Las VPN pueden complementar SASE
La pandemia ha acelerado el desarrollo de mejores formas de servir y proteger a los trabajadores remotos, lo que hace que sea un buen momento para reexaminar las VPNs.
Recientemente, las VPN han recibido mejoras técnicas con la adición de opciones de protocolo que mejoran la funcionalidad mucho más allá de donde estaban cuando se inventaron por primera vez. Al mismo tiempo, las nuevas arquitecturas de seguridad Zero Trust Network Access (ZTNA), Secure Access Service Edge (SASE) y Security Service Edge (SSE) están incursionando en lo que había sido el dominio de las VPN de acceso remoto.
VPN vs ZNTA
La tesis principal de ZTNA es que debe autenticar a todos los usuarios y dispositivos que deseen acceder a la red. En lugar de otorgar amplias franjas de acceso privilegiado, es tacaño con lo que otorga, cuándo y a quién. Esto se debe a que Zero Trust asume que las amenazas pueden originarse tanto dentro como fuera de la red corporativa. Si bien algunas empresas han abandonado por completo las VPN IPsec por redes más completas basadas en ZTNA, aún necesitan otros tipos de protección, como encriptar los teléfonos inteligentes de los empleados para que no sean rastreados y pirateados cuando viajan.
Cloudflare tiene una buena explicación de las diferencias entre ZTNA y VPN, centrándose en tres características:
- Capas OSI: las VPN IPsec operan en la capa 3, la capa de red, mientras que ZTNA, y por extensión SSE y SASE, opera principalmente en las capas 4 a 7 a través de puertas de enlace y utilizando protocolos web como TLS. Esto significa que ZTNA ofrece una protección más completa, especialmente cuando se trata de proteger aplicaciones y dispositivos específicos. Pero la protección de capa 3 es útil para bloquear movimientos de malware más amplios y segmentar su red para clases particulares de usuarios.
- Hardware y software en las instalaciones: la mayoría de las VPN corporativas requieren sus propios servidores en las instalaciones a los que se conectan los puntos finales a través del software del cliente en cada dispositivo de punto final. Eso significa que el servidor puede ser un único punto de falla y, por lo general, significa que el tráfico hacia y desde los recursos basados en la nube debe pasar por el centro de datos corporativo que alberga el servidor, lo que agrega latencia. ZNTA tiene una huella más liviana y generalmente se implementa con recursos basados en la nube y puede operar con o sin agentes de software de punto final específicos. Cuando emplean agentes, pueden aumentar la carga de CPU del punto final.
- Control granular: la mayoría de las VPN están orientadas a asegurar una red completa al proporcionar un túnel protegido a través del cual las máquinas remotas pueden acceder a la red. Eso suena bien en teoría, pero es malo en la práctica porque un solo punto final infectado que obtiene acceso puede servir como punto de partida para un ataque de malware en toda la red. ZTNA puede ser más preciso al restringir tanto el acceso a la red como el acceso a las aplicaciones y, por lo tanto, puede aplicar políticas detalladas que permitan el acceso de un usuario específico en un dispositivo específico en un momento específico para una aplicación específica. Esta seguridad adaptable y más flexible es un gran beneficio cuando se trata de dispositivos de tipo BYOD no administrados o dispositivos IoT que no tienen ningún software de cliente para protegerlos. ZTNA también se puede utilizar como una forma de unificar varias herramientas de gestión de seguridad. Por ejemplo, Prisma Access de Palo Alto Networks utiliza ZTNA para combinar sus firewalls, agentes de seguridad de acceso a la nube y herramientas SD-WAN.
A pesar de estas diferencias, hay situaciones en las que las VPN y ZTNA pueden coexistir. Por ejemplo, se puede usar una VPN cuando se conecta una oficina remota o cuando los usuarios necesitan conectarse a servidores de archivos locales. Las VPN merecen una mirada más cercana en este momento por dos razones. En primer lugar, las VPN y ZTNA pueden complementarse entre sí y proporcionar un entorno de seguridad más completo, especialmente cuando una gran cantidad de trabajadores permanecen en ubicaciones remotas.
Pero lo que es más importante, el entorno del protocolo VPN ha mejorado mucho en los últimos 15 o 20 años. IPsec ha sido reemplazado en gran parte por la versión 2 de Internet Key Exchange (IKEv2), un protocolo de tunelización compatible con Windows, macOS e iOS. También incluye Network Address Transversal (NAT) que proporciona reconexiones de túnel más rápidas para dispositivos móviles a medida que se mueven, utiliza AES y Blowfish para un mejor cifrado y autenticación basada en certificados para evitar ataques de intermediarios. IKEv2 también es compatible con muchas VPN empresariales, como SSL AnyConnect de Cisco y los productos VPN de Juniper.
Pero también hay dos protocolos VPN recientes, Wireguard y OpenVPN. Ambos tienen algunos otros servicios que son en parte de código abierto, incluida una red de servidores, clientes finales y los propios protocolos.
OpenVPN
El proyecto OpenVPN ha sido adoptado por proveedores de VPN para consumidores, incluidos Windscribe, Hotspot Shield, NordVPN y ExpressVPN, y es compatible con clientes de Windows, MacOS, iOS, Android y Linux. Eso tiene algunos beneficios indirectos para los usuarios empresariales, porque al ser de código abierto, hay más ojos en el código y sus diversas implementaciones.
El proyecto ha desarrollado lo que llama OpenVPN Cloud, que evita la necesidad de un servidor VPN en el sitio porque puede conectarse a él como un servicio administrado. Un nivel gratuito le permite establecer tres conexiones simultáneas, y los planes mensuales comienzan en $7.50 por conexión de punto final por mes para al menos 10 conexiones. Eso se reduce a unos pocos dólares al mes por más de 50 conexiones. El software OpenVPN Server también está disponible para configuraciones de alojamiento propio a precios similares. Además de su VPN, el proyecto también ofrece CyberShield, un servicio que encripta el tráfico de DNS, lo cual es útil para prevenir ataques DoS y de intermediarios.
OpenVPN se ejecuta en puertos TCP y UDP, lo que aumenta su flexibilidad. Esto significa que las conexiones a través de OpenVPN pueden ser más resistentes cuando los actores patrocinados por el estado intentan bloquear puertos de acceso remoto conocidos. Un problema es que la mayoría de los servidores locales de OpenVPN están en el hemisferio norte, por lo que los usuarios que se conectan desde otras ubicaciones experimentarán latencias más prolongadas. Los proveedores de nivel de consumidor como ExpressVPN y NordVPN tienen huellas globales más grandes.
WireGuard
WireGuard también es un proyecto de código abierto y, al igual que IKEv2, está diseñado para reconexiones rápidas, lo que mejora la confiabilidad. Al igual que OpenVPN, viene con una constelación completa de servicios, incluidos clientes de Windows, MacOS, iOS, Android y Linux, y cuenta con el respaldo de proveedores de VPN de nivel de consumidor, incluidos Mullvad, ProtonVPN, Surfshark, NordVPN y Private Internet Access. Sus defensores afirman que debido a su arquitectura ligera y sencilla, puede superar a otros protocolos VPN y puede implementarse fácilmente en colecciones de contenedores. Es gratuito y se ejecuta en cualquier puerto UDP. Sus autores han publicado instrucciones muy explícitas sobre sus limitaciones de seguridad que incluyen la falta de ofuscación del tráfico y el hecho de que el protocolo aún es un trabajo en progreso.
Con WireGuard u OpenVPN, las empresas tienen más poder y flexibilidad para evaluar su colección de protocolos remotos. Puede venir por la seguridad pero quedarse por la utilidad. Por ejemplo, puede usar la nube administrada de OpenVPN para ampliar o reducir rápidamente sus necesidades de acceso remoto, lo que se acerca más a la forma en que operan las soluciones basadas en ZTNA.
OpenVPN y WireGuard en la empresa
Dado que tanto OpenVPN como WireGuard han sido adoptados por proveedores de VPN para consumidores, ¿por qué una empresa debería prestarles atención? En primer lugar, su menor sobrecarga puede reducir las latencias y mejorar la usabilidad. En segundo lugar, porque demuestran los beneficios de usar código abierto y métodos como auditorías de seguridad de terceros para validar su valor, privacidad y otras características. Los proveedores de VPN empresariales podrían adoptar estas estrategias por razones competitivas para mejorar sus propias ofertas.
¿Significa esto que las empresas deben renunciar a SSE y SASE? Para nada. Las empresas tienen todo tipo de necesidades de acceso remoto que abarcan una amplia colección de aplicaciones, requisitos de ancho de banda y dispositivos de usuario final. Las aplicaciones se ejecutan en todo tipo de infraestructura: nube privada, nube pública, contenedores y equipos locales. Una empresa típica utiliza múltiples proveedores de identidad, herramientas de autenticación y configuraciones de red. Agregue a esta combinación la capacidad de SASE y SSE para aislar sesiones de navegación o configurar agentes de seguridad de acceso a la nube para proteger aún más estos recursos.
Atrás quedaron los días en que todos los usuarios remotos se conectaban a través de un rack de servidores de puerta de enlace alojados en el centro de datos, pero los protocolos VPN más recientes también pueden complementar el audaz mundo no tan nuevo de confianza cero.
Fuente: NetworkWorld