Mesa Redonda. Los retos del ZTNA
- Vídeos
Zero Trust Network Access es una de las piezas fundamentales de la arquitectura SASE, que se ha convertido en el estándar hacia el que prácticamente todas las compañías quieren dirigirse, dado que es el más completo para la nueva realidad que estamos viviendo tras la pandemia del coronavirus. La implementación de toda esta arquitectura requiere de unos pasos y plantea unos retos muy concretos.
La adopción de ZTNA es simplemente el primer paso que están dando las empresas a la hora de apostar por toda una arquitectura SASE. Para hablar de qué retos plantea este nuevo modelo y cómo están las empresas abordando esa implementación hemos contado en esta Mesa Redonda IT con la participación de Sergio Martínez, Director General de Iberia de SonicWall; Javier Sánchez Salas, CISO de Haya Real Estate; Toni García, CISO de LETI Pharma; Alberto Angón, CISO de Branddocs y Joan Massanet, CISO de Maximice Events Group.
ZTNA y teletrabajo
Para Javier Sánchez Salas, uno de los principales retos al hacer una red de confianza cero es establecer la granularidad de los permisos y las aplicaciones a los que hay que dar acceso a los usuarios. “Al final pasamos de las clásicas ‘todo vale y accedes a todo’ a un sistema que se basa en un microservicio y cada usuario va a acceder solo a lo que debe desde fuera de la red corporativa. Al final es extender la red corporativa a nuestros empleados en teletrabajo y establecer esa matriz de a qué debe acceder y cómo se lo damos”. Ese es el principal reto, que muchas veces en la red interna ya está controlado, pero establecer un acceso externo es el segundo paso. En cuanto a teletrabajo: “en la situación que estamos después de la pandemia, que ya hemos normalizado el teletrabajo, yo creo que no es una desventaja, sino que para mí es una ventaja, porque ya les tienes acostumbrados a este tipo de conexión”. Los microservicios en nube o las multinubes dan esta ventaja de que dé igual dónde esté el usuario. Se establece un perímetro y tanto dentro como fuera de la empresa van a tener el mismo nivel de seguridad.
“Lo que nos está costando más es la parte previa de la identidad” señala Toni García. “No tenemos bien definido esa identidad real de quién es en un contexto que ahora es multidispositivo, que a veces ya no son 100% controlados por la compañía. Antes eran bastante más fáciles, estabas dentro de ese perímetro y ya está”. Para el CISO uno de los retos más importantes es saber identificar: “ya no digo llegar a conocer realmente la identidad independientemente del dispositivo, pero asociarla bien a ese dispositivo para ese primer acceso”. El teletrabajo realmente ha ayudado a que este paso, que hubiese costado bastante más darlo en una situación normal, porque ese concepto de consumo de microservicios deslocalizados probablemente antes no se hubiese visto como una necesidad prioritaria y ahora sí. “Realmente nos ha permitido implementar una infraestructura que va a ser más resiliente a cualquier cosa que nos pase, porque ahora ya estamos preparados prácticamente para lo que sea. Ha aportado un beneficio, más que haya sido un reto o un problema”.
Como cualquier otro tipo de cambio, para Alberto Angón una de las cosas que siempre hay que analizar es el tema de la gestión del cambio. Normalmente la gente tiene un rechazo a la gestión del cambio. “Naturalmente, con el tema del trabajo remoto, sobre todo debido a la pandemia, ese rechazo que puede tener el adoptar una nueva tecnología, en este caso ya está pasado”. En su caso están tendiendo hacia una empresa 100% cloud, por lo que necesitan ir hacia una confianza cero. “Tiene que ser lo mismo trabajar desde tu casa, desde la oficina, desde una cafetería o desde un aeropuerto o un hotel, sobre todo las personas que tienen que viajar, y que esta confianza, esta seguridad de ese trabajo desde los distintos sitios, esté”. Para el portavoz hay varias empresas y varios productos que pueden cuadrar, por lo que hay que ir analizándolos, sus pros, sus contras, el precio, las licencias, qué dependencia se podría generar... “El reto es adoptarlas, sobre todo viniendo de una cultura en la que la VPN era imprescindible para el trabajo remoto. ZTNA y SASE es un salto necesario para los tiempos en los que estamos actualmente”.
