Quién es quién en el escenario Zero Trust

Los últimos años han significado el auge por el interés de Zero Trust Network Access (ZTNA). Este enfoque de confianza cero reemplaza el modelo de defensa del perímetro con un marco de privilegio mínimo donde los usuarios se autentican para acceder a datos y aplicaciones específicos, y sus actividades se monitorizan continuamente.

ZTNA fue impulsado a raíz de la pandemia de la COVID-19, con la masificación del teletrabajo. El antiguo modelo, ejemplificado en las VPN, proporciona una conexión segura que otorga privilegios a los usuarios remotos como si estuvieran en una red privada interna. Pero esto no concuerda con la mentalidad Zero Trus; y para empeorar las cosas, muchas organizaciones han descubierto que su infraestructura no podía manejar las cargas de tráfico creadas por una gran cantidad de trabajadores remotos que se conectaban a través de una VPN.

 

La confianza cero es un marco, no un producto

Los proveedores de redes y seguridad han respondido ofreciendo un conjunto de productos y servicios que pueden complementar e incluso reemplazar la conectividad VPN. Estas herramientas ZTNA utilizan varias técnicas de seguridad de aplicaciones y redes para dar paso a los principios de confianza cero al acceso remoto. Esto implica monitorizar los endpoints de los usuarios, ya sea mediante técnicas con o sin agente, para proteger el acceso ilícito.

Pero debido a que Zero Trust es un marco en lugar de una tecnología específica, lo que se etiqueta como ZTNA puede tener más que ver con el marketing que con el producto en sí, y las ofertas tienen diferentes enfoques y fortalezas. “La comunidad de proveedores se ha apresurado a promocionar Zero Trust a través del marketing, lo que ha provocado una reacción contra la exageración”, subraya David Holmes, analista senior de Forrester Research. Muchos proveedores también han optado por incorporar funciones ZTNA en un conjunto más amplio de herramientas de seguridad en lugar de ofrecerlas como producto o servicio independiente.

La confianza cero también requiere la aceptación de las organizaciones que la implementan. “No es solo un ejercicio de compra, por mucho que ayude a desbloquear un presupuesto. Una empresa necesita un enfoque convincente para la clasificación de datos, y alguien necesita auditar los privilegios de los empleados y de terceros. “Ambas son tareas no triviales y, por lo general, manuales”, asevera Holmes.

 

Esta es una instantánea de algunas de las ofertas de los principales proveedores.

 

Acceso a aplicaciones empresariales de Akamai . Con Akamai EAA, los usuarios pueden acceder a aplicaciones protegidas a través de un navegador. También hay una alternativa basada en el cliente. La creación de perfiles de dispositivos está integrada en las capacidades de cumplimiento de políticas del producto, aunque no incluye funciones de prevención de pérdida de datos (DLP) o detección de amenazas. 

Las organizaciones pueden integrar Akamai EAA con sus proveedores de servicios de identidad y sistemas de autenticación multifunción (MFA) existentes. También pueden utilizar EAA de Akamai junto con la propia solución MFA de Akamai, junto con las herramientas de microsegmentación y control de acceso a la red de la empresa. 

Appgate. Appgate, uno de los primeros participantes en el mercado de ZTNA, cuenta con una serie de características, que incluyen autorización de un solo paquete, aplicaciones y puntos de acceso encubiertos, y acceso sin cliente, junto con enrutamiento directo, que protege aún más los recursos protegidos. La solución se puede implementar de varias maneras, desde alojada en la nube hasta en las instalaciones.  

 

Check Point Harmony Connect Remote Access. El acceso remoto a Harmony Connect es uno de los conjuntos de herramientas NESaaS de Check Point. El mayor inconveniente de la herramienta es que su presencia en la nube aún está en pañales: Check Point actualmente solo se asocia con AWS y Azure. 

 

Cliente seguro de Cisco . La oferta de Cisco es un cliente unificado que admite tanto VPN como ZTNA, lo que podría ser tentador para las organizaciones que todavía están en transición o que dependen de la conectividad VPN. Cisco ofrece la flexibilidad de implementar ZTNA App Connectors o backhaul VPN, y también admite la integración con soluciones SD-WAN de terceros. 

Secure Client ofrece un tablero unificado para la administración de ZTNA y NESaaS. Hay planes para una integración más estrecha con la amplia cartera de seguridad cibernética de Cisco, aunque a mediados de 2023 todavía está en progreso. La oferta, tal como existe hoy, se apoya en otras tecnologías de Cisco, como Duo y el servicio Umbrella Secure Cloud, lo que podría ser una restricción para las organizaciones que no han invertido en el kit de Cisco, o una bendición para aquellas que sí lo han hecho. 

 

Acceso privado seguro de Citrix . La tecnología ZTNA de Citrix es parte de su misión más amplia de acceso remoto y funciona junto con sus ofertas de VPN, escritorio virtual, Citrix Enterprise Browser y escritorio como servicio, con opciones tanto en la nube como en las instalaciones. Ofrece capacidad de descubrimiento de aplicaciones con flujos de trabajo para automatizar las definiciones de acceso a las aplicaciones y la creación de reglas de políticas, e incluye cientos de plantillas para aplicaciones web con parámetros precargados e inicio de sesión único para una incorporación y configuración más rápidas. 

