La topología de red Zero Trust y su importancia
Zero Trust es una estrategia de seguridad y, como tal, existen numerosas arquitecturas diferentes que las empresas pueden utilizar en función de su entorno empresarial, de red y tecnológico específico. Es importante que los arquitectos de seguridad comprendan a la perfección la arquitectura actual de su empresa para poder tomar decisiones fundamentadas sobre los cambios necesarios para las iniciativas de Zero Trust.
Suscríbete para no perderte nuestro boletín semanal
La arquitectura empresarial abarca una amplia gama de elementos, como las aplicaciones, los métodos de acceso, los flujos de datos y la infraestructura de red, así como la forma en que los distintos dispositivos y sistemas se conectan entre sí. La topología de red, por su parte, se refiere a la forma en que estos dispositivos y sistemas se conectan entre sí. Las redes empresariales suelen ser complejas e incluyen numerosos elementos interdependientes, como el DNS, la gestión de direcciones IP y el enrutamiento, que se encuentran en segmentos LAN, WAN, en la nube y SD-WAN. Estas redes también pueden incluir nuevos tipos de redes, como las que se encuentran en entornos IaaS (Infraestructura como Servicio).
Un proyecto de acceso a la red Zero Trust (ZTNA) requiere un buen conocimiento de su red, de la ubicación de los recursos privados de la empresa, de la topología de la red y de cómo funcionan estos sistemas interdependientes. El ZTNA exige cambios bien meditados en la forma en que los usuarios acceden a los recursos a través de la red, así como modificaciones en la propia red. Las ventajas de ZTNA son considerables, pero deben implementarse como parte de una estrategia bien elaborada.
¿Cuáles son los dos modelos principales de topología de red Zero Trust?
Existen dos modelos principales para la topología de red Zero Trust: el «cloud-routed» (topología de red enrutada a través de la nube) y el «direct-routed» (topología de red enrutada directamente). Gartner los denomina «iniciados por el servicio» e «iniciados por el punto final», mientras que otros analistas utilizan los términos «perímetro definido por software» (SDP) y «proxy de gestión de identidades». Se representan en los diagramas siguientes, donde utilizaremos los términos estándar de Zero Trust «punto de decisión de políticas» (PDP) para representar el plano de control y «punto de aplicación de políticas» (PEP) para representar el plano de datos. Tenga en cuenta también que, en este artículo, nos centramos únicamente en el acceso de los usuarios a los recursos privados de la empresa y no en el acceso de los usuarios a los recursos web públicos.
En ambos casos, el plan de control se encuentra en la infraestructura de seguridad en la nube del proveedor. De este modo, los proveedores ofrecen este servicio, encargándose de la gestión, la supervisión y las actualizaciones para los clientes, lo que simplifica las operaciones y reduce la complejidad.
Modelos de topología de red en la nube frente a red directa
En el modelo «cloud-routed», la nube del proveedor actúa como un punto centralizado donde las conexiones se unen «en el medio». Los usuarios remotos se conectan al PEP del proveedor más cercano para gestionar su acceso de red a los recursos privados de la empresa. Los recursos, que pueden ser aplicaciones de negocio o datos, pueden ejecutarse en un centro de datos local, en un entorno de nube IaaS o en ambos. El software de conexión del proveedor se ejecuta junto a los recursos y establece una conexión saliente hacia el PEP más cercano en la nube del proveedor. Dado que el conector establece una conexión saliente, suele simplificar la implementación, pero a menudo limita los casos de uso al acceso remoto de los usuarios únicamente para aplicaciones web.
En cuanto al modelo de enrutamiento directo, con esta arquitectura, la nube del proveedor de servicios solo se utiliza como plano de control. El plano de datos nunca es visible ni accesible para el proveedor de servicios, ya que las empresas implementan los PEP del proveedor de servicios en su entorno para que funcionen junto a sus propios recursos. Una vez autenticados, los usuarios obtienen un token de seguridad que les permite establecer conexiones directamente con los PEP, de ahí el nombre de enrutamiento directo. El tráfico de red circula entre el dispositivo del usuario y el recurso a través del PEP, lo que reduce el número de saltos de red y disminuye la latencia. Además, el enrutamiento del tráfico está bajo el control de la empresa, lo que le permite gestionar los requisitos de residencia de los datos, por ejemplo.
El modelo de enrutamiento directo es compatible con todos los protocolos de red (web, no web, todo TCP, UDP e ICMP) y gestiona de forma transparente las conexiones iniciadas por el servidor. También es compatible con el concepto universal de ZTNA, ya que el tráfico de red de los usuarios presenciales que acceden a recursos locales se mantendrá íntegramente dentro de la red corporativa local. Dado que el PEP debe implementarse donde se encuentran los recursos, suele ser necesario realizar modificaciones en el cortafuegos. Esta arquitectura es más adecuada para dar soporte a la mayoría de los entornos empresariales más complejos y sofisticados.
HTBS le ayuda a proteger su organización gracias al enfoque Zero Trust, que le permitirá proteger y asegurar todos los elementos que componen su infraestructura, además de ofrecerle una visibilidad global de su superficie de ataque.
Fuente: Appgate
