¿Qué es un perímetro definido por software (SDP)?

Posted on by Rudeus Greyrat

El perímetro definido por software (SDP) es una infraestructura de red que protege los centros de datos locales y basados ​​en la nube mediante capacidades remotas. El propósito de una estrategia SDP es emplear software en lugar de hardware como base para el perímetro de la red. El SDP fue creado por Cloud Security Alliance en 2013 como una solución para redes seguras que minimizaba el peligro de violaciones de datos.

SDP proporciona acceso seguro a servicios, aplicaciones y sistemas basados ​​en red en nubes públicas y privadas, así como en las instalaciones, ya que encubre los sistemas dentro del perímetro para que otros no puedan verlos, la técnica SDP se refiere con frecuencia como la creación de una » nube negra «.

El software SDP está diseñado para proporcionar la arquitectura de seguridad perimetral requerida para aplicaciones de confianza cero y conectividad de red centrada en la carga de trabajo para medianas y grandes empresas. El borde virtual de SDP que rodea la capa de red no solo reduce la superficie de ataque, sino que también elimina el pandemónium de los proveedores al permitir la instalación en cualquier host sin reconfigurar la red ni bloquear el dispositivo.

SDN Security Model

Modelo de seguridad SDN

Necesidad de SDP:

La mayoría de las empresas dependían anteriormente de un enfoque de seguridad orientado al perímetro. Este paradigma de seguridad asume que todos los riesgos provienen del exterior de la empresa y que cualquier persona con acceso a la red interna es confiable. Este método de seguridad inspecciona todo el tráfico de datos entrantes y salientes y tiene como objetivo mantener a los atacantes fuera y los datos importantes de la empresa dentro mediante la colocación de soluciones de seguridad en el perímetro de la red. Si bien esta estrategia nunca fue completamente efectiva, el advenimiento de la computación en la nube y una fuerza laboral remota lo hicieron mucho menos. 

Hoy en día, los recursos y empleados significativos de una empresa se colocan fuera de los límites tradicionales. Como resultado, las organizaciones a menudo necesitan dar acceso a otras partes a sus redes internas para permitir que los datos confidenciales fluyan fuera del perímetro. El problema ahora es garantizar que estas transferencias de datos sean seguras y que se dirijan a los destinatarios adecuados. Este problema se puede abordar utilizando un enfoque de perímetro definido por software. Reduce drásticamente la superficie de peligro de la empresa y la exposición al riesgo cibernético al restringir el acceso a la red interna en función de la identificación del usuario.

Características de SDP:

  1. Mejor experiencia de usuario
  2. Seguridad mejorada
  3. Acceso de confianza cero
  4. Reducción del riesgo de acceso de terceros
  5. Mejor escala para el acceso remoto a la nube

Arquitectura SDP:

Hay dos componentes en una arquitectura perimetral definida por software:

  1. Anfitrión SDP
  2. Controlador SDP

Anfitrión SDP

Un SDP Host es un servidor que controla el flujo de datos entre dispositivos y aplicaciones. Los hosts SDP se dividen en dos categorías:

  1. Un host iniciador se conecta con un controlador SDP, brinda información sobre los dispositivos que intentan unirse a la red, solicita una lista de hosts aceptantes y establece una conexión TLS con esos hosts.
  2. Un Host de aceptación vincula los dispositivos autorizados a las aplicaciones que se han solicitado. Solo un controlador SDP y los hosts de inicio están conectados a este tipo de host.

Controlador SDP

Un controlador SDP utiliza un sistema de identificación para identificar dispositivos (infraestructura de clave pública, huellas dactilares, geolocalización, OpenID, Kerberos, Active Directory, etc.). También otorga acceso a los hosts aceptantes y hace cumplir las normas de acceso.

SDP Controller

Controlador SDP

Los hosts SDP pueden comunicarse entre sí según lo determine un controlador SDP. Un host SDP puede iniciar o aceptar una conexión. Para identificar a qué hosts se pueden conectar e iniciar conexiones de host SDP con un controlador SDP. Solo los mensajes y conexiones aprobados de un controlador SDP son aceptados por un host SDP que acepta. 

Las puertas de enlace se utilizan en algunas topologías SDP para funcionar como el host de aceptación entre los dos dispositivos/usuarios conectados. Todas las comunicaciones y usuarios/dispositivos se mantienen seguros a través de conexiones encriptadas, comúnmente un túnel de red privada virtual (VPN), entre controladores, hosts y puertas de enlace.

Marco SDP:

La tecnología SDP crea un perímetro seguro al aislar los servicios de las redes vulnerables mediante reglas. El SDP de la CSA cumple tres objetivos:

  1. Ofrece una red aislada, aprovisionada y bajo demanda.
  2. Divide los recursos de red en perímetros de red definidos.
  3. Antes de conectarse a un servicio aislado, autentica dispositivos y usuarios antes de aprobar la combinación dispositivo/usuario. Los dispositivos y usuarios no autorizados no pueden conectarse a servicios aislados gracias al marco SDP.

Los dispositivos de confianza reciben una conexión temporal única a la infraestructura de red después de la autenticación. Las organizaciones pueden utilizar la gestión definida por software para simplificar la seguridad de las aplicaciones y las actividades de autenticación de usuarios.

Flujo de trabajo SDP:

  1. Un host iniciador transmite un token multifactor junto con las credenciales de usuario a un controlador SDP después de recibirlo. Estas credenciales contienen información como el tipo de dispositivo, geolocalización, datos biométricos (para dispositivos móviles) y más.
  2. Un proveedor de identidad recibe el token de autenticación y las credenciales del controlador SDP. Este proveedor de servicios genera, mantiene y gestiona los datos necesarios para la identificación del usuario y del dispositivo. El proveedor devuelve los permisos de acceso al controlador SDP si la identificación es exitosa.
  3. El controlador SDP busca un Host de aceptación que pueda otorgar al usuario acceso al recurso que ha solicitado. Luego, la dirección IP de ese host se envía al host iniciador.
  4. El host de inicio se conecta al host de aceptación a través de una conexión VPN cifrada.

Casos de uso de SDP:

Utilizado como una alternativa a VPN : SDP permite a los usuarios acceder a las aplicaciones más rápido y verificar sus identidades con un inicio de sesión único, manteniéndolos felices y productivos. Los usuarios que tienen permiso para usar la aplicación son los únicos que pueden conectarse a ella. Los usuarios nunca se conectan a la red y sus direcciones IP nunca se revelan.

Acceso a varias nubes con conexión segura : tanto para los desarrolladores como para los usuarios finales, la estrategia directa a la nube ofrece una experiencia de usuario perfecta. Independientemente del tipo de aplicación, dispositivo o ubicación. SDP es muy ágil y escalable ya que está basado en software, mientras que los dispositivos no pueden crecer más allá de su capacidad restringida. SDP proporciona acceso remoto seguro en función de la «necesidad de saber» al otorgar acceso en función de reglas detalladas.

Reducción de riesgos : los administradores de TI pueden usar SDP para restringir el acceso de terceros solo a aplicaciones de permisos. Básicamente, esto evita que los usuarios se muevan lateralmente dentro de la red. Las puertas de enlace VPN ya no requieren que socios externos inicien sesión.

Prevención de acceso amplio a la red : las entidades individuales no pueden acceder a grandes subredes o segmentos de la red debido a los SDP. Como resultado, los dispositivos solo pueden conectarse a hosts y servicios especificados que estén permitidos por la política. Esto minimiza la superficie de ataque de la red. También evita que el software malicioso y las personas busquen vulnerabilidades.

Los SDP pueden conectar cualquier cosa : la seguridad definida por software permite que los empleados del personal se conecten a los recursos de TI que necesitan. También elimina la necesidad de un costoso hardware de montaje y una administración que requiere mucho tiempo.

SDP frente a VPN:

Los SDP también pueden ser menos difíciles de administrar que las VPN , especialmente si los usuarios internos requieren muchos niveles de acceso. Los SDP pueden utilizar las VPN para proporcionar conexiones de red seguras entre los dispositivos de los usuarios y los servidores que necesitan visitar. Los SDP, por otro lado, no son lo mismo que las VPN. Los SDP son más seguros en ciertos aspectos que las VPN, ya que no comparten conexiones de red y permiten que todos los usuarios conectados accedan a la red completa. Los SDP pueden ser más fáciles de administrar que las VPN, especialmente si los usuarios internos requieren muchos niveles de acceso. Las VPN se utilizan para administrar varios niveles de acceso a la red y requieren numerosas implementaciones de VPN.

La granularidad de los SDP, por otro lado, es mucho mayor. No existe una VPN a la que todos se conecten utilizando los mismos recursos. En cambio, cada usuario tiene su propia conexión de red. Es casi como si todos tuvieran su propia red privada virtual (VPN) personal. Además, los SDP comprueban tanto los dispositivos como los usuarios, lo que dificulta considerablemente que un atacante obtenga acceso al sistema utilizando únicamente credenciales robadas.

Ventajas de SDP:

  1. Un controlador SDP debe identificar cualquier dispositivo o usuario antes de que se pueda confiar en él. Los usuarios y los recursos tienen una relación dinámica y encriptada.
  2. Los usuarios solo se conectan a un recurso mediante un controlador SDP si tienen los permisos de acceso adecuados. El acceso puede estar restringido para una determinada posición, un grupo de usuarios o un solo usuario.
  3. Cualquier información, incluidas las direcciones de los servidores DNS, puede ocultarse a los extraños mediante un SDP. Los usuarios que han sido identificados solo pueden conectarse a los recursos a los que se les ha otorgado acceso; todos los demás recursos están ocultos para ellos.
  4. Un SDP se compone de componentes que se basan en estándares de la industria, como TLS mutuo y VPN. Permite una integración simple con otros sistemas de seguridad comunes.
  5. Las transferencias de datos se cifran con TLS , SAML o X.509.
  6. Un SDP ofusca los recursos comerciales e inhibe el acceso amplio a la red. A los hackers les resulta difícil atacar algo que no entienden.

Desventajas de SDP:

  1. A pesar de la compatibilidad con una amplia gama de dispositivos actuales, puede ser difícil conectar enrutadores obsoletos o dispositivos específicos del proveedor al software SDP.
  2. Un SDP ofusca los recursos comerciales e inhibe el acceso amplio a la red. A los hackers les resulta difícil atacar algo que no entienden.
  3. Los controladores desempeñan una función crítica en un diseño SDP porque conectan dispositivos a recursos protegidos. Es difícil conectarse a los recursos si los controladores no están disponibles.
  4. Los SDP no son lo mismo que las medidas de seguridad de red típicas. Debido a que deberá modificar todos los dispositivos y aplicaciones, la implementación de una solución SDP podría generar interrupciones en la red y la infraestructura en las grandes empresas.

Publicación traducida automáticamente

Artículo escrito por siddheshsagar y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *