Abrir un único túnel VPN hacia la red corporativa antes bastaba. Hoy no. Los usuarios se conectan desde todas partes, las aplicaciones están en todas partes — en el centro de datos, en la nube, en SaaS — y un único túnel VPN da demasiado acceso a cualquiera que inicie sesión. Los contratistas necesitan acceso de corta duración a aplicaciones específicas. La mesa de ayuda debe alcanzar destinos RDP o SSH internos sin desplegar clientes. Los equipos de seguridad quieren ver quién accede a qué y revocar el acceso a nivel de aplicación, no de red.
La respuesta moderna de la industria fue Zero Trust Access. Pero ambos caminos tienen un precio. La mayoría de las plataformas ZTNA pure-play son cloud-only — su tráfico y sus decisiones de identidad se trasladan al edge de otra empresa. Los fabricantes de ADC on-prem tradicionales, en cambio, ofrecen ZTA como un módulo separado y costoso añadido sobre el balanceador de carga: su propio motor de políticas, su propia curva de aprendizaje, su propia licencia.
TR7 coloca el acceso en la plataforma que ya entrega y protege sus aplicaciones. El mismo modelo de vService, la misma consola de operador, el mismo rastro de auditoría; encima, dos modos de operación nombrados, protocolos de gateway desde el navegador y VPN basada en estándares. Sin módulo licenciado aparte, sin red de terceros en la ruta de su flujo de inicio de sesión.
Cada uno es valioso por sí solo. Tomados en conjunto, definen cómo es un acceso zero trust que no depende de la nube de otra empresa y que no aparece como una línea aparte en la factura.
La mayoría de las plataformas ZTA modernas son SaaS. Sus decisiones de identidad, su tráfico de sesión y sus registros de auditoría viven en la red de ellos. TR7 corre en su propio hardware. Los logins, los controles de posture, las sesiones y los logs permanecen donde su política de seguridad ya aplica.
Modo A — Per-Service Authentication: se adjunta login y SSO a una aplicación existente. Un servicio, un envoltorio de autenticación; el usuario inicia sesión y va directo a la aplicación. Modo B — Portal de Acceso con Marca: un portal independiente, con marca propia y su propio listener. El usuario inicia sesión una vez y ve en el launchpad cada aplicación para la que está autorizado. Cada modo tiene su propia interfaz; elija el que se ajuste al despliegue o ejecute ambos juntos.
Los equipos internos alcanzan destinos RDP, SSH y VNC directamente desde una pestaña del navegador. Sin instalación de cliente, sin túnel VPN en el endpoint, sin software nativo que mantener. Las sesiones se tunelizan y se auditan de forma centralizada; la revocación de acceso surte efecto en la siguiente solicitud.
Otras plataformas on-prem venden un módulo aparte para el acceso, otro para el balanceo, otro para el WAAP, otro para la VPN. TR7 ofrece todo en el mismo motor, en una sola consola de operador y en una sola vista de auditoría. La transición de "tenemos VPN" a "tenemos acceso zero trust" ocurre dentro del mismo producto.
IKEv2 y SSL VPN corren sobre estándares que todo sistema operativo moderno ya habla — los usuarios de iOS, Android, Windows y macOS no descargan una aplicación, solo añaden un perfil VPN. OAuth 2.0, OIDC, SAML, LDAP y RADIUS están soportados de forma nativa. Las señales de seguridad del endpoint (dispositivo conocido, posture actual, estado de cumplimiento) alimentan las decisiones de acceso de forma continua; una sesión que comienza como confiable puede reevaluarse y restringirse si cambia el contexto.
Cada capacidad indicada a continuación viene como parte de la misma plataforma que entrega y protege sus aplicaciones.
Adjunta login y SSO a un servicio HTTP existente. La aplicación permanece en su sitio; TR7 se sitúa delante y aplica autenticación, MFA y política. Un servicio, un envoltorio de autenticación; el usuario inicia sesión y pasa directo a la aplicación. Adecuado cuando cada aplicación tiene una URL estable y desea desplegar con el mínimo cambio.
Un portal independiente con su propio listener y su propia marca. Tras iniciar sesión, los usuarios ven el launchpad de cada aplicación para la que están autorizados — aplicaciones web internas, SaaS, sesiones RDP/SSH/VNC. Un portal, múltiples backends. Adecuado cuando tiene sentido operativo consolidar un único punto de entrada.
