Como parte de su transformación digital, muchas organizaciones están empezando a examinar cómo deben conectar a sus empleados con los datos y las máquinas. Durante mucho tiempo, la forma estándar de proporcionar conectividad era simplemente dar acceso a una red, y a todos por igual. Pero entonces la seguridad se cruzó en el camino, exigiendo un acceso limitado mediante el uso de políticas para las aplicaciones y una gestión en el perímetro de la red.
En la actualidad, los datos, las aplicaciones y las personas suelen situarse fuera de la infraestructura de red de una organización. Esto agrava el problema del acceso, ya que las empresas intentan desesperadamente despejar toda la problemática de quién necesita conectarse a qué y desde dónde. A esto se añade la necesidad de que no solo las personas, sino también las máquinas interactúen entre sí, y estos requisitos de conectividad no pueden tratarse de la misma manera. A medida que se esfuerzan por simplificar su infraestructura de conectividad, muchas organizaciones están recurriendo a un esquema basado en la confianza cero en su deseo de conectar personas y dispositivos de forma segura, sin tener que implicar tanto a la red. En su lugar, esta se convierte en una capa subyacente (y casi ignorada) sobre la que las organizaciones definen las diversas formas de conectividad con la ayuda de software.
En lugar de proporcionar a los empleados un amplio acceso a la red, un planteamiento zero trust permite a las organizaciones ofrecer un acceso seguro a través de Internet limitado a las aplicaciones o cosas concretas que los individuos necesitan.
Se pueden diferenciar dos categorías de tipos de acceso. La primera permite a los empleados acceder a la web general, así como a aplicaciones de software como servicio (SaaS), etc., directamente a través de Internet. La segunda proporciona acceso a recursos internos alojados en el centro de datos o en la nube pública, también a través de Internet. Como una red corporativa separada ya no es necesaria (o lo es mucho menos) para ambas opciones, un modelo de confianza cero no sirve únicamente para propósitos de seguridad, sino también de conectividad.
Reducir la complejidad de la infraestructura
En un intento por reducir aún más la complejidad de la red tradicional, muchas empresas empiezan a cerrar sus centros de datos propios y a trasladar sus recursos a la nube pública. La razón es que no solo es más fácil administrar las infraestructuras basadas en la nube, sino que este modelo también ofrece a las organizaciones la flexibilidad de ampliar o reducir sus arquitecturas en función de sus necesidades de negocio. Con el modelo SaaS, pagan una cuota de suscripción y el equipo informático ya no tiene que encargarse de la gestión manual de las actualizaciones. Lo mismo ocurre con el rack / stack / potencia de los centros de datos locales de las empresas: una vez que las aplicaciones se trasladan a la nube, los proveedores de servicios se encargan de la administración de todos los recursos informáticos.
Actualmente, la mayoría de las entidades siguen confiando en un gran número de dispositivos para enrutar su tráfico este-oeste a sucursales y filiales, pero este modelo pronto se quedará anticuado. El paso a infraestructuras basadas en la nube con modelos de trabajo híbridos ofrece a los empleados la libertad de trabajar desde cualquier lugar. En los escenarios de trabajo híbrido, los individuos solo necesitan un intermediario de confianza de algún tipo para conectarse a las aplicaciones que requieren, utilizando la identidad para implementar el acceso basado en políticas a nivel de aplicación. En esta visión, la red tradicional queda obsoleta.
Los futuros actores del mercado se adaptarán a esta nueva forma de conectividad mucho más fácilmente que las marcas ya establecidas. Como nunca han tenido que crear una infraestructura basada en hardware para poner en marcha su negocio, recurrirán a Internet por defecto. Si quieren seguir siendo competitivas, las empresas ya establecidas tendrán que seguir su ejemplo y alejarse de la red.
Preocupación por la seguridad en la era post dispositivos
Durante décadas, muchas organizaciones se han enfrentado a las complejidades de la seguridad y las redes como algo ineludible. La conectividad a la red ha sido de gran utilidad para los equipos de TI, pero también ha tenido algunas repercusiones muy negativas para las empresas, una de las más importantes es la capacidad que los actores de amenazas disfrutan para propagar su malware con mayor facilidad. A pesar de ello, sigue existiendo una fuerte resistencia a abandonar la conectividad vinculada a la infraestructura física.
