Zero Trust para Empresas

Zero Trust es un modelo de seguridad basado en el principio "nunca confíes, siempre verifica". Una VPN tradicional te da acceso a toda la red corporativa una vez autenticado — si un atacante roba tus credenciales, tiene el mismo acceso que tú a todo. Zero Trust, en cambio, da acceso granular por aplicación: el usuario solo puede llegar a las aplicaciones específicas para las que tiene autorización, cada conexión se verifica individualmente, y el acceso se condiciona a la postura del dispositivo (¿tiene antivirus actualizado? ¿está parcheado? ¿es corporativo o BYOD?). Un atacante con credenciales robadas pero dispositivo no autorizado no entra.

ZTNA (Zero Trust Network Access) es la implementación técnica del modelo Zero Trust para el acceso remoto a aplicaciones. Mientras que Zero Trust es un marco conceptual amplio que abarca identidad, red, dispositivos, datos y aplicaciones, ZTNA es el componente específico que sustituye a la VPN: en lugar de dar acceso a la red, da acceso a aplicaciones concretas tras verificar usuario + dispositivo + contexto. Fortinet implementa ZTNA con FortiClient EMS como agente en el endpoint + FortiGate como broker de acceso. No necesitas rehacer toda la red.

Sí, y es lo que recomendamos. La mayoría de empresas migran de forma gradual: (1) primero activas ZTNA en FortiGate + FortiClient para las aplicaciones críticas (ERP, CRM, apps internas); (2) los usuarios siguen usando VPN para lo demás mientras se migra app por app; (3) a medida que más aplicaciones están detrás de ZTNA, menos gente usa la VPN; (4) finalmente apagas la VPN o la dejas como fallback. La transición típica de PYME es de 2-4 meses; multinacional, 6-12 meses. Nadie hace ZTNA de un día para otro.

El stack mínimo: (1) FortiGate con FortiOS 7.0+ (ya lo tienes si es un equipo reciente) — actúa como broker de conexión ZTNA; (2) FortiClient con licencia EMS (Endpoint Management Server) — agente en los endpoints con telemetría de postura; (3) FortiAuthenticator opcional pero muy recomendado — autenticación centralizada con MFA y federación (SAML, Kerberos). Para entornos más grandes se añade FortiToken para MFA hardware y FortiAnalyzer para correlación de eventos de acceso. El licenciamiento EMS se hace por endpoint conectado.

Sí. Una ventaja clave de ZTNA frente a IdP puros tipo Okta es que funciona con cualquier aplicación TCP, independientemente del protocolo: web, RDP, SSH, SMB, client-server propietarios, bases de datos. FortiGate ve la aplicación como un servicio detrás del broker ZTNA y controla el acceso a nivel de conexión, sin exigir que la aplicación soporte modernos protocolos de autenticación. Esto es crítico para entornos industriales, sanitarios y cualquiera con mucho legacy.

ZTNA es especialmente potente para BYOD. Defines dos tipos de dispositivo: (a) corporativo gestionado (tiene FortiClient + MDM) → acceso completo a las apps permitidas; (b) personal BYOD (sin FortiClient) → acceso limitado solo a aplicaciones web no sensibles, típicamente vía un portal web con MFA, y sin tocar la red interna. La misma identidad del usuario, distinta postura del dispositivo, distinto nivel de acceso. Los contratistas y partners se gestionan igual: acceso quirúrgico solo a lo que necesitan, durante el tiempo que lo necesitan.

Para una PYME de 30 personas con un FortiGate ya existente (ej. 60F con FortiOS 7.2+), la licencia EMS para 30 endpoints ronda los 1.200-1.800€ al año. Si hay que añadir FortiAuthenticator VM, son otros ~800€. La implantación profesional (definición de políticas, despliegue del agente, pruebas) la cotizamos según complejidad, típicamente 1.500-3.000€ de proyecto. Total arranque: ~4.000-6.000€. El payback viene de dejar de pagar licencias de VPN tradicional (Cisco AnyConnect, FortiClient VPN-only) y de reducir drásticamente la superficie de ataque lateral.