Resumen
As data breaches become more common, organizations need a better way to protect their data. A zero trust network architecture (ZTNA) and a virtual private network (VPN) are two different solutions for user authentication and authorization.
Si bien una arquitectura de red de confianza cero (ZTNA) y una red privada virtual (VPN) ofrecen soluciones seguras para el acceso remoto a su entorno, funcionan con diferentes marcos y reglas para la autenticación y la autorización de los usuarios. Permitir el acceso remoto a su entorno de red conlleva un gran riesgo para la seguridad de sus datos, pero ZTNA y VPN proporcionan estrategias para bloquear a los usuarios no autorizados y la escucha de datos. Conocer la diferencia entre las dos estrategias puede ayudarle a determinar cuál es la adecuada para su organización.
¿Qué es ZTNA?
Una estrategia de confianza cero incorpora “nunca confíe y verifique siempre”, lo que significa que cada solicitud de datos pasa por un proceso de verificación. Cada solicitud de datos supone que la red se ha visto comprometida y que la solicitud puede proceder de una amenaza. Esto significa que, aunque un usuario ya está autenticado en la red, nunca se confía en que el usuario acceda a los datos sin que el sistema de red verifique que el usuario está autorizado a realizar la solicitud.
Por ejemplo, supongamos que un usuario se autentica en la red usando sus credenciales. Ahora tienen que acceder a los datos usando una aplicación empresarial interna. ZTNA requiere una verificación adicional de la cuenta (por ejemplo, nombre de usuario y contraseña de la aplicación) para autenticarse en el software y acceder a los datos. Los administradores pueden usar soluciones de inicio de sesión único (SSO), pero estas soluciones deben integrarse con su arquitectura de red de confianza cero para la protección de los datos.
¿Qué es la VPN?
Una red privada virtual (VPN) autentica a los usuarios cuando solicitan acceso al entorno local. Normalmente, los usuarios se encuentran en una ubicación remota fuera de la oficina corporativa, pero algunas organizaciones implementan una VPN para los usuarios ubicados en ubicaciones de oficinas auxiliares. La VPN se integra con los servicios de autenticación de red, pero también funciona con soluciones multifactor (MFA) para una mejor seguridad.
Una vez que los usuarios se autentican con el sistema VPN, pueden acceder a cualquier área de la red, siempre que el usuario forme parte de un grupo autorizado. La verificación secundaria puede integrarse con la VPN, incluido ZTNA. La mayor ventaja de la VPN es que es fácil de implementar y muchas soluciones funcionan directamente con Active Directory o LDAP.
Diferencias clave entre ZTNA y VPN
Si bien una VPN puede formar parte de las estrategias ZTNA, una VPN por sí sola no sigue el marco ZTNA. ZTNA exige que los administradores verifiquen siempre las cuentas de usuario antes de poder acceder a cualquier recurso corporativo, por lo que es una práctica mucho más segura que los marcos de seguridad más antiguos. La VPN solo autentica a los usuarios y verifica que deberían tener acceso a la red corporativa, pero no la verifica después de la autenticación inicial.
En un entorno ZTNA, los usuarios solo tienen acceso a los recursos necesarios para realizar su trabajo. Este principio de estrategia de privilegios mínimos limita los riesgos si un atacante compromete una cuenta. Una VPN permite el acceso, siempre que los administradores de la red tengan acceso a un recurso o grupo de recursos, aunque los privilegios sean extensos e innecesarios para la función laboral de un usuario.
Ventajas de ZTNA sobre VPN
A medida que se producen más filtraciones de datos, las organizaciones necesitan una mejor manera de proteger sus archivos y datos. Las cuentas de usuario comprometidas que usan VPN hacen que todo el entorno sea vulnerable. Con la VPN, un usuario tiene acceso a todo el entorno sin validación, aparte de la autenticación y la autorización utilizadas con las soluciones VPN. Con ZTNA, una cuenta de usuario puede verse comprometida, pero una validación adicional impide que el atacante sufra daños adicionales.
Por ejemplo, un usuario puede autenticarse en la red, pero todo el software que accede a los datos requiere una autenticación adicional. Los usuarios tienen que introducir una contraseña antes de abrir el software y los usuarios sin su contraseña de software no podrían abrirla. Esta seguridad adicional limita la cantidad de datos revelados cuando una cuenta de red de usuario se ve comprometida.
Casos de uso para ZTNA
Todas las organizaciones deben tener en cuenta el ZTNA por motivos de seguridad, pero los entornos con usuarios remotos y datos confidenciales deben usar especialmente el ZTNA. Con ZTNA, los usuarios siempre deben validar el acceso antes de acceder a los datos, incluso si ya han accedido a los datos antes y se han autenticado en la red. Los usuarios deben validar su cuenta para cada solicitud de datos, que normalmente es gestionada por el sistema, en lugar de pedir a los usuarios que introduzcan constantemente su contraseña.
Las aplicaciones también validan su autorización. Por ejemplo, un script que solicita datos tiene que autenticarse cada vez que se ejecuta. Si los atacantes ponen en peligro el script, los datos a los que pueden acceder estarán limitados. Ransomware también se detendría antes de poder acceder a los datos y cifrarlos.
Casos de uso para VPN
Los usuarios remotos necesitan una manera de acceder a la red interna y la VPN es una solución excelente. Puede integrarse con ZTNA, pero algunas organizaciones pequeñas solo utilizan la autenticación VPN. La VPN es excelente para un acceso sencillo a una aplicación o servidor. Los usuarios remotos con solicitudes para extraer datos de la red mientras trabajan pueden beneficiarse de una conexión VPN sencilla.
La VPN es necesaria para el acceso remoto cuando los usuarios están en una red Wi-Fi insegura. El Wi-Fi público puede verse comprometido, pero la VPN cifra los datos para que estén seguros de las escuchas. La VPN también protege los datos de las escuchas a medida que pasan por Internet. También impide que los datos se escondan tras un ataque de tipo man-in-the-middle (MITM).
Conclusión
La seguridad de los usuarios remotos es necesaria para proteger los datos corporativos, pero el ZTNA protege los datos si una cuenta de usuario se ve comprometida. Tanto ZTNA como VPN tienen ventajas de seguridad y pueden usarse conjuntamente para crear un plan de seguridad completo que limite los riesgos cibernéticos.
Para ayudar con la recuperación de desastres y la promoción de una mejor seguridad ZTNA, Pure Storage tiene varias soluciones:
- Instantáneas de SafeMode™: Protéjase del ransomware con copias instantáneas de datos para la recuperación de datos después de un incidente.
- Arquitectura Evergreen: Actualice su infraestructura y manténgala segura sin disrupciones
- ActiveDR™: Recuperación de desastres activa y constante
- ActiveCluster™: Replicación síncrona en todo su entorno para una conmutación por error rápida
Master Data Security
Learn more about data protection solutions from Pure Storage.
