5 redes de confianza cero para reemplazar a las VPN

Las VPN son cosa del pasado. Las redes de confianza cero (también conocidas como zero-trust) se adaptan fácilmente a entornos cloud, on-premises o mixtos, y ofrecen mayor flexibilidad y seguridad que los túneles de las VPN. Y menores costos.

Las VPN, o redes privadas virtuales, se diseñaron hace varias décadas con el propósito de extender el alcance de las redes de datos de las empresas más allá de sus límites físicos. La ubicuidad de Internet y su bajo costo de acceso fue el detonante para que las empresas quisieran aprovecharla para conectar sucursales, clientes y proveedores en una única red, sin necesidad de emplear costosas conexiones dedicadas.

Redes de confianza cero - Infografía VPN
Esquema de una VPN tradicional: un túnel que impide que ojos no autorizados vean los datos que circulan entre los usuarios y la empresa.

El único y gran problema que dificultaba la implementación (y lo sigue haciendo) era la seguridad. En el modelo tradicional de trabajo centrado en la red (network centric), los riesgos de seguridad aumentan exponencialmente a medida que se agregan accesos de tipo VPN. En la actualidad se ha encontrado una solución a ese problema mediante alternativas que no se centran en la red, como el caso de las redes de confianza cero.

Historia de las VPN

Conectar sitios remotos a la red de una empresa a través de Internet siempre impuso un importante riesgo de seguridad, ya que los datos enviados de un sitio a otro pasan por enlaces públicos y pueden ser vistos por ojos malintencionados. Es por eso que las VPN se crearon a modo de túneles por donde la información circula de manera cifrada, para que no pueda ser interceptada y utilizada por extraños.

Los usuarios con acceso autorizado al túnel de la VPN deben contar con medios para cifrar y descifrar la información de la forma más transparente posible, de modo tal que no signifique una molestia o impedimento para sus tareas comunes. Si bien la VPN crea un canal virtual y encriptado entre los usuarios y la red de una organización, el inconveniente que presenta es que cualquier brecha que se produzca en ese canal le da a los potenciales atacantes un acceso sin límites a todos los recursos de la red, lo que genera un riesgo de grandes proporciones.

Cualquier brecha que se produzca en el túnel de una VPN le da a potenciales atacantes un acceso sin límites a todos los recursos de la red.

Además, las organizaciones con un gran números de usuarios remotos – por ejemplo, empleados, clientes o proveedores – deben administrar el acceso por medio de la VPN para cada uno de ellos, lo cual significa un alto costo de mantenimiento. El escenario se complica aún más cuando se deben incorporar a la red dispositivos relativamente nuevos, como por ejemplo dispositivos móviles o de IoT. En ese punto es cuando las VPN dejan de ser una solución y comienzan a transformarse en un serio problema.

Redes de confianza cero

En un modelo de redes de confianza cero, el principio básico es que no se confía en nadie. Se restringe el acceso de todos los usuarios a los recursos de la red, sin importar que hayan accedido al mismo recurso anteriormente o no. Cualquier usuario o dispositivo que intente acceder a un recurso dentro de una red de confianza cero debe pasar a través de un estricto – aunque rápido – proceso de verificación y autenticación, aún si el usuario o dispositivo se encuentra dentro de la organización. Dicho proceso de verificación debe incluir, preferentemente, autenticación de factor múltiple (MFA, multi-factor autentication).

Redes de confianza cero - infografía
En las redes de confianza cero, la autenticación se aplica a cada usuario, dispositivos y aplicación, por cada intento de acceso a un recurso de la organización.

El modelo de redes de confianza cero puede agregar alguna complejidad en la implementación. Los permisos y autorizaciones deben mantenerse actualizados y definirse con precisión. Requiere un poco más de trabajo en ese sentido, pero lo que se obtiene a cambio es un mayor control sobre el acceso a los recursos, y una reducción de las superficies vulnerables a ataques.

Además, otros beneficios de las alternativas modernas a las VPN – como las redes de confianza cero – incluyen una mejor experiencia de uso para los usuarios remotos, lo cual se evidencia en videoconferencias de mayor calidad y aplicaciones con respuestas más ágiles. A su vez, al administrar el acceso por recursos específicos se reduce el riesgo de movimientos laterales, y consecuentemente, de la propagación de ransomware.

Sin estándares por el momento

Si bien existen varias iniciativas para la definición de estándares en materia de arquitecturas de redes de confianza cero, aún no hay estándares aceptados por toda la industria. Sin embargo, hay varias soluciones de redes de confianza cero que se perfilan como líderes en este flamante segmento, por lo que bien podrían ser los que terminen definiendo los estándares.

A continuación se detallan estas soluciones.

Twingate

Ofrecido como un servicio basado en la nube, Twingate hace posible que los equipos de IT configuren para sus recursos un perímetro definido por software sin necesidad de hacer ningún cambio de infraestructura, y administren en forma centralizada el acceso de los usuarios a las aplicaciones internas, ya sea on-premises o en entornos de nube.

Redes de confianza cero - Twingate y su alternativa a las VPN
Twingate y su alternativa a las VPN

Mediante su alternativa de redes de confianza cero, Twingate reduce significativamente la exposición de la organización a los ciberataques, haciendo que la red interna sea completamente invisible para la Internet. El control de acceso a nivel de recursos evita que los hackers consigan acceso a la totalidad de la red aún cuando logren comprometer a un usuario o recurso.

La solución de redes de confianza cero de Twingate requiere un minimo mantenimiento, y es capaz de escalar desde 10 hasta 10.000 recursos. La administración del acceso a los recursos se lleva a cabo desde una consola de administración central basada en web, denominada Twingate controller. Para llevar a cabo la autenticación de los usuarios y asegurar que cada requerimietno de recursos provenga de un usuario autorizado, Twingate se integra con los principales proveedores de identidad y de SSO (single sing on).

Una característica distintiva de Twingate es la denominada Split Tunneling, la cual permite que el tráfico circule a través de la red de la organización sólo cuando es necesario. De esta forma se disminuye la latencia en videollamadas, las cuales se pueden conectar en forma más directa entre las partes.

El servicio de Twingate se cobra mediante una tarifa por usuario y por mes, que varía en función de la cantidad de usuarios. Se ofrece una opción gratuita que admite hasta 2 usuarios, 2 dispositivos por usuario y 1 red remota.

Cloudflare for Teams

Utilizando como base su propia infraestructura distribuida por todo el planeta, Cloudflare for Teams ofrece acceso seguro a los dispositivos, redes y aplicaciones de una organización, reemplazando los tradicionales perímetros de seguridad centrados en la red y haciendo que la Internet sea más rápida y segura para equipos de trabajo distribuidos por todo el mundo.

Redes de confianza cero - Cloudflare for Teams
Access y Gateway, los dos componentes de Cloudflare for Teams

Cloudflare ofrece acceso a redes de confianza cero a todas las aplicaciones de la organización, autenticando a los usuarios a través de su propia red global. De esta forma permite incorporar usuarios de terceras partes sin esfuerzo y guardar un registro de log por cada evento y por cada requerimiento de acceso a un recurso.

La solución Cloudflare for Teams está construida en torno a dos productos complementarios: Cloudflare Access y Cloudflare Gateway. El primero cumple una función análoga a la de una VPN: dar a los usuarios acceso a los recursos que necesitan evitando exponerlos a ciber-amenazas. Y el segundo es un firewall que protege a los usuarios de infecciones de malware, manteniendo las políticas de la organización cada vez que se conectan a Internet.

Tanto Access como Gateway están construidas sobre la red de Cloudflare. Eso significa que son capaces de brindar alta velocidad, confiabilidad y escalabilidad aún a las organización más grandes. La red es resistente a ataques DDoS y está a milisegundos de distancia de cualquier ubicación en la que se encuentren los usuarios.

Los planes de Cloudflare for Teams se dividen en Free, Standard y Enterprise. La versión Free es obviamente gratuita, y ofrece las herramientas esenciales para proteger hasta 50 usuarios y aplicaciones. Si la cantidad de usuarios es superior a 50, es necesario escalar a la versión Standard por una tarifa de USD 7 por usuario y por mes, y si se requieren capacidades empresariales, como soporte telefónico y por chat 24x7x365, autenticación basada en certificados, etc., se debe escalar a la versión Enterprise, por un costo a la medida de cada caso.

Zscaler Private Access

La empresa de seguridad como servicio Zscaler ofrece un servicio de redes de confianza cero basado en nube – llamado Zscaler Private Access, o ZPA – que controla el acceso a aplicaciones privadas, ya sea que corran en nubes públicas o dentro de un centro de datos propio de la organización. ZPA garantiza que las aplicaciones nunca se expongan a la Internet, haciéndolas completamente invisibles a usuarios no autorizados.

Redes de confianza cero - Zscaler Private Access
Esquema de Zscaler Private Access

El servicio de ZPA hace que las aplicaciones se conecten con los usuarios a través de conectividad de adentro hacia afuera, en lugar de extender las fronteras de la red para incluir a los usuarios en ella. Con las redes de confianza cero de ZPA, los usuarios nunca se sitúan dentro de la red, con lo cual se minimizan los riesgos de movimientos laterales o de propagación de ransomware. Esta estrategia de acceso a redes de confianza cero soporta tanto dispositivos administrados como no administrados, y admite también cualquier clase de aplicación privada, no sólo aplicaciones web.