Joan Massanet indica que “el reto principal es intentar convencer a todos los CEOs de todas las empresas para que implementen la tecnología necesaria”. La granularidad es muy importante, saber qué, a quién y cómo es necesario configurar el acceso. Dado que el tipo de infraestructura que está utilizando SASE tiende más a la utilización de un solo vendor para integrar todo esto, porque es la recomendación que da Gartner, al CISO le preocupa el hecho de tener un single point of failure: “si ese vendor, todo lo que es su infraestructura, falla en algún momento, tenemos un problema”. A la hora de hablar de teletrabajo, indica que “por desgracia la pandemia a acelerado el teletrabajo, por desgracia hemos tenido que vivir una situación extrema para que todo esto se haya implementado de manera no digo correcta, pero sí rápida, y que pueda permitir a la gente teletrabajar desde casa. Ha tenido que venir algo tan grave como una pandemia para que a nosotros, de cara a la implementación de nuevas tecnologías, nos haya beneficiado”.
Sergio Martínez concuerda con el resto de ponentes y señala los puntos más importantes de lo comentado hasta el momento: “la granularidad, tener un mapa de qué es lo que tienes, qué, quién, cómo… La pieza fundamental, la identidad bien definida. Es la piedra angular, si no sabes bien quién se conecta, quién es esa persona o ese usuario, ya empiezas mal”. También hace hincapié en la gestión del cambio y subraya la importancia de convencer a los CEOs. Además, comenta que “lo del single point of failure es verdad, al final ojo con ponerte en manos de un solo proveedor”.
La adopción de la arquitectura SASE
A la hora de preguntar a los CISOs cómo están abordando la adopción de SASE, Toni García subraya que “no de manera sencilla. Lo primero era ser conscientes de qué es a lo que se tiene que acceder”. Lo primero es aplicarlo en los servicios internos y después ver cómo hacerlo con los elementos fuera del control directo de la infraestructura, que no van a ser tan fáciles de poner bajo el control de ZTNA. “La primera interacción es esta, lo que tenemos controlado, y el siguiente paso va a ser intentar abordar aquello que no es 100% gestionado, que es el principal problema que tenemos”.
“Vamos despacio porque es un cambio grande y lleva asociado un gran coste, lo que estamos haciendo es dividiéndolo en fases”, señala Alberto Angón, que añade: “ahora mismo estamos en la primera fase, que vamos a ir a por una solución modelo ZTNA y más adelante abordaremos todo lo que es la arquitectura SASE como tal. Hemos acabado una especie de pruebas de distintas soluciones que hay en el mercado y ahora estamos empezando a probarlas. Estamos haciendo una prueba de concepto, para que luego a la hora de ya implementarlo y adoptarlo en la compañía, no haya ningún susto ni ningún problema”.
Por su parte, Joan Massanet comenta que “estamos migrando todo a la nube, el primer paso es hacer esta migración. Después ir por fases”. Primero iría la parte del cloud, después se iría implementando el ZTNA, más tarde ya se pasaría a SASE. “Dentro de todo esto lo que más me preocupa es que tiene que ser algo fácil, tanto para los departamentos de IT como para la gente que lo está usando. La gestión tiene que ser fácil, el uso tiene que ser fácil”.
Javier Sánchez Salas argumenta que “vamos poco a poco. La parte de ZTNA ya estamos en una solución avanzada, que como no nos convencía lo que había en el mercado la hemos creado internamente”. Esta decisión ha sido puramente presupuestaria: “al final nos ha salido mejor hacerlo con el equipo de desarrollo que tenemos”. Ahora se encuentran en una fase de desvinculación de las VPNs clásicas para entrar a través del portal de acceso a la compañía apoyándose en ZTNA. “Yo creo que la estrategia para conseguirlo es simplificárselo al usuario, que es el que va a dar más problemas. Cuanto más simple sea para el usuario, mucho más fácil para ti, menos problemas te da. Y si encima se lo disfrazas de algo que es atractivo, que le quita más pasos de autenticación y utilizamos como doble o triple factor ya cosas que tenemos de certificados internos de las máquinas y una VPN camuflada dentro de las máquinas, pues estamos avanzados”. Lo siguiente es entrar en las siguientes fases de SASE, poco a poco y en función de la evolución de la empresa.
¿Por dónde empezar con SASE? Sergio Martínez lo tiene claro: “empezar de una forma más racional es empezar por ZTNA. También es quizás la tecnología más madura en este sentido. Es la pieza más importante”. Para el portavoz, si no se asegura la identidad de los usuarios, no es posible continuar. A partir de ahí se realiza un mapeo y se establece una granularidad de los servicios, para a partir de ahí seguir construyendo.
Próximos pasos en SASE
La siguiente acción que va a tomar Alberto Angón tras la implantación de ZTNA es la de “ir preparando una documentación para luego enviar a toda la empresa y plantear una pequeña formación de cómo sería esto. Una vez que la gente ya esté acostumbrada a trabajar con ella, luego ya es bastante transparente”. A partir de ahí los próximos pasos serán empezar a meterse más en toda la arquitectura SASE, aunque es algo que costará más tiempo. “Lo que creíamos que era más rápido, más seguro y más necesario, que queríamos tenerlo ya implementado cuanto antes, era la parte de ZTNA. Más adelante ya seguiremos con toda la arquitectura SASE que ya será un poquito más complicado”.
“Lo primero es ZTNA, ese es el primer objetivo, porque es lo primordial ahora mismo. Debemos proteger el dato y la identidad”, señala Joan Massanet. A partir de ahí, su idea es seguir implementando todo el resto de componentes de la arquitectura SASE, como el SD-WAN, el firewall as a service, CASB, Secure Web Access, etc. Evidentemente es algo que llevará mucho trabajo debido a la necesidad de planificación. “Se trata de planificar y actuar”.
Para Javier Sánchez Salas, el próximo paso es empezar a incluir las aplicaciones no corporativas con las que cuentan: “sobre todo tenemos muchas soluciones en nube que no son corporativas, que son comerciales, como los CRMs externos”. Para el portavoz, ese es el gran problema de la siguiente parte de la arquitectura SASE: lo corporativo ya está controlado, ¿y lo que no? ¿Cómo se implementa SASE en las aplicaciones que no están bajo control de la empresa, que cada vez son más atractivas para el usuario de negocio y son más demandadas? “Ese es el siguiente paso, estudiar cómo implementar esta arquitectura con estas aplicaciones o cómo controlarlas”.
Toni García hace una reflexión: “sí, tienes una parte de infraestructura para la parte de ZTNA, si ya tienes algo del modelo de SD-WAN montado, fantástico, pero los siguientes pasos van a tener que esperar”. Se trata de aumentar el nivel de madurez y control sobre la realidad de la compañía. “Cuando eso lo tengamos avanzado y amortizadas ciertas infraestructuras que hemos tenido que desplegar, ya hablaremos del firewall as a service, ya hablaremos de otras de las partes que hay que hacer, que algunas seguramente las lanzarás igual o ya las estemos lanzando. La parte de CASB más o menos ya la estás utilizando, pero en esos sitios que tienes controlados, no en los que no tienes ni idea de cómo lo vas a hacer”.
Al registrarte en este evento online, aceptas que tus datos sean compartidos con los patrocinadores y colaboradores del mismo: Evolutio|Cisco, SonicWall, Sophos, Barracuda, Palo Alto, Forcepoint, Netskope, Zscaler, Lookout, VMware, Versa Networks