Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Por qué ZTNA deja brechas de seguridad y cómo ZTS las llena

Aditya Krishnan
,
Gerente Técnico de Línea de Productos
December 13, 2022
23 min. lectura

Tanto como muchos Proveedores de Zero Trust me gustaría que creyera, Zero Trust no es un solo producto o tecnología, sino una estrategia general para todo el entorno de TI.

Zero Trust, como su nombre indica, es un modelo que niega el acceso a los recursos digitales de una empresa de forma predeterminada y otorga permisos solo según sea necesario, según la identidad y el tipo de recurso.

Para proteger las cargas de trabajo críticas de una organización, los tres imprescindibles de Zero Trust son:

  • Gobernanza de Identidad
  • Segmentación de confianza cero (ZTS)
  • Acceso a la red de confianza cero (ZTNA)

Si bien la mayoría de las organizaciones ya han adoptado el Gobierno de Identidad, los dos últimos componentes de Cero Confianza van de la mano y desempeñan un papel importante en la seguridad de la infraestructura de una organización.

¿Qué es ZTNA, y por qué es importante?

ZTNA ha visto una adopción generalizada en los últimos dos años, para asegurar el perímetro de una organización y el tráfico norte-sur. ZTNA proporciona un mecanismo simple pero robusto para que los usuarios accedan a aplicaciones en la nube o data center mediante la autenticación de los usuarios en función de sus identidades y roles.

Además, cuando a los usuarios se les concede acceso, a diferencia de una VPN tradicional, a los usuarios se les proporciona acceso únicamente a la aplicación que el usuario necesita y se les niega el acceso a la propia red corporativa. Esto reduce la superficie de ataque de la red expuesta en el perímetro.

Las 3 áreas top donde ZTNA cae

Aunque ZTNA ha demostrado tener muchas ventajas, no es una solución a prueba de balas para su red.

En realidad, las brechas siguen ocurriendo.

A medida que aumenta la complejidad de los ataques, se vuelve inminente adoptar un”asumir una violación“mentalidad donde el objetivo de la organización debe ser reducir la superficie de ataque interno y contener las brechas a la menor cantidad de recursos posible.

ZTNA hace un gran trabajo asegurando el acceso externo a las aplicaciones de usuarios remotos, pero existen múltiples escenarios en los que ZTNA no puede proporcionar beneficios. Por eso es esencial un enfoque de defensa en profundidad.

Hay 3 áreas principales donde ZTNA no ofrece protección:

  • Movimiento lateral entre puntos finales: Las soluciones de ZTNA proporcionan acceso a los recursos de usuarios remotos a las aplicaciones. Sin embargo, cuando un usuario está en la oficina, no impide ni regula el acceso desde varios dispositivos de usuario final. Un endpoint infectado dentro del entorno corporativo puede moverse lateralmente a través de muchos endpoints y servidores, obteniendo acceso a datos confidenciales del usuario y, al mismo tiempo, es propenso a ataques de ransomware a gran escala.
  • Movimiento lateral entre servidores: ZTNA no tiene la capacidad de proteger contra vectores de ataque que se originan dentro del centro de datos. Un gran ejemplo sería el Vientos solares ataque a la cadena de suministro de 2020 en el que los atacantes obtuvieron acceso a las redes y sistemas donde se desplegó SolarWinds.
  • Fallo de los proveedores de servicios de identidad: Las soluciones de ZTNA depositan su confianza para autenticar a los usuarios en su entorno en Identity Service Providers (IDP). Los atacantes se han aprovechado de esto al suplantar a los desplazados internos y pasar por encima de los MFA. Una vez dentro, los atacantes son libres de causar estragos, exfiltrar datos e infectar los activos críticos de una organización.

¿En qué ayuda ZTS cuando ZTNA cae?

ZTS y ZTNA son bloques de construcción fundamentales en cualquier viaje de Zero Trust. Está claro que una organización no puede confiar únicamente en ZTNA para protegerse contra actores maliciosos.

ZTS llena el vacío al asegurar el tráfico este-oeste que ZTNA deja abierto y proporciona la visibilidad muy necesaria del tráfico de red para continuar su viaje de Zero Trust.

Es de conocimiento común que solo puedes asegurar lo que puedes ver. Además de asegurar el tráfico este-oeste, ZTS proporciona visibilidad end-to-end desde endpoints (remotos y de oficina) hasta las aplicaciones en el data center o la nube. Las organizaciones pueden aprovechar esta visibilidad cuando implementan otros Soluciones Zero Trust.