Citrix es uno de los pocos proveedores que ofrece una interfaz de usuario de cliente nativa, un navegador nativo y controles basados ??en navegador empresarial para admitir dispositivos BYOD, administrados y no administrados. Sin embargo, Secure Private Access no forma parte de una plataforma NESaaS completa y no ofrece integración formal con soluciones de microsegmentación. 

 

Acceso a Cloudflare. Cloudflare aprovecha su experiencia en la entrega de contenido en la nube como parte de su oferta de ZTNA: el firewall de aplicaciones web, la mitigación de DDoS y la gestión de bots se unen a las capacidades nativas de detección de amenazas basadas en algoritmos de aprendizaje automático capacitados en los conocimientos de la empresa sobre el tráfico de Internet. La solución admite implementaciones en la nube y locales y dispositivos de usuario administrados o no administrados (incluido IoT), así como un sólido soporte para aplicaciones RDP. 

Cloudflare Access no es compatible con algunas tecnologías de confianza cero adyacentes a la nube, como la microsegmentación, el control de acceso a la red o MFA. Las organizaciones pueden integrarse con tales herramientas a través de API, lo que puede ser beneficioso para algunas tiendas, pero sería una curva de aprendizaje para otras. 

 

Forcepoint ONE ZTNA . Forcepoint ofrece una solución ZTNA nativa en la nube y enrutada en la nube, con implementación disponible tanto sin agente como basada en agente. Forcepoint ONE tiene una fuerte integración DLP y características únicas como la esteganografía.  

Los productos de firewall y SD-WAN de Forcepoint pueden servir como un conector de aplicación ZTNA, lo que facilita que los clientes actuales aumenten ZTNA. Su conjunto de ofertas tiene un fuerte énfasis en el cumplimiento, ofreciendo plantillas predefinidas para ayudar a las organizaciones a lograr el cumplimiento y aumentar su postura de seguridad. En el lado negativo, Forcepoint no ofrece elementos perimetrales definidos por software, como la autorización de un solo paquete, el encubrimiento de recursos o una solución de microsegmentación dedicada. 

 

Fortinet. Fortinet integra estrechamente ZTNA en sus ecosistemas FortiFabric, que incluyen microsegmentación, gestión de identidades, autenticación multifactor, SIEM , SOAR ,  EDR , SD-WAN y muchos otros productos de seguridad y redes. La solución ZTNA de Fortinet funciona perfectamente junto con su VPN a través de túneles separados que se pueden abrir al mismo tiempo según las aplicaciones que utilice el usuario final. Si no es cliente de Fortinet, la solución ZTNA no está disponible como una oferta independiente. 

La oferta de ZTNA es una de las soluciones con precios más competitivos de la industria e incluye actualizaciones de software trimestrales con nuevas características y capacidades.  

 

Seguridad empresarial de confianza cero de Google BeyondCorp . Es posible que se sorprenda al ver a Google en esta lista, pero tiene sentido que la oferta ZTNA del gigante de las búsquedas sea un componente del navegador Chrome ampliamente utilizado de la compañía. Debido a que no se requiere software ni agentes adicionales para ejecutar en segundo plano para su solución ZTNA, Google reduce la complejidad y permite una implementación rápida. El sistema funciona con la red administrada mundial de Google y, por lo tanto, se beneficia del sólido rendimiento de la red. 

La otra cara de la moneda es que la solución basada en navegador de Google está restringida al navegador y no incluye un agente de punto final dedicado, un factor decisivo para algunas organizaciones. ZTNA es parte de la oferta NESaaS de Google, que se integra con herramientas de Palo Alto Networks. 

 

iboss. iboss proporciona seguridad de red como servicio y principios de confianza cero integrados en su oferta. El servicio ZTNA de iboss se basa en una arquitectura en contenedores para habilitar la pila completa de funciones de seguridad de la red, ocultando todas las aplicaciones y recursos detrás de su servicio en la nube para proteger contra el escaneo y el sondeo. Los navegadores de los usuarios son los clientes, transmiten toda la funcionalidad y los datos como píxeles en lugar de datos o código, por lo que ningún dato termina en los dispositivos de los usuarios finales. 

Las soluciones de iboss están diseñadas para usuarios empresariales que pueden darse el lujo de aprender un sistema de gestión complejo. La solución no se complementa con un firewall tradicional, aunque iboss señala que sus puertas de enlace en la nube locales se pueden implementar como firewalls si es necesario. 

 

Lookout Acceso Privado Seguro. La oferta de productos ZTNA de Lookout es compatible con varios modelos de implementación, incluidos agentes y sin agentes, así como en línea, en la nube o enrutados directos; también es capaz de hacer cumplir las políticas de administración de documentos y DLP. 

