele conceder acceso a toda la red una vez superado el proceso de autenticación. Esto es justo lo que buscan los atacantes: una vez dentro, disponen de tiempo para desplazarse de un dispositivo a otro. Con una única autenticación correcta podrían llegar a miles de dispositivos.

Como la VPN es una tecnología desarrollada hace más de 20 años, está empezando a quedarse anticuada. Se diseñó para ampliar redes de confianza y conectar a los empleados de una empresa en una red unificada. En cambio, hoy en día las aplicaciones en la nube son utilizadas por un gran número de usuarios que acceden desde varios dispositivos, lo que convierte a la VPN en una opción vulnerable e insegura. Los atacantes explotan estas debilidades una y otra vez, de modo que las vulnerabilidades en la VPN se han convertido en una amenaza importante para las empresas.

Comparativa entre ZTNA y VPN

¿Qué aplicaciones puede proteger ZTNA?

ZTNA protege las aplicaciones conectadas que se alojan en las redes de la propia empresa o que están disponibles en la nube pública. Esto incluye aplicaciones como wikis, Jira o cualquier otro tipo de repositorios o herramientas de ticketing. ZTNA no protege las aplicaciones que no son propiedad del cliente.

Componentes de ZTNA

Sophos ZTNA se compone de tres elementos principales:

  • Sophos Central: ofrece una plataforma de gestión en la nube para todos los productos Sophos, incluido Sophos ZTNA. Está preparada para la nube y simplifica el despliegue, la gestión de políticas y la generación de informes.
  • Sophos ZTNA Gateway: un dispositivo virtual que protege aplicaciones conectadas locales o en la nube pública, con compatibilidad inicial con AWS y VMware ESXi y compatibilidad futura con Azure, Hyper‑V y Nutanix.
  • Sophos ZTNA Client: ofrece una conectividad transparente con las aplicaciones en función de la identidad del usuario final y del estado del dispositivo. Es fácil de desplegar y obtiene información sobre el estado del dispositivo a partir de Windows Security Center. En un primer momento solo será compatible con Windows; más adelante se añadirá compatibilidad con macOS, Linux y los sistemas operativos móviles iOS y Android.

¿Cuándo estará disponible Sophos ZTNA?

Sophos ya ha puesto en marcha el programa de acceso anticipado (Early Access Program) para Sophos Zero Trust Network Access (ZTNA). La primera fase permite el acceso sin cliente a aplicaciones en el navegador, como CRM y soluciones de ticketing (por ejemplo, JIRA). La siguiente fase incorporará nuevas mejoras, como un cliente para Windows con despliegue integrado junto a Intercept X, Synchronized Security para el estado del dispositivo, proveedores de identidad adicionales y un gateway para AWS.

Licencias y precios

Al igual que otros productos de Sophos Central, ZTNA se licencia por usuario y no por dispositivo. Un usuario con varios dispositivos solo necesita una licencia. En el lanzamiento también habrá una versión de prueba gratuita para que las organizaciones puedan explorar el producto a fondo antes de decidirse a adquirir licencias.

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.