Glosario de ciberseguridad

    Què és ZTNA (Zero Trust Network Access)?

    ZTNA és la implementació pràctica del model Zero Trust per a l'accés a aplicacions i recursos: en lloc de concedir accés a una xarxa sencera, autoritza connexions individuals a recursos concrets basant-se en identitat, dispositiu i context. És el substitut natural de la VPN tradicional per a empreses que volen reduir la seva superfície d'atac.

    Com funciona ZTNA pas a pas

    Un broker ZTNA actua com a intermediari entre l'usuari i els recursos interns. El flux típic és:

    1. L'usuari s'autentica amb una clau de xifratge única lligada al seu dispositiu.
    2. El broker avalua la postura de l'equip (pegats, antivirus, xifratge de disc, sistema actualitzat).
    3. Es comproven les polítiques associades a aquesta identitat: a quins recursos pot accedir, en quins horaris i des de quines ubicacions.
    4. Si tot encaixa, s'obre una connexió xifrada extrem a extrem només a aquell recurs. La xarxa interna mai s'exposa.
    5. Cada flux queda registrat per a monitorització i auditoria.

    Components d'una arquitectura ZTNA

    • Identity Provider (IdP): valida qui és l'usuari. ConnectaSec fa servir autenticació per clau de xifratge única, sense contrasenyes ni SMS.
    • Trust Broker: motor que avalua identitat, dispositiu i context i decideix si autoritzar.
    • Connector / Gateway: agent desplegat al costat dels recursos que obre connexions sortints cap al broker, evitant ports oberts.
    • Policy Engine: regles declaratives per usuari, grup, aplicació, hora i geografia.
    • Telemetria: registres de cada connexió, clau per al compliment d'ENS, ISO 27001 o NIS2.

    ZTNA vs VPN: diferències clau

    • VPN: obre un túnel a tota la xarxa. Una credencial robada dóna accés complet.
    • ZTNA: accés per recurs. Una credencial compromesa només exposa el que aquesta identitat podia veure.
    • VPN: requereix ports oberts al firewall, escanejables des d'Internet.
    • ZTNA: connexió sortint des de la xarxa interna. La infraestructura roman invisible.
    • VPN: difícil de segmentar per usuari i aplicació.
    • ZTNA: micro-segmentació nativa, gestionada des d'un panell central.

    Casos d'ús típics

    ZTNA encaixa en qualsevol escenari on abans hauries obert un port o desplegat una VPN:

    • Teletreball segur per a plantilles distribuïdes.
    • Accés de proveïdors externs amb permisos limitats en el temps.
    • Connexió entre seus sense desplegar túnels site-to-site.
    • Substitució de jump hosts, bastions i RDP/SSH exposats.
    • Accés a aplicacions SaaS privades o entorns cloud híbrids.
    • Aïllament de servidors crítics (ERP, bases de dades, sistemes industrials).

    Beneficis per a l'empresa

    • Menor superfície d'atac: zero ports oberts, zero infraestructura visible des d'Internet.
    • Compliment més senzill: traçabilitat per usuari i recurs, alineada amb ENS, NIS2 i ISO 27001.
    • Productivitat: l'usuari es connecta una sola vegada i accedeix a tot el que té autoritzat, sense clients VPN complicats.
    • Cost predictible: model per dispositiu i gateway, sense sobreenginyeria.
    • Escalabilitat: afegir un nou equip o seu és un canvi de política, no un projecte de xarxa.

    Com implementar ZTNA en una empresa

    1. Inventariar usuaris, dispositius i recursos que requereixen accés remot.
    2. Definir polítiques: qui accedeix a què, des d'on i amb quina postura mínima.
    3. Desplegar el gateway a cada seu o origen de recursos. A ConnectaSec es fa en minuts.
    4. Provisionar els dispositius amb la clau de xifratge única.
    5. Apagar progressivament la VPN i els ports exposats.
    6. Monitoritzar fluxos i ajustar polítiques amb la informació real d'ús.

    Preguntes freqüents sobre ZTNA

    ZTNA substitueix completament la VPN?

    Sí, a la majoria d'empreses. ZTNA cobreix els mateixos casos d'accés remot i afegeix segmentació per recurs. La VPN només té sentit en escenaris molt específics de xarxa plana.

    Cal maquinari específic?

    No. ConnectaSec ZTNA és 100% programari. El gateway es desplega com a màquina virtual o appliance lleuger segons la seu.

    Funciona amb aplicacions on-premise antigues?

    Sí. ZTNA és agnòstic al protocol: HTTP, RDP, SSH, SMB, bases de dades, ERPs, sistemes industrials… qualsevol TCP/UDP.

    On s'allotgen les dades?

    Tota la infraestructura de ConnectaSec és a Barcelona, amb residència de dades a la UE.