Los agentes de Lookout consolidan el acceso a toda la línea de productos de seguridad de la empresa, y Secure Private Access proporciona una integración profunda con otros productos Lookout NESaaS y la funcionalidad SD-WAN. Los nuevos clientes que han encontrado que faltan las capacidades ZTNA y NESaaS de su proveedor de seguridad local pueden encontrar atractivo el ZTNA de Lookout. 

 

Acceso Privado Netskope . La oferta ZTNA de Netskope es parte de una suite NESaaS más amplia que también incluye capacidades de protección de datos y prevención de amenazas. Netskope aprovecha sus capacidades de análisis de usuario y DLP; esta última utiliza docenas de señales y modelos de aprendizaje automático para crear una puntuación del índice de confianza del usuario, que luego se traduce en controles de acceso adaptables en toda su solución ZTNA.  

Netskope está desarrollando una actualización de su oferta ZTNA denominada "ZTNA Next", cuyo objetivo es reemplazar por completo las conexiones VPN para los clientes y admitir aplicaciones heredadas, como VoIP local con protocolos especializados que complican los enfoques ZTNA existentes. El Netskope ZTNA actual funciona con aplicaciones web modernizadas, pero si las aplicaciones heredadas son importantes para usted, es posible que deba esperar la actualización. 

 

Palo Alto Networks Prisma Acces ZTNA . La solución ZTNA de Palo Alto Networks es parte de su plataforma de seguridad general, que combina ZTNA, puerta de enlace web segura y firewall como servicio en un solo producto. La empresa tiene acceso a la red de fibra premium de Google para garantizar una calidad de servicio constante en toda su cartera. La solución se beneficia de las integraciones con el resto de la oferta NESaaS de Palo Alto y atraerá a aquellos que estén considerando otros productos y ofertas de la empresa.  

Prisma Access ZTNA brinda soporte para todas las aplicaciones, actuales y heredadas, y es extremadamente flexible cuando se trata de modelos de implementación: fuera de banda, en línea, basado en proxy, enrutado en la nube o enrutado directamente a través de un agente, sin agente, puerta de enlace local/auto -Todos los despliegues alojados o en contenedores son posibles. 

 

Acceso privado Skyhigh. Skyhigh proporciona un modelo enrutado en la nube para ZTNA que oculta y protege las aplicaciones del acceso o escaneo no autorizado. Skyhigh Security Private Access proporciona amplios controles DLP combinados con EDM, IDM y OCR avanzados. La oferta también incluye una opción de sandboxing en línea que utiliza la emulación para detectar amenazas de día cero. Ofrece acceso con y sin agente, compatible con BYOD y dispositivos móviles.  

Skyhigh Security no ofrece DLP de punto final de forma nativa; sin embargo, esta funcionalidad está incluida en la suite más grande de la compañía, lo que hace que Private Access sea un complemento atractivo para sus clientes existentes que han desarrollado políticas integrales de DLP. La empresa ofrece una serie de plantillas de políticas diseñadas para industrias altamente reguladas.  

 

Sophos ZTNA.  La ZTNA de Sophos está estrechamente integrada con la solución para terminales de la empresa. Los dos comparten un agente, junto con telemetría de amenazas e información de estado y salud, para limitar o revocar los derechos de acceso en tiempo real y proteger contra ransomware y otras amenazas. La ZTNA de Sophos también se integra en el ecosistema más amplio de Sophos, incluido su servicio de detección y respuesta administrado las 24 horas, los 7 días de la semana. 

Muchas de las ventajas de ZTNA de Sophos se pueden atribuir a su estrecha integración con otros productos de Sophos, por lo que es probable que la mayor parte de la adopción de ZTNA de Sophos provenga de clientes existentes que buscan fortalecer la seguridad de los dispositivos de extremo a extremo. 

 

Symantec ZTNA. Originalmente desarrollado por Luminate, Symantec ZTNA puede operar con y sin agentes (aunque se prefiere este último) e incluye una capacidad llamada puerta de enlace espejo que utiliza proxy inverso y aislamiento del navegador para permitir que algunos usuarios accedan pero no descarguen datos. 

Los desarrolladores pueden usar la API ZTNA de Symantec para integrar la herramienta en las prácticas automatizadas de DevSecOps. La plataforma ahora es parte del amplio conjunto de ofertas NESaaS de Broadcom y está dirigida a grandes empresas. 

 

Acceso Privado Zscaler . Zscaler se centra en los servicios de seguridad basados ??en la nube y su servicio ZTNA no es diferente. Todo el tráfico de usuarios y dispositivos pasa a través de la plataforma Zscaler Zero Trust Exchange para una visibilidad y control completos y una postura de seguridad consistente. La solución incluye una política generada por IA para la segmentación automatizada del acceso del usuario a la aplicación. 

Zscaler realiza servicios de acceso privado en diferentes centros de datos que Zscaler Internet Access. Zscaler construye su nube para soportar aplicaciones de baja latencia, alojando ZPA en centros de datos adicionales en ubicaciones de AWS, pero no en ciertas geografías remotas que normalmente no alojan aplicaciones comerciales.