Para que esto ocurra, debe producirse un cambio de mentalidad a nivel de la dirección, aceptando que las nuevas infraestructuras basadas en la nube conllevan formas de conectarse que no dependan de la red. Además, los responsables de la seguridad informática tendrán que asumir el principio de no tener una caja física vinculada al perímetro de la red para un uso concreto en materia de seguridad.
Los ciberdelincuentes no pueden atacar lo que no pueden ver en Internet
Hasta ahora, los equipos de sistemas y seguridad se han enfrentado por sus prioridades, y por eso una colaboración más estrecha entre ambas áreas es un buen punto de partida para superar las inquietudes sobre cómo podría plantearse la seguridad en un mundo post dispositivos y hacer que las infraestructuras evolucionen en el futuro. Pero parte de la solución pasa también porque ambos equipos comprendan mejor lo que significa utilizar la identidad para determinar el acceso y no únicamente la conectividad a la red. Zero Trust puede servir a los dos fines: seguridad y conectividad. Con una plataforma de confianza cero basada en la nube, las aplicaciones no solo resultan accesibles a los usuarios desde cualquier lugar, sino que también son invisibles para Internet y, por tanto, para los cibercriminales.
Los microtúneles de salida entre el usuario individual y el corredor de confianza, y el corredor de confianza y la aplicación en cuestión, están conectados por la plataforma de seguridad basándose en políticas y en la identidad del usuario. Esto significa que solo los usuarios autorizados y autenticados tienen acceso granular a la aplicación deseada. Gracias a este mecanismo de seguridad basado en la confianza cero, las aplicaciones no quedan expuestas a Internet y permanecen ocultas a los ojos de los atacantes. Los ciberdelincuentes no pueden atacar lo que no pueden ver en Internet.
El concepto de confianza cero no solo hace desaparecer los efectos perjudiciales de la conectividad de red ya mencionados (movimiento lateral de actores malintencionados), sino que también tiene una serie de efectos positivos adicionales. En primer lugar, permite a los usuarios trabajar desde cualquier lugar y acceder a datos y aplicaciones de forma segura, independientemente de donde estos estén alojados. Además, al permitir una ruta de acceso directa sin tener que dar rodeos a través de una red corporativa, la confianza cero puede tener un efecto positivo en la experiencia del usuario al reducir la latencia. Esto se hace más fácil cuando se conecta a Service Edges, que combinan computación y acceso local. Tanto si un empleado trabaja desde casa como desde la oficina, o alterna entre ambas, la experiencia del usuario (y el nivel de seguridad) siguen siendo los mismos.
La IA simplifica las políticas de acceso
De este modo, el único problema al que se enfrentan las organizaciones es la definición de derechos y políticas de acceso. Para saber quién puede acceder a qué dentro de una infraestructura corporativa, es necesario conocer el conjunto de aplicaciones, así como los distintos grupos de usuarios y funciones de una organización. Una empresa estándar con 10.000 usuarios podrá agrupar a su plantilla por funciones o departamentos para empezar. Y entonces comenzará la pesada tarea de hacer excepciones de lo que los individuos necesitan para acceder, basándose en necesidades funcionales cruzadas o roles específicos dentro de una organización. Sin embargo, resultará más difícil trazar el panorama de las aplicaciones que se utilizan en una organización.
En este momento interviene la IA para generar los conocimientos de negocio necesarios como base para la generación de políticas. Es la capacidad de desarrollar mapas de a qué se conectan las personas y cómo utilizan determinados programas lo que diferencia un proceso automatizado de la mera carga humana de la administración. Sobre la base de esta información, la IA puede utilizarse para generar un primer conjunto de políticas que deberán ser revisadas por humanos para acelerar el proceso de seguridad basada en la confianza cero.
Panorámica de la industria
El futuro de la conectividad será sin necesidad de redes, pero la fecha depende del sector en cuestión. Algunas empresas ya están en condiciones de prescindir del centro de datos, mientras que otras tendrán que seguir ejecutando internamente las aplicaciones básicas durante algún tiempo más, lo que significa que coexistirán modelos híbridos. Sin embargo, algo que todas las entidades compartirán será la conciencia de las ventajas de trasladar sus procesos a la nube.
Ya sea para compensar los elevados costes, la compleja administración o la falta de flexibilidad, cada vez son más las empresas que desean alejarse por completo de sus centros de datos. Las que lo han hecho ya disfrutan de la conectividad sin red y se benefician de la facilidad de conectarse de forma segura desde cualquier lugar a cualquier dispositivo.
Thomas Quinlan, Director de Solution Architecture de Zscaler