Con ZTS, se aplica un enfoque de “asumir violación” en todo el entorno, de modo que los nodos no pueden comunicarse entre sí a menos que se permita explícitamente. Esto asegura que las brechas estén contenidas y no se puedan propagar a toda la red.

El cambio de una mentalidad de prevención de brechas a una mentalidad de contención de brechas ha sido validado por la Orden Ejecutiva 14028 de la Casa Blanca emitida en 2021. El EO hace un llamado a las agencias federales -y a todas las organizaciones- a avanzar hacia una estrategia de seguridad Zero Trust que destaque específicamente la Segmentación de Confianza Cero (también llamada microsegmentación) como uno de sus principales pilares.

Conozca más sobre los aspectos más destacados de la Orden Ejecutiva 14028 en este articulo.

ZTS aborda las 3 grandes carencias que plantea ZTNA

Los endpoints que pueden comunicarse con otros endpoints son un regalo para que cualquier atacante se propague rápidamente. Por lo tanto, los endpoints dentro o fuera de la red corporativa deben ser protegidos mediante ZTS. Cuando los puertos se dejan abiertos, los endpoints se convierten en un atractivo vector de ataque y una fuente importante de propagación de ransomware dentro de la red. Una vez que los endpoints están infectados, los atacantes pueden trasladarse a activos críticos dentro del data center.

Con la visibilidad obtenida de ZTS, simplemente puede crear reglas de segmentación donde se pueden aplicar políticas granulares en servidores de aplicaciones, lo que permite que solo ciertos servidores se comuniquen entre sí a través de protocolos específicos. Por ejemplo, podemos querer permitir la comunicación entre un servidor web y un servidor de base de datos en el puerto 3306 (MySQL) pero queremos restringir el acceso de la base de datos al servidor web.

ZTS demuestra ser una valiosa protección contra fallas en caso de que los atacantes pasen por alto el mecanismo de autenticación del IDP. Incluso si un atacante entra, no podrá moverse lateralmente por todo el entorno, reduciendo así el radio de explosión de un ataque.

La gran mayoría de los ataques cibernéticos dependen del descubrimiento de la red y del movimiento lateral. Sin ZTS además de ZTNA, una organización es vulnerable a que estas tácticas sean explotadas repetidamente.

Illumio + Appgate: Alcanza el nirvana cibernético implementando tanto ZTS como ZTNA

ZTS y ZTNA desempeñan un papel importante en la seguridad de una infraestructura moderna. ¡Combinarlos es cómo haces que tus redes sean grandes de nuevo y alcanzas el cibernirvana!

Illumio y Appgate están liderando el camino para ayudar a las organizaciones a implementar una protección de seguridad de confianza cero efectiva y eficiente. Illumio y Appgate fueron clasificados como Líderes en los Proveedores de la Plataforma Forrester Wave‚Ñ¢: Zero Trust Extended Ecosystem Platform.

Con Illumio y Appgate, puede crear rápidamente seguridad Zero Trust para proteger el tráfico perimetral e interior en sus entornos de computación híbrida.

Conoce más sobre Illumio + Appgate en este articulo. Y obtenga el enfoque de tres pasos y mejores prácticas para implementar la seguridad Zero Trust con Illumio y Appgate en guía de soluciones.

Temas relacionados

Endpoint

Artículos relacionados

Por qué necesita la segmentación EDR y Zero Trust
Segmentación de confianza cero

Por qué necesita la segmentación EDR y Zero Trust

Independientemente de su postura sobre EDR vs XDR, Illumio complementa ambos productos con políticas de Segmentación de Confianza Cero que dejan poco margen de maniobra a los atacantes.

Leer más
3 Lo más destacado de Illumio en la Conferencia RSA 2023
Segmentación de confianza cero

3 Lo más destacado de Illumio en la Conferencia RSA 2023

Lea estos tres emocionantes aspectos destacados sobre Illumio en el RSAC de este año.

Leer más
Cree microservicios seguros y resilientes con microsegmentación
Segmentación de confianza cero

Cree microservicios seguros y resilientes con microsegmentación

Los arquitectos y constructores de software comenzaron a alejarse de las aplicaciones gigantes, estrechamente acopladas y monolíticas desplegadas en los centros de datos privados a una arquitectura más orientada a microservicios alojada en infraestructura de nube pública.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información