Mediante el establecimiento de micro túneles, ZPA otorga a los administradores de redes la posibilidad de segmentar por aplicación, sin necesidad de segmentar por redes o de crear segmentaciones artificiales, mediante el manejo de niveles de acceso o políticas de firewall. El uso de túneles con encriptación TLS y claves privadas (PKI) personalizadas otorga un nivel extra de seguridad para el acceso a las aplicaciones corporativas.

En una época en que el trabajo remoto parece haber llegado para quedarse, Zscaler pone el acento en dar soporte a los usuarios para que puedan trabajar desde cualquier parte sin perder productividad. La empresa no da a conocer información de planes o de precios, pero se puede solicitar un test-drive de la solución ZPA sin cargo.

TeamViewer

La solución TeamViewer, si bien no ingresa en la categoría de redes de confianza cero, propone una alternativa a las VPN a través del acceso a dispositivos remotos, ofreciendo ventajas en cuanto a velocidad, seguridad, funcionalidad y costo. TeamViewer es por lejos la solución de acceso remoto más popular, con más de 2.000 millones de dispositivos conectados y 200 millones de usuarios activos.

Redes de confianza cero: TeamViewer
TeamViewer: acceso remoto desatendido

La conexión a un dispositivo remoto por medio de TeamViewer maximiza la velocidad de conexión al enviar por la red únicamente la información requerida para proveer interactividad, cosa que reduce el volumen de información transmitida. A su vez, la seguridad de la información está garantizada por el cifrado de datos de extremo a extremo, a lo que se suman medidas de seguridad adicionales, como la autenticación de doble factor.

Con TeamViewer, los dispositivos remotos pueden ser compartidos entre varios usuarios simultáneamente. Además, la solución ofrece funciones extra como por ejemplo compartir archivos o pantallas, y grabación de sesiones.

Se estima que los costos de configuración y mantenimiento de una VPN son varias veces superiores a los de las soluciones de acceso remoto, que están libres de complicados procedimientos de instalación y configuración. Para quienes estén interesados en usar TeamViewer en forma privada, existe una versión gratuita con la que se puede brindar acceso remoto amigos o familiares. Esta solución incluye la posibilidad de compartir archivos y pantallas, y mantener una comunicación por audio, video o chat.

Perimeter 81 Zero Trust Network Access

Perimeter 81 permite crear, administrar y asegurar fácilmente redes personalizadas y multi-regionales que se interconectan al entorno de nube o on-premises de una organización. La propuesta de Zero Trust Secure Network as a Service emplea una arquitectura de perímetro definido por software, lo que otorga mayor visibilidad de la red, facilidad para la incorporación de nuevos usuarios y compatibilidad con los principales proveedores de infraestructuras de nube.

Redes de confianza cero - el modelo SASE de Perimeter 81
El modelo SASE de Perimeter 81

Una segmentación de la red definida por zonas de confianza (trust zones) permite a la organización crear límites de confianza internos que controlen el flujo del tráfico de datos en forma granular. Las zonas de confianza se componen de conjuntos de elementos de infraestructura en los que los recursos operan a un mismo nivel de confianza y ofrecen funcionalidad similar, minimizando el número de vías de comunicación y poniendo límites a las amenazas.

Con Zero Trust Network Access de Perimeter 81 es posible tener una visualización completa y centralizada de las redes de confianza cero de la organización, asegurando accesos de mínimo privilegio a todos los valiosos recursos corporativos. Sus características de seguridad adhieren al modelo SASE, un término acuñado por Gartner que se refiere a la convergencia de seguridad y administración de la red en una misma plataforma. Perimeter 81 permite implementar servidores privados con direcciones IP estáticas, administrando el acceso por grupos de usuarios y controlándolo todo a través de un portal todo-en-uno basado en la nube.

Los planes de Perimeter 81 no ofrecen una opción gratuita, pero arrancan desde USD 8 por mes y por usuario para el plan básico, que incluye lo indispensable para asegurar y administrar una red, y suben a USD 12 por mes para un plan premium. Al costo de cada plan se le debe adicionar USD 40 mensuales por cada gateway.

Por la salud de los sysadmins

Las soluciones y las redes de confianza cero son ante todo la cura para muchos dolores de cabeza que sufren los administradores de sistemas por culpa de las VPN. Todo empresario que quiera reducir los gastos médicos y los tratamientos anti estrés para su departamento de IT debe considerar seriamente adoptar una buena alternativa a las casi obsoletas VPN, tal como las redes de confianza cero.

También te puede interesar:

8 Herramientas EDR para detectar ataques cibernéticos

Guía para reparar sitios Joomla hackeados

10 consejos para evitar ransomware

El clásico túnel del tiempo tal como aparecía en la serie de 1967, reconstruido en la actualidad por medio de gráficos de computadora.

1 comentario en «5 redes de confianza cero para reemplazar a las VPN»

Deja un comentario