Resumen
As data breaches become more common, organizations need a better way to protect their data. A zero trust network architecture (ZTNA) and a virtual private network (VPN) are two different solutions for user authentication and authorization.
Si bien una arquitectura de red de confianza cero (ZTNA) y una red privada virtual (VPN) ofrecen soluciones seguras para el acceso remoto a su entorno, funcionan con diferentes marcos y reglas para la autenticación y autorización del usuario. Permitir el acceso remoto a su entorno de red presenta un gran riesgo para la seguridad de sus datos, pero ZTNA y VPN proporcionan estrategias para bloquear usuarios no autorizados y el espionaje de datos. Conocer la diferencia entre las dos estrategias puede ayudarlo a determinar cuál es la adecuada para su organización.
¿Qué es ZTNA?
Una estrategia de confianza cero incorpora “nunca confíe y siempre verifique”, lo que significa que cada solicitud de datos pasa por un proceso de verificación. Cada solicitud de datos supone que la red está comprometida y que la solicitud podría provenir de una amenaza. Esto significa que, aunque un usuario ya está autenticado en la red, nunca se confía en que el usuario acceda a los datos sin que el sistema de red verifique que el usuario está autorizado para realizar la solicitud.
Por ejemplo, supongamos que un usuario es autenticado en la red usando sus credenciales. Ahora necesitan acceder a los datos mediante una aplicación comercial interna. ZTNA requiere una verificación adicional de la cuenta (p. ej., nombre de usuario y contraseña de la aplicación) para autenticarse en el software y acceder a los datos. Los administradores pueden usar soluciones de inicio de sesión único (SSO), pero estas soluciones deben integrarse con su arquitectura de red de confianza cero para la protección de datos.
¿Qué es la VPN?
Una red privada virtual (VPN) autentica a los usuarios a medida que solicitan acceso al entorno local. Por lo general, los usuarios se encuentran en una ubicación remota fuera de la oficina corporativa, pero algunas organizaciones implementan VPN para usuarios ubicados en ubicaciones de oficinas auxiliares. La VPN se integra con los servicios de autenticación de red, pero también funciona con soluciones multifactor (MFA) para una mejor seguridad.
Después de que los usuarios se autentican con el sistema VPN, pueden acceder a cualquier área de la red siempre que el usuario forme parte de un grupo autorizado. La verificación secundaria se puede integrar con VPN, incluido ZTNA. La mayor ventaja de la VPN es que es fácil de implementar y muchas soluciones funcionan directamente con Active Directory o LDAP.
Diferencias clave entre ZTNA y VPN
Si bien una VPN puede formar parte de las estrategias de ZTNA, una VPN por sí sola no sigue el marco de trabajo de ZTNA. ZTNA requiere que los administradores verifiquen siempre las cuentas de usuario antes de que puedan acceder a cualquier recurso corporativo, por lo que es una práctica mucho más segura que los marcos de seguridad más antiguos. La VPN solo autentica a los usuarios y verifica que deben tener acceso a la red corporativa, pero no se verifica después de la autenticación inicial.
En un entorno ZTNA, los usuarios solo tienen acceso a los recursos necesarios para realizar su trabajo. Este principio de estrategia de privilegios mínimos limita los riesgos si un atacante compromete una cuenta. Una VPN permite el acceso a administradores de red con acceso otorgado a un recurso o grupo de recursos, incluso si los privilegios son extensos e innecesarios para la función laboral de un usuario.
Beneficios de ZTNA sobre VPN
A medida que se producen más filtraciones de datos, las organizaciones necesitan una mejor manera de proteger sus archivos y datos. Las cuentas de usuario comprometidas que utilizan VPN dejan vulnerable todo el entorno. Con VPN, un usuario tiene acceso a todo el entorno sin validación, excepto la autenticación y autorización que se utilizan con las soluciones de VPN. Con ZTNA, una cuenta de usuario podría verse comprometida, pero la validación adicional evita que el atacante sufra daños adicionales.
Por ejemplo, un usuario puede autenticarse en la red, pero todo software que acceda a datos requiere autenticación adicional. Los usuarios deben ingresar una contraseña antes de abrir el software, y los usuarios sin su contraseña de software no podrían abrirla. Esta seguridad adicional limita la cantidad de datos divulgados cuando una cuenta de red de usuario se ve comprometida.
Casos de uso para ZTNA
Cada organización debe considerar ZTNA por seguridad, pero los entornos con usuarios remotos y datos sensibles deben usar especialmente ZTNA. Con ZTNA, los usuarios siempre deben validar el acceso antes de acceder a los datos, incluso si ya accedieron a los datos antes y se autenticaron en la red. Los usuarios deben validar su cuenta para cada solicitud de datos, que generalmente es manejada por el sistema en lugar de solicitarles a los usuarios que ingresen constantemente su contraseña.
Las aplicaciones también validan su autorización. Por ejemplo, un script que solicita datos debe autenticarse cada vez que se ejecuta. Si los atacantes comprometen el script, los datos a los que pueden acceder serían limitados. Ransomware también se detendría antes de que pudiera acceder a los datos y encriptarlos.
Casos de uso para VPN
Los usuarios remotos necesitan una forma de acceder a la red interna, y la VPN es una excelente solución. Puede integrarse con ZTNA, pero algunas pequeñas organizaciones usan solo la autenticación VPN. La VPN es excelente para un acceso simple a una aplicación o servidor. Los usuarios remotos con solicitudes para extraer datos de la red mientras trabajan pueden beneficiarse de una conexión VPN simple.
La VPN es necesaria para el acceso remoto cuando los usuarios están en una red Wi-Fi insegura. El Wi-Fi público podría verse comprometido, pero la VPN encripta los datos para que estén seguros de espiar. La VPN también protege los datos del espionaje a medida que pasan por Internet. También detiene el escondite de datos de un ataque de hombre en el medio (MITM).
Conclusiones
La seguridad para los usuarios remotos es necesaria para proteger los datos corporativos, pero ZTNA protege los datos si una cuenta de usuario se ve comprometida. Tanto ZTNA como VPN tienen beneficios de seguridad y se pueden usar juntos para crear un plan de seguridad completo que limite los riesgos cibernéticos.
Para ayudar con la recuperación ante desastres y la promoción de una mejor seguridad de ZTNA, Pure Storage tiene varias soluciones:
- Instantáneas de SafeMode™: Protéjase del ransomware con snapshots de datos para la recuperación de datos después de un incidente
- Arquitectura Evergreen: Actualice su infraestructura y manténgala segura sin interrupciones
- ActiveDR™: Recuperación ante desastres activa y siempre activa
- ActiveCluster™: Replicación sincrónica en todo su entorno para una conmutación rápida
Master Data Security
Learn more about data protection solutions from Pure Storage.
