Perímetro definido por software o SDP
El perímetro definido por software (SDP) es un marco de seguridad desarrollado por la Alianza de Seguridad en la Nube (Cloud Security Alliance, CSA) que controla el acceso a los recursos en función de la identidad. El marco se basa en el modelo de "necesidad de saber" del Departamento de Defensa de los Estados Unidos: todos los puntos finales que intentan acceder a una infraestructura determinada deben ser autenticados y autorizados antes permitírseles la entrada.
Los SDP están diseñados para permitir que las empresas proporcionen acceso seguro a servicios, aplicaciones y sistemas basados en la red. A veces se dice que el enfoque de SDP crea una "nube negra" porque oculta los sistemas dentro del perímetro para que los extraños no puedan observarlos.
El software SDP está diseñado específicamente para brindar a las organizaciones medianas y grandes el modelo de seguridad perimetral necesario para aplicaciones de confianza cero y conectividad de red centrada en la carga de trabajo entre entornos locales y en la nube. Además de limitar la superficie de ataque, una solución SDP también elimina el caos de los proveedores de red al permitir la instalación en cualquier host, sin la reconfiguración de la red o el bloqueo del dispositivo.
Cómo funciona un SDP
El SDP utiliza un enfoque de ciberseguridad que mitiga los ataques basados en la red, protegiendo todos los niveles de clasificación de los activos de TI heredados y los servicios en la nube. Funciona ocultando activos de TI críticos dentro de una nube negra opaca a la que no pueden acceder personas externas. No importa si los activos están en la nube, en las instalaciones, en una DMZ (zona desmilitarizada, a veces conocida como red perimetral), en un servidor en un centro de datos o incluso en un servidor de aplicaciones.
Esencialmente, un SDP funciona como un intermediario entre aplicaciones internas y usuarios que solo pueden proporcionar acceso a los servicios si se cumplen los criterios correctos. El SDP crea una pantalla invisible para proteger contra malware, ataques cibernéticos y otras amenazas.
Usos de un SDP
Los SDP se utilizan para reducir las posibilidades de ataques exitosos basados en la red, incluidos los ataques de denegación de servicio (DoS), ataques de intermediarios, vulnerabilidades del servidor y ataques de movimiento lateral, como inyección SQL o secuencias de comandos entre sitios, conocidos como cross-site scripting (XSS).
Los SDP se implementan por muchas razones diferentes, que incluyen:
- Los SDP admiten una variedad de dispositivos. El perímetro puede autenticar computadoras portátiles y PC, así como dispositivos móviles y dispositivos de internet de las cosas (IoT), y los SDP aseguran que las conexiones no se puedan iniciar desde dispositivos no autorizados o no válidos.
- Los SDP restringen el amplio acceso a la red. Las entidades individuales no tienen acceso amplio a segmentos de red o subredes, por lo que los dispositivos solo pueden acceder a los servicios y hosts específicos que están permitidos por la política. Esto minimiza la superficie de ataque a la red, y prohíbe el escaneo de puertos y vulnerabilidades por parte de usuarios maliciosos o software malicioso.
- Los SDP respaldan una política más amplia basada en el riesgo. Los sistemas SDP toman decisiones de acceso basadas en numerosos criterios de riesgo, que incluyen inteligencia de amenazas, brotes de malware, software nuevo y más.
- Los SDP se pueden usar para conectar cualquier cosa. La tecnología de perímetro definida por software permite la conectividad solo con los recursos de TI requeridos por los empleados sin los engorrosos requisitos de administración o los costos de hardware de montaje.
- Los SDP permiten el control de servicios, aplicaciones y acceso. Los SDP son capaces de controlar qué aplicaciones y dispositivos pueden acceder a servicios específicos. Esto limita la superficie de ataque y evita que usuarios maliciosos o malware se conecten a los recursos
SDP vs. VPN
El beneficio más común que una red privada virtual (VPN) proporciona a una organización o individuo es la capacidad de proporcionar a los usuarios y a terceros acceso remoto a redes aisladas. Sin embargo, hay dos riesgos de seguridad masivos que hacen que la VPN sea un método inapropiado para proporcionar acceso remoto a redes y aplicaciones aisladas: el robo de credenciales y el acceso excesivo.
Robo de credenciales: doblemente impactante para las VPN porque las personas tienden a usar el mismo nombre de usuario y contraseña en numerosos sitios web. Debido a que es muy posible que las credenciales que alguien usa para acceder a su cuenta de redes sociales sean las mismas que su cuenta VPN de acceso remoto, el robo de credenciales es el vector de ataque de red más común y más efectivo.
Acceso excesivo: una VPN proporciona al usuario una "porción de la red" con acceso amplio, a menudo excesivo, a los recursos de la red, incluida la infraestructura DHCP, DNS, conmutadores y enrutadores. Esto no solo proporciona una gran superficie de ataque para un mal actor, sino que también brinda a los usuarios legítimos acceso a mucho más de las aplicaciones que realmente necesitan.
Se recomienda que los administradores agreguen herramientas perimetrales definidas por software a su infraestructura VPN. El objetivo es ayudar a superar los desafíos de seguridad, incluidos aquellos en implementaciones híbridas y en múltiples nubes, para reducir las posibles superficies de ataque y proteger los datos clave. Con el software de seguridad de red SDP, los administradores de red pueden implementar dinámicamente microperímetros de alta disponibilidad para entornos híbridos y multinube para aislar los servicios para el acceso de usuarios específicos.
Además de los riesgos de seguridad de VPN enumerados anteriormente, los dispositivos comprometidos son el mayor desafío de usar un teléfono móvil o tableta como dispositivo de acceso VPN. Cualquier dispositivo que acceda a una red aislada a través de VPN presenta un riesgo real de traer malware a ese entorno de red. No hay nada en el proceso de conexión VPN que evalúe el estado de un dispositivo. Si hay algún tipo de malware en un dispositivo de acceso, el software malicioso podría propagarse a través de la VPN a la red aislada más amplia, creando estragos incontables (por ejemplo, situaciones de ransomware).
Marco SDP
La tecnología de perímetro definida por software permite un perímetro seguro basado en políticas utilizadas para aislar servicios de redes no seguras. El objetivo del marco SDP de la CSA es proporcionar una red bajo demanda, dinámicamente aprovisionada, con espacio de aire, una segmentación de recursos de red que refleja un perímetro de red definido físicamente, pero opera en software en lugar de a través de un dispositivo, autenticando a los usuarios y dispositivos antes de autorizar la combinación usuario/dispositivo para conectarse de forma segura a los servicios aislados. Los usuarios y dispositivos no autorizados no pueden conectarse a los recursos protegidos.
Cuando se completa la autenticación, los dispositivos de confianza reciben una conexión única y temporal a la infraestructura de red. El marco SDP permite a las empresas optimizar las operaciones en lo que respecta a la autenticación de usuarios y la seguridad de las aplicaciones.
Modelos de implementación de SDP
Los modelos de implementación de SDP pueden caracterizarse por la forma en que estructuran las interacciones entre clientes, servidores y puertas de enlace. Los enfoques principales para implementar tecnología perimetral definida por software incluyen:
- La implementación de ‘cliente a puerta de enlace (gateway)’ coloca a los servidores detrás de un host de aceptación, que actúa como una puerta de enlace entre los servidores protegidos y los clientes –que en la terminología SDP son Hosts de Inicio. El SDP de cliente a puerta de enlace se puede implementar dentro de una red para reducir ataques de movimiento lateral como el sistema operativo (SO) y las vulnerabilidades de vulnerabilidad de aplicaciones, ataques de intermediarios y escaneo de servidores. También se puede implementar directamente en internet para separar los servidores protegidos de usuarios no autorizados, así como para mitigar los ataques.
- La implementación de ‘cliente a servidor’ es similar a la implementación de cliente a puerta de enlace, excepto que el servidor que está protegido por el SDP es el sistema que ejecuta el software Host de Aceptación, en lugar del gateway. La decisión entre la implementación de cliente a gateway y de cliente a servidor generalmente se basa en una serie de factores, incluido el análisis de las necesidades de equilibrio de carga, la elasticidad de los servidores (cuán adaptable es el servidor en la nube a los cambios en las cargas de trabajo) y la cantidad de servidores que una empresa necesita proteger detrás del SDP.
- Las implementaciones de ‘servidor a servidor’ utilizan servidores que ofrecen cualquier tipo de interfaz de programación de aplicaciones (API) a través de internet, pueden protegerse de todos los hosts no autorizados en la red, incluido un servicio de protocolo simple de acceso a objetos (SOAP), una llamada de procedimiento remoto (RPC), un servicio de transferencia de estado de representación (REST) o similar, y lo utilizan para comunicarse entre el Host de Aceptación y el Host de Inicio.
- Las implementaciones de ‘cliente a servidor a cliente’ dependen de una relación punto a punto (P2P) entre los clientes que se puede usar para aplicaciones como chat, videoconferencia, telefonía IP y aplicaciones similares. En esta implementación, el SDP ofusca las direcciones IP de los clientes que se conectan, y el servidor actúa como intermediario para ambos clientes.