Acceso a destinos RDP, SSH y VNC internos a través del navegador. Sin cliente nativo en el endpoint, sin túnel VPN en el dispositivo. Las sesiones se tunelizan y se auditan de forma centralizada; una sola acción de revocación finaliza todas las sesiones activas.
VPN basada en estándares que corre en la misma plataforma. SSL VPN para túnel completo o dividido; IPsec IKEv2 para site-to-site o acceso remoto con cifrado fuerte. Especialmente potente en móvil: iOS y Android hablan IKEv2 de forma nativa, el usuario añade un perfil VPN en los ajustes en lugar de instalar una aplicación — sin carga de despliegue, actualización o mantenimiento. Windows y macOS funcionan igual a través de sus clientes VPN integrados. Encaja de forma natural en escenarios de Dispositivo Personal (BYOD).
Soporte nativo de OAuth 2.0, OIDC, SAML, LDAP y RADIUS. Se conecta a sus IdP existentes como Azure AD, Okta, ADFS, Google Workspace u OneLogin sin puente de protocolo.
El MFA se aplica en el borde de acceso. Cuando cambia el contexto de la solicitud — distinto país, distinto dispositivo, aplicación más sensible — se dispara la autenticación escalonada (step-up).
Una sesión que comienza como confiable no permanece confiable por defecto. El posture del endpoint, la geografía, la salud del dispositivo y las anomalías de sesión se reevalúan a lo largo de la sesión. Si cambia el contexto, el acceso puede restringirse o la sesión puede revocarse en mitad del trayecto.
En despliegues donde los usuarios están en dispositivos gestionados por la capa de seguridad de endpoint de TR7, las señales de confianza del dispositivo (dispositivo conocido, posture actual, cumplimiento) alimentan la política de acceso. Los endpoints no gestionados pasan por una inspección completa.
Las sesiones SSH que alcanzan destinos internos a través del gateway se registran a nivel de comando — cada comando escrito, cada respuesta recibida. El rastro de auditoría está listo para investigación; sin necesidad de un producto PAM aparte.
Cada aplicación tiene su propia política de acceso: identidad, posture del dispositivo, hora del día, geografía, fuerza del MFA. El usuario que alcanza el CRM no queda automáticamente autorizado en la base de datos. El movimiento lateral se limita al ámbito que cada aplicación autoriza explícitamente.
Las aplicaciones detrás de TR7 no son alcanzables directamente. Los escaneos de descubrimiento, los port sweeps y los ataques pre-autenticación ven a TR7, no a sus aplicaciones. La superficie de ataque se reduce sin cambiar el código de la aplicación.
Las políticas de acceso, los flujos de autenticación y las reglas condicionales se construyen en el mismo flow builder visual usado en el resto de la plataforma. Sin lenguaje de política propietario; sin necesidad de certificación del fabricante para cambiar una regla.
Los eventos de acceso, el tráfico de ADC, las detecciones de WAAP y las señales de DDoS se comparten en una sola vista de operador y un solo rastro de auditoría. Las exportaciones a SIEM usan la misma taxonomía que el resto de la plataforma.
Ambos modos ofrecen Zero Trust Access. La diferencia entre ellos está en el esfuerzo del operador y en la experiencia del usuario final. Pueden ejecutarse lado a lado.
Una aplicación, un envoltorio de autenticación. La aplicación conserva su URL existente; TR7 se sitúa delante y aplica autenticación, MFA, posture y política. Los usuarios aterrizan directo en la aplicación tras iniciar sesión. Adecuado cuando cada aplicación tiene una URL estable y desea desplegar con el menor cambio posible.
Un portal, múltiples backends. Un portal independiente, con marca blanca y su propio listener. Los usuarios inician sesión una vez y ven en el launchpad cada aplicación para la que están autorizados. Adecuado cuando un punto de entrada consolidado tiene sentido operativo o desea un launchpad de aplicaciones.
Los dos modos pueden ejecutarse al mismo tiempo. Algunas aplicaciones se envuelven con per-service auth, otras se acceden a través del portal. Las mismas políticas de identidad, las mismas señales de endpoint, el mismo rastro de auditoría.
Las sesiones RDP, SSH y VNC pueden ofrecerse en ambos modos — como una URL per-service envuelta o como un tile de launchpad del portal. La experiencia de navegador es la misma; solo cambia el marco operativo.
SSL VPN e IPsec VPN siguen funcionando junto a ambos modos. Resulta útil en periodos de transición: los usuarios pasan de la VPN al acceso per-application o al portal según el calendario que usted defina.
Sea cual sea el modo que elija, el objeto de configuración es un vService. Los health checks, las reglas de tráfico, la observabilidad y el modelo de ancho de banda se comportan igual. Es el mismo motor que entrega sus demás aplicaciones.
Saque a los usuarios del túnel VPN plano y páselos al acceso por aplicación — sin un cambio radical. SSL VPN sigue funcionando; los equipos migran de forma gradual a Per-Service Auth o al Portal con Marca.
Los usuarios externos obtienen acceso de corta duración y de alcance limitado a aplicaciones específicas. No se requiere dispositivo corporativo ni instalación de cliente VPN; inician sesión en el portal y solo ven aquello para lo que están autorizados.
Los equipos de operaciones alcanzan destinos RDP, SSH y VNC internos desde una pestaña del navegador. Cada sesión se tuneliza y se audita; cuando se revoca el acceso de un contratista, todas sus sesiones activas finalizan al instante.
Políticas por aplicación vinculadas a MFA, posture del dispositivo y auditoría a nivel de sesión. Los logs de comandos SSH a nivel PAM cumplen los requisitos regulatorios y de auditoría interna sin necesidad de un producto PAM aparte.
Las normas de residencia de datos prohíben que el tráfico de identidad y de sesión abandone la red. El despliegue on-prem mantiene cada decisión de autenticación, cada sesión y cada log de auditoría bajo control local.
Dos organizaciones, dos proveedores de identidad, dos catálogos de aplicaciones. El Portal de Acceso con Marca se convierte en una única puerta de entrada mientras la integración avanza — los usuarios ven un solo launchpad, incluso mientras el trabajo de identidad continúa por detrás.
Capacidades referenciadas por esta solución — las piezas técnicas que componen los controles descritos arriba.
Gestione el acceso VPN no como una excepción de red aparte, sino como parte de la política de identidad y confianza de dispositivo de AAM.
Acceso desde el navegador a sistemas RDP, VNC, SSH, Kubernetes y legacy — bóveda de credenciales, grabación y marca de agua integradas.
Tres métodos de MFA, política por servicio, atajo de dispositivo de confianza — sin nube de MFA de terceros.
Un único motor de flujo determina cada resultado de autenticación — quién, a qué, después de qué factor, en qué contexto.
La confianza ganada en el inicio de sesión no se arrastra para siempre. Cada sesión permanece bajo evaluación en cada paso.
SP SAML conforme a estándares — IdP corporativos, federación de identidad del sector público y enrutamiento por tenant; coordinado con MFA, acceso condicional y confianza del dispositivo.
Relying party OIDC conforme a estándares — código de autorización con PKCE, tokens de identidad verificados con JWKS, defensas de nonce y state, enrutamiento de IdP por tenant.
Su directorio corporativo ya existe; TR7 AAM no lo copia, se conecta a él y convierte la pertenencia a grupos en política de acceso.
Conecte cualquier fuente de identidad más allá de SAML y OIDC al mismo flujo de acceso y auditoría.
Saque el certificado de cliente del control de conexión y conviértalo en un objeto de identidad que impulsa las decisiones de tráfico.
Conecte servicios sin fusionar redes — gestione planes de IP solapados y aislamiento de tenants con un único modelo vService.
Detenga los intentos de credential stuffing, fuerza bruta y secuestro de sesión basándose en una decisión de riesgo combinada — no en una sola señal.
Tres niveles de fricción gradual — advertir, desafiar, bloquear — en IP, nombre de usuario, o ambos. CAPTCHA alojado en el servidor, sin nube externa.
Desde la generación del session ID hasta la seguridad de cookies, desde el control de bind IP+UA hasta la gestión de idle y absolute timeout, proteja la sesión bajo un solo policy graph.
El pillar del complemento ETM integrado con AAM: la postura del dispositivo se convierte en la señal viva de la decisión de acceso.
UX de login con marca por gateway, con herencia de plantilla. Una plantilla aparte para cada marca, tenant o aplicación; sin servidor web aparte.
Autenticación moderna al frente, identidad inyectada downstream como cabecera, Authorization o cookie — las aplicaciones legacy siguen siendo legacy.
Los flujos de cambio, olvido y restablecimiento en un único motor — token de un solo uso, enmascaramiento del destinatario, auditoría en cada paso.
Solicite una demo en vivo de TR7 Zero Trust Access. Recorreremos los dos modos de operación, abriremos una sesión RDP en vivo desde el navegador y le mostraremos cómo el mismo motor de políticas gestiona la SSL VPN, la autenticación per-app y el portal de acceso desde un solo lugar.