seguridad-ti-vpn-ztna-sdpDebido al cambio de paradigma que la COVID-19 ha provocado en la forma de trabajar en TI, los profesionales y administradores de comunicaciones y TI se han visto forzados a implementar o mejorar los mecanismos necesarios para garantizar la seguridad en los entornos corporativos manteniendo la disponibilidad para los usuarios que trabajen desde casa o desde cualquier otro lugar.

Para ello, existen diversos mecanismos que nos pueden ayudar a conseguirlo. Algunos nuevos, otros de sobra conocidos y otros que combinan tecnologías nuevas con conceptos antiguos: VPN, ZTNA y SDP.

VPN (Virtual Private Network)

Las VPN permiten a usuarios ubicados en una red, acceder a otra red, o a recursos de red diferentes y separados geográficamente por un entorno no controlado (habitualmente, Internet). Estos mecanismos son los tradicionales IPsec, SSL o el nuevo WireGuard.

Todos ellos autentican usuarios y dispositivos y garantizan el acceso a los recursos de red remotos desde cualquier ubicación. Estos mecanismos utilizan comunicaciones cifradas, y aunque el objetivo es proporcionar acceso a los usuarios remotos, también es válido para usuarios locales.

Una vez el usuario ha sido validado en el gateway de VPN, este le proporciona acceso a toda la red remota ubicada detrás.

ZTNA (Zero Trust Network Access)

ZTNA es un concepto que parte de la base de que todos los  usuarios y dispositivos son inseguros (ya sean internos o externos) y no tienen acceso a los recursos. Con ZTNA un controller valida a un usuario y  dispositivo e informa a un gateway de que tienen permiso para acceder a un recurso, que ya no es de red, sino de aplicación.

El acceso queda confinado a la aplicación a la que se solicitó, y si se requiere acceder a varias aplicaciones, aunque estén en la misma red, se podrían requerir autenticaciones diferentes. Además, la validación de la autenticación es continua, y si en un momento dado la validación no se puede mantener, el gateway cierra el acceso al recurso.

En este esquema, los recursos están ubicados detrás de los gateways, pero estos no validan usuarios, sino que los usuarios externos solo ven al controller. Dado que los recursos están ocultos, son más difíciles de localizar y de atacar por un posible intruso.

SDP (Software Defined Perimeter)

SDP es un concepto que puede englobar los dos anteriores. SDP son mecanismos que nos permitan desplegar uno o varios entornos de seguridad que se pueden comportar como un perímetro tradicional con VPN o como un entorno de tipo ZTNA, definiendo el modo en que cada usuario accede a cada tipo de recurso.

Además, permite definir cada acceso de forma sencilla sin necesidad de conocer en detalle cada elemento, mecanismo o tecnología configurada proveyendo de una capa de abstracción entre el administrador y los elementos de red con un modelo de datos fácilmente asimilable por los administradores de TI.

Para conseguir ese grado de sencillez, uno de los objetivos es conseguir que, tanto la configuración como el consumo de los recursos se pueda hacer simplemente desde un navegador. Esto evita instalar software adicional y también permite realizar dichas tareas desde cualquier ubicación y tipo de dispositivo (BYOD), pero manteniendo siempre los mismos niveles de seguridad y disponibilidad.

Implementación, despliegue y uso

Independientemente del mecanismo escogido, en estos entornos existirán siempre varios factores que deben tenerse en cuenta, y que no podemos perder de vista si queremos conseguir nuestros objetivos:

  • Seguridad de la información: es necesario cifrar las comunicaciones extremo a extremo.
  • Disponibilidad de la información: es crucial garantizar que los usuarios tengan acceso a los datos.
  • Usabilidad: incrementando la sencillez de manejo para los usuarios, se disminuye la carga de trabajo de los responsables de TI a la hora de mantener los dos primeros puntos a lo largo del tiempo.
  • Independencia de la ubicación de los usuarios: y si es posible, de los administradores.

Nuestro objetivo como profesionales de las comunicaciones es llevar a nuestros clientes las herramientas y mecanismos necesarios para proporcionar estos elementos con tecnologías innovadoras y adaptadas a las necesidades actuales de nuestros clientes.


Sobre el autor

Roberto Lopez Gil
Roberto Lopez Gil
Ingeniero de redes y especialista en seguridad. Responsable técnico de Ecosistemas en Teldat

Comparte este post


Nuestras Soluciones Relevantes



| Etiquetas: