El término "perimetral" hace referencia a un modelo de seguridad de red en el que todos los miembros de la red son de confianza por defecto.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar enlace del artículo
El modelo perimetral es un modelo de seguridad de red en el que nadie de fuera de la red puede acceder a los datos de dentro, pero sí que pueden todos los que están dentro. Imaginemos que la red de una organización es un castillo, y el perímetro de red un foso. Una vez que se baja el puente levadizo y alguien lo cruza, puede moverse con libertad por el interior del castillo. Del mismo modo, una vez que un usuario se conecta a una red en este modelo, puede acceder a todas las aplicaciones y datos de esa red.
Las organizaciones que usan este modelo dedican muchos recursos a defender el perímetro de su red, al igual que un castillo colocaría el mayor número de guardias cerca del puente levadizo. Implementan firewalls, sistemas de detección de intrusos (IDS), sistemas de prevención de intrusos (IPS) y otros productos de seguridad que bloquean la mayoría de los ataques externos, pero no son tan eficaces para detener los ataques internos, amenazas internas y fugas de datos.
El modelo perimetral no es necesariamente una estrategia elegida deliberadamente. El término empezó a utilizarse para comparar la arquitectura de red tradicional con la arquitectura Zero Trust.
En la actualidad, el enfoque perimetral se está quedando obsoleto. En la mayoría de las empresas, los datos están repartidos entre varios proveedores de la nube, en lugar de permanecer detrás de un perímetro de red local. Para seguir con la analogía: no tiene sentido poner todos los recursos defendiendo el castillo, si la reina y su corte están fuera del mismo.
En la actualidad, hay algunas organizaciones que siguen manteniendo sus datos en las redes locales, y otras enrutan todo el tráfico con destino a Internet a través de la red corporativa central para controlar el acceso a los proveedores de la nube. Pero este uso del modelo perimetral sigue teniendo fallos de seguridad inherentes.
El mayor fallo de seguridad es que si un atacante consigue acceder a la red (es decir, si cruza el "foso"), también puede acceder a los datos y sistemas que haya dentro. Pueden penetrar en la red al robar las credenciales de usuario, aprovechar una vulnerabilidad de seguridad, introducir una infección de malware, o llevar a cabo un ataque de ingeniería social, entre otros métodos. Los firewalls y otras herramientas de prevención de intrusiones pueden detener algunos de estos ataques, pero si uno de ellos consigue pasar, el coste es muy alto.
La seguridad Zero trust es una filosofía sobre cómo y cuándo se permite a los usuarios acceder a los sistemas y a los datos. A diferencia del modelo perimetral, la seguridad Zero Trust asume que hay riesgos de seguridad tanto dentro como fuera de la red. No hay nada dentro de la red que sea de confianza por defecto, de ahí el nombre "Zero Trust."
La seguridad Zero Trust requiere una verificación estricta de cada usuario y dispositivo de la red antes de concederles acceso a los datos y las aplicaciones.
Una de las formas en que las organizaciones controlan el acceso cuando utilizan el modelo perimetral son las redes privadas virtuales, o VPN. Las VPN establecen una conexión encriptada entre los usuarios conectados (que suelen trabajar en remoto) y un servidor VPN. Para determinados niveles de acceso, un usuario debe conectarse al menos a una VPN. Una vez conectado, puede acceder a los recursos que necesite.
Ya que los diferentes usuarios de una misma empresa suelen requerir diferentes privilegios de acceso, los equipos de TI configuran varias VPN. Cada VPN puede considerarse como su propio "castillo", lo que proporciona un nivel de acceso diferente.
Este enfoque tiene algunos inconvenientes:
Hay algunos principios básicos que subyacen a una arquitectura Zero Trust:
Estos principios se desglosan en ¿Qué es una red Zero Trust?
Conscientes de las deficiencias del modelo perimetral, muchas organizaciones están adoptando una arquitectura Zero Trust. Aunque al principio esta medida era bastante compleja, en la actualidad muchos proveedores ofrecen soluciones simplificadas Zero Trust que pueden activarse con rapidez