Llevando cero confianza al acceso remoto seguro



La demanda de acceso remoto seguro se ha disparado durante la pandemia. Aquí Omdia perfila alternativas más seguras a la tecnología de red privada digital (VPN).

La pandemia de coronavirus ha puesto la tecnología de acceso remoto seguro en el centro de atención como nunca antes. En 2020, el acrónimo de la FMH quedó grabado en la conciencia de innumerables organizaciones, ya que el private de sus oficinas se vio obligado a abandonar repentinamente y, a menudo durante períodos prolongados, a trabajar desde las oficinas en casa (es decir, dormitorios, salas de estar o cocinas) en todo el mundo.

Por supuesto, la tendencia de los trabajadores del conocimiento a «trabajar desde cualquier lugar» había comenzado mucho antes de eso: en general, se acepta que 2005 será el año en el que la cantidad de computadoras portátiles vendidas superó por primera vez a la de computadoras de escritorio como issue de forma principal para informática. De hecho, desde el cambio de milenio, la tecnología para habilitar al llamado «guerrero de la carretera» ha sido un elemento básico de los proveedores de hardware y software program, así como de varios tipos de servicios de conectividad y seguridad.

Sin embargo, fue el COVID-19 lo que llevó literalmente a millones de oficinistas a trabajar desde casa en sucesivas oleadas de bloqueos regionales y nacionales en todo el mundo, consagrando a la FMH como una «nueva normalidad», potencialmente incluso a largo plazo.

A su vez, esto ha provocado que los equipos tecnológicos corporativos reconsideren los sistemas subyacentes en los que confían para ofrecer un acceso remoto seguro.

Las VPN son la gran bestia en el acceso remoto seguro

Por el momento, la mayor parte de estas conexiones seguras son proporcionadas por tecnología y servicios de red privada digital (VPN), que ya constituían un mercado estimado en $ 25 mil millones en 2019, aunque los números varían, dependiendo de si considera solo las VPN proporcionadas por el cliente. o también los entregados por proveedores de servicios. De cualquier manera, por supuesto, habrá visto un gran aumento en la demanda el año pasado. Sin embargo, a medida que el acceso remoto seguro se ha convertido en un requisito casi common y las infraestructuras de aplicaciones corporativas migran cada vez más a la nube, han surgido enfoques más nuevos que son más seguros y más eficientes.

Omdia se refiere a estos enfoques con el término common de tecnologías Zero Believe in Obtain (ZTA). Otra conocida firma de investigación utiliza el término Zero Belief Community Access (ZTNA), y aunque nuestro ilustre competidor suele ser bastante preciso al bautizar la mayoría de las áreas de tecnología nuevas y emergentes, Omdia cree que ZTNA es inexacto: ZTA se trata de otorgar acceso a aplicaciones, independientemente de la red a través de la cual viajarán los datos, por lo que la «N» es, en opinión de Omdia, superflua.

El motivo del epíteto de Confianza cero aquí es que estos nuevos enfoques encarnan esa postura filosófica de la seguridad, en el sentido de que otorgan derechos de acceso específicos, es decir, los mínimos requeridos para que un usuario realice una tarea específica, en lugar de un acceso standard a toda la organización. infraestructura, como suele ocurrir con las VPN.

ZTA también evita la restricción arquitectónica de las VPN proporcionadas por el cliente, ya que no requiere tráfico de los dispositivos del usuario remaining para atravesar un concentrador en el centro de datos de una empresa, incluso cuando ese usuario está accediendo a una aplicación basada en la nube (una deficiencia que a menudo se menciona como «trombón» o «horquilla»).

Perímetro definido por computer software (SDP)

En términos generales, las plataformas ZTA se dividen en uno de dos grupos, con una diferencia arquitectónica elementary entre los dos.

Primero están aquellos que adoptan la arquitectura de perímetro definido por computer software (SDP), la especificación técnica que proviene de la Cloud Protection Alliance (CSA). SDP inserta un controlador en la ruta de management entre los usuarios finales y las aplicaciones a las que desean acceder, pero no en la ruta de datos. El controlador recibe una solicitud de acceso y, si se acepta, notifica a una puerta de enlace SDP ubicada en el plano de datos, frente a la aplicación, que debe configurar túneles cifrados tanto para el dispositivo del usuario ultimate como para la aplicación. Luego pasa al modo de transferencia, de modo que no se debe agregar latencia a la comunicación.

Proxy con reconocimiento de identidad (IAP)

El segundo grupo se denomina plataformas Identity-Conscious Proxy (IAP). Con IAP, el proxy se encuentra tanto en el command como en las rutas de datos, donde gestiona las solicitudes de acceso y luego configura los túneles cifrados entre el usuario ultimate y la aplicación.

Al insertar un «salto en el cable» adicional en el plano de datos, este enfoque tiene el potencial de agregar latencia. Por esta razón, la mayoría de los proveedores que ofrecen IAP operan sus propias redes, lo que les permite mitigar la latencia y otras consideraciones de rendimiento con técnicas como la selección de rutas óptimas. Ejemplos de proveedores de IAP son:

  • Akamai
  • Cloudflare
  • Perímetro81
  • PortSys
  • Proofpoint
  • Zscaler

PortSys es la excepción aquí, ya que adopta una arquitectura IAP pero no opera su propia pink, lo que deja a sus clientes libres para implementar su producto Overall Accessibility Manage en la infraestructura de purple que prefieran. El proveedor dice que diseñó su plataforma para evitar agregar latencia, en parte al eliminar la sobrecarga de muchos de los productos de sus competidores.

Si hay algún desafío con la latencia, los clientes pueden abordarlo agregando memoria o núcleos de CPU al TAC para una instancia particular person, o expandiendo una matriz, o matrices, para desarrollar la capacidad y el rendimiento a cualquier nivel que la organización necesite, sin incurrir en gastos. cualquier costo adicional de licencia para TAC.

Por el contrario, SDP generalmente se ofrece como application para que una empresa lo implemente y opere, es decir, no hay obligación de que sea un servicio. Los proveedores de SDP incluyen:

Okta, Pulse Protected (ahora parte de Ivanti) y Verizon también usan una arquitectura SDP, pero la ofrecen solo como un servicio.

Al considerar una solución ZTA, las empresas deben ser conscientes de esta distinción entre IAP y SDP. Si una organización prefiere operar su propia infraestructura y tiene los medios para hacerlo, vale la pena considerar el SDP.

Si, por otro lado, una empresa está más inclinada a emplear un servicio de conectividad remota, IAP parecería el camino lógico a seguir. Eso, por supuesto, significa que el tráfico atravesará la red del proveedor de IAP en lugar de una de su propia elección, por lo que es necesario pensar en acuerdos de nivel de servicio en las conexiones, de la misma manera que lo haría con una WAN administrada o un proveedor de Internet.

Y, por supuesto, recuerde las excepciones: los proveedores como Okta, Pulse y Verizon ofrecen SDP como servicio, mientras que PortSys ofrece IAP como computer software para que el cliente lo implemente donde quiera.

Rik es analista principal del equipo de tecnología y seguridad de TI de Omdia, y se especializa en tendencias de tecnología de ciberseguridad, seguridad de TI, cumplimiento y grabación de llamadas. Proporciona análisis e información sobre la evolución del mercado y ayuda a los usuarios finales a determinar qué tipo de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original