¿Qué es el acceso a la red de Confianza cero (ZTNA)?

El acceso a red de Confianza cero (ZTNA) es importante porque se alinea con la creciente necesidad de ciberseguridad adaptable y resistente en un área de trabajo cada vez más distribuido y orientado a la digital.

Este es el motivo por el que se ha convertido en un marco crítico:

Protección contra amenazas en evolución. Los modelos de seguridad tradicionales, que conceden acceso de red amplio a los usuarios internos, no son suficientes frente a las ciberamenazas sofisticadas de hoy en día, especialmente las amenazas internas o las amenazas derivadas de credenciales en peligro. ZTNA supone que ninguna entidad es intrínsecamente de confianza, lo que limita los posibles vectores de ataque.

Compatibilidad con el trabajo remoto y los recursos basados en la nube. Con el aumento del trabajo remoto y la adopción de la nube, las empresas están cambiando de las redes locales tradicionales a las infraestructuras híbridas o totalmente basadas en la nube. ZTNA proporciona acceso seguro a los recursos desde cualquier ubicación, aplicando directivas de seguridad de forma coherente en entornos locales y en la nube.

Mitigación del movimiento lateral en ciberataques. En un escenario de infracción de seguridad, el acceso segmentado de ZTNA evita el desplazamiento lateral por parte de los atacantes, lo que limita el ámbito de los posibles daños. Dado que el acceso solo se concede según sea necesario, a los atacantes les resulta mucho más difícil moverse entre sistemas y obtener acceso a recursos críticos.

ZTNA proporciona numerosas ventajas para las empresas, entre las que se incluyen:

Seguridad mejorada. El modelo de ZTNA de verificación continua de identidades y dispositivos reduce el riesgo de acceso no autorizado y mitiga las amenazas de credenciales en peligro. Al comprobar cada intento de acceso en función de factores como la identidad, la ubicación y el estado del dispositivo, ZTNA refuerza la posición de seguridad general y minimiza el acceso no autorizado.

Control de acceso mejorado y aplicación de directivas. ZTNA permite a las organizaciones aplicar directivas de acceso granular basadas en roles. A los usuarios solo se les concede acceso a las aplicaciones o recursos que necesitan, lo que reduce las posibilidades de acceso accidental o intencionado a datos confidenciales. También simplifica el cumplimiento de protección de datos y la normativa de privacidad al garantizar que el acceso es limitado y se registra.

Superficie expuesta a ataques reducida. Dado que ZTNA no expone toda la red a ningún usuario o dispositivo, reduce significativamente la superficie expuesta a ataques. Solo los usuarios y dispositivos autorizados pueden acceder a recursos específicos y solo pueden acceder a ellos a través de conexiones seguras y cifradas, lo que reduce el riesgo de una vulneración de datos o exposición no autorizada.

Los modelos de seguridad tradicionales se basan principalmente en el concepto de una red interna de "confianza" y una red externa que "no es de confianza", protegida por firewalls y VPN. Entre las principales diferencias del acceso a red de confianza cero (ZTNA) y estos modelos tradicionales se incluyen:

Basado en perímetro frente a basado en identidad. La seguridad tradicional se basa en la protección del perímetro de red, suponiendo que los usuarios dentro de la red sean de confianza. ZTNA trata cada intento de acceso como potencialmente peligroso, independientemente de la ubicación, lo que requiere la verificación de identidad cada vez.

Confianza implícita frente a explícita. En los modelos tradicionales, una vez autenticados, los usuarios son de confianza y suelen moverse lateralmente dentro de la red con poca restricción. Sin embargo, ZTNA implementa la microsegmentación y el acceso con privilegios mínimos para limitar el movimiento lateral y reducir los riesgos asociados con las credenciales en peligro.

El control de acceso estático frente al control de acceso dinámico. Los modelos de seguridad heredados suelen tener reglas estáticas, que son menos flexibles y a menudo están obsoletas en los entornos actuales. ZTNA usa directivas dinámicas que se adaptan en función de los factores de riesgo, el comportamiento del usuario y otras indicaciones contextuales.

VPN frente al acceso directo y seguro. Los modelos de conectividad de red tradicionales suelen usar VPN para el acceso remoto, que pueden introducir latencia y son difíciles de escalar. Las soluciones de ZTNA proporcionan acceso seguro directamente a las aplicaciones sin enrutar todo el tráfico a través de una VPN, lo que mejora el rendimiento y la escalabilidad.

El acceso a red de confianza cero (ZTNA) forma parte del marco perimetral de servicio de seguridad y se usa para proteger el acceso a los recursos privados basados en principios de confianza cero. En un entorno de ZTNA, los usuarios, los dispositivos y las aplicaciones deben demostrar continuamente su agilidad antes de acceder a los recursos, independientemente de su ubicación dentro o fuera de la red. Los mecanismos operativos clave incluyen:

Administración de identidad y acceso. ZTNA comienza con una comprobación de identidad estricta. Cada usuario o dispositivo debe autenticar su identidad, a menudo a través de la autenticación multifactor (MFA), antes de obtener acceso a cualquier aplicación o recurso. Esto garantiza que solo se identifiquen y concedan acceso a los usuarios legítimos.

Microsegmentación. En lugar de depender de un solo perímetro de red, ZTNA divide la red en segmentos más pequeños y aislados. Cada segmento contiene recursos o aplicaciones específicos, lo que dificulta que los atacantes se muevan lateralmente dentro de la red si ponen en peligro un segmento.

Acceso con privilegios mínimos. A cada usuario y dispositivo solo se les concede acceso a las aplicaciones o los datos específicos necesarios para sus roles, lo que limita la exposición potencial. Este enfoque de privilegios mínimos minimiza el riesgo de vulneraciones de datos o accesos no autorizados limitando a qué puede acceder cualquier cuenta en peligro.

Acceso de nivel de aplicación. En lugar de conceder acceso amplio a nivel de red, ZTNA admite conexiones específicas de la aplicación. Esto significa que, incluso si se concede acceso a un dispositivo, solo se comunica con la aplicación o el recurso específico al que está autorizado el acceso. Reduce aún más la superficie expuesta a ataques, ya que los usuarios y dispositivos no tienen visibilidad ni acceso a toda la red.

Evaluación continua de acceso. La evaluación continua del comportamiento del usuario y del dispositivo es un componente central de ZTNA. Esto incluye la supervisión de los patrones de actividad inusuales, la posición del dispositivo (por ejemplo, si se instalan las actualizaciones de seguridad) y los cambios en la ubicación. Cuando se detectan anomalías, se puede revocar el acceso o se requerirá una autenticación adicional.

La red de confianza cero sigue evolucionando para abordar las complejidades crecientes de las ciberamenazas modernas y los entornos de trabajo remoto. Inicialmente, ZTNA introdujo los principios básicos de Confianza cero al proporcionar acceso basado en la identidad del usuario y la posición del dispositivo en lugar de las defensas perimetrales de red tradicionales. Sin embargo, a medida que las ciberamenazas han evolucionado, también ha evolucionado la necesidad de un enfoque más completo y adaptable, lo que conduce al desarrollo de avances en ZTNA, entre los que se incluyen:

Control de acceso a aplicaciones pormenorizado. ZTNA ahora proporciona un control de acceso más detallado en el nivel de aplicación, más allá del acceso basado en IP o la red simple. Garantiza que los usuarios solo tengan acceso a las aplicaciones y los recursos específicos que necesitan y, dentro de esas aplicaciones, los limita a los datos y operaciones específicos para los que están autorizados a realizar.

Evaluación de confianza continua. Por lo general, el ZTNA tradicional se basaba en una evaluación de confianza única al inicio de una sesión. ZTNA adopta ahora un modelo de confianza continua, que evalúa el comportamiento de los usuarios y los dispositivos dinámicamente a lo largo de la sesión. La supervisión continua ayuda a detectar y responder a anomalías o comportamientos de riesgo en tiempo real.

Prevención de amenazas integrada. ZTNA ahora integra funcionalidades de prevención de amenazas, como la detección de malware, la prevención de intrusiones y otras comprobaciones de seguridad, directamente en el modelo de acceso. Esta capa de seguridad proactiva ayuda a evitar que los atacantes se muevan lateralmente dentro de una red, incluso si obtienen acceso inicial.

Reconocimiento del contexto de usuario y dispositivo mejorado. ZTNA ya va más allá de la comprobación de la identidad del usuario y la posición del dispositivo, incorporando factores más contextuales, como patrones de comportamiento del usuario, historial de dispositivos y factores ambientales como la geolocalización y el tiempo de acceso. Esto ayuda a crear un perfil de riesgo más preciso para cada solicitud de acceso.

Secure access service edge (SASE) es un marco de ciberseguridad que combina servicios de red y seguridad en un modelo unificado nativo de la nube. Su objetivo es proporcionar acceso seguro a los usuarios independientemente de su ubicación mediante la integración de funciones de seguridad, como puertas de enlace web seguras, agentes de seguridad de acceso a la nube, firewall como servicio y acceso a red de confianza cero, con funcionalidades de red de área amplia. SASE ofrece una manera escalable y flexible de proteger un recurso distribuido, especialmente útil en entornos modernos donde el trabajo remoto y los entornos multinube son estándar.

ZTNA es un componente clave dentro del modelo SASE, centrado específicamente en el control de acceso basado en la arquitectura de Confianza cero. Aunque ZTNA aplica controles de acceso estrictos en el nivel de aplicación y de recursos, SASE amplía este ámbito proporcionando un modelo de red y seguridad completo. Básicamente, ZTNA es un elemento fundamental de SASE, que se centra en la administración de acceso específico, mientras que SASE incorpora ZTNA dentro de un conjunto más amplio de herramientas de seguridad para proporcionar protección unificada de un extremo a otro en toda la red.

Las soluciones de acceso a red de confianza cero (ZTNA) de Microsoft están diseñadas para proporcionar acceso seguro a las aplicaciones y los recursos, independientemente de dónde se encuentren los usuarios.


El componente principal de este enfoque es Acceso privado de Microsoft Entra, que reemplaza a las VPN tradicionales. Ayuda a proteger el acceso a todas las aplicaciones y recursos privados para los usuarios en cualquier lugar con una solución ZTNA centrada en la identidad. El acceso privado de Microsoft Entra le permite reemplazar la VPN heredada por ZTNA. Sin realizar cambios en las aplicaciones, puede ampliar las directivas de acceso condicional a la red mediante controles de acceso centrados en la identidad y habilitar el inicio de sesión único (SSO) y la autenticación multifactor (MFA) en todas las aplicaciones y recursos privados. A través de la red privada global de Microsoft, los empleados obtienen una experiencia de acceso rápida y sin problemas que equilibra la seguridad con la productividad.