Què és ZTNA (Zero Trust Network Access)?
ZTNA és la implementació pràctica del model Zero Trust per a l'accés a aplicacions i recursos: en lloc de concedir accés a una xarxa sencera, autoritza connexions individuals a recursos concrets basant-se en identitat, dispositiu i context. És el substitut natural de la VPN tradicional per a empreses que volen reduir la seva superfície d'atac.
Com funciona ZTNA pas a pas
Un broker ZTNA actua com a intermediari entre l'usuari i els recursos interns. El flux típic és:
- L'usuari s'autentica amb una clau de xifratge única lligada al seu dispositiu.
- El broker avalua la postura de l'equip (pegats, antivirus, xifratge de disc, sistema actualitzat).
- Es comproven les polítiques associades a aquesta identitat: a quins recursos pot accedir, en quins horaris i des de quines ubicacions.
- Si tot encaixa, s'obre una connexió xifrada extrem a extrem només a aquell recurs. La xarxa interna mai s'exposa.
- Cada flux queda registrat per a monitorització i auditoria.
Components d'una arquitectura ZTNA
- Identity Provider (IdP): valida qui és l'usuari. ConnectaSec fa servir autenticació per clau de xifratge única, sense contrasenyes ni SMS.
- Trust Broker: motor que avalua identitat, dispositiu i context i decideix si autoritzar.
- Connector / Gateway: agent desplegat al costat dels recursos que obre connexions sortints cap al broker, evitant ports oberts.
- Policy Engine: regles declaratives per usuari, grup, aplicació, hora i geografia.
- Telemetria: registres de cada connexió, clau per al compliment d'ENS, ISO 27001 o NIS2.
ZTNA vs VPN: diferències clau
- VPN: obre un túnel a tota la xarxa. Una credencial robada dóna accés complet.
- ZTNA: accés per recurs. Una credencial compromesa només exposa el que aquesta identitat podia veure.
- VPN: requereix ports oberts al firewall, escanejables des d'Internet.
- ZTNA: connexió sortint des de la xarxa interna. La infraestructura roman invisible.
- VPN: difícil de segmentar per usuari i aplicació.
- ZTNA: micro-segmentació nativa, gestionada des d'un panell central.
Casos d'ús típics
ZTNA encaixa en qualsevol escenari on abans hauries obert un port o desplegat una VPN:
- Teletreball segur per a plantilles distribuïdes.
- Accés de proveïdors externs amb permisos limitats en el temps.
- Connexió entre seus sense desplegar túnels site-to-site.
- Substitució de jump hosts, bastions i RDP/SSH exposats.
- Accés a aplicacions SaaS privades o entorns cloud híbrids.
- Aïllament de servidors crítics (ERP, bases de dades, sistemes industrials).
Beneficis per a l'empresa
- Menor superfície d'atac: zero ports oberts, zero infraestructura visible des d'Internet.
- Compliment més senzill: traçabilitat per usuari i recurs, alineada amb ENS, NIS2 i ISO 27001.
- Productivitat: l'usuari es connecta una sola vegada i accedeix a tot el que té autoritzat, sense clients VPN complicats.
- Cost predictible: model per dispositiu i gateway, sense sobreenginyeria.
- Escalabilitat: afegir un nou equip o seu és un canvi de política, no un projecte de xarxa.
Com implementar ZTNA en una empresa
- Inventariar usuaris, dispositius i recursos que requereixen accés remot.
- Definir polítiques: qui accedeix a què, des d'on i amb quina postura mínima.
- Desplegar el gateway a cada seu o origen de recursos. A ConnectaSec es fa en minuts.
- Provisionar els dispositius amb la clau de xifratge única.
- Apagar progressivament la VPN i els ports exposats.
- Monitoritzar fluxos i ajustar polítiques amb la informació real d'ús.
Preguntes freqüents sobre ZTNA
ZTNA substitueix completament la VPN?
Sí, a la majoria d'empreses. ZTNA cobreix els mateixos casos d'accés remot i afegeix segmentació per recurs. La VPN només té sentit en escenaris molt específics de xarxa plana.
Cal maquinari específic?
No. ConnectaSec ZTNA és 100% programari. El gateway es desplega com a màquina virtual o appliance lleuger segons la seu.
Funciona amb aplicacions on-premise antigues?
Sí. ZTNA és agnòstic al protocol: HTTP, RDP, SSH, SMB, bases de dades, ERPs, sistemes industrials… qualsevol TCP/UDP.
On s'allotgen les dades?
Tota la infraestructura de ConnectaSec és a Barcelona, amb residència de dades a la UE.
ConnectaSec y ZTNA
- Arquitectura ZTNA de ConnectaSec
- ZTNA vs VPN tradicional
- Accés remot segur amb Zero Trust
- Seguretat Zero Trust end-to-end
- Control d'accessos per identitat i dispositiu
- Monitorització de fluxos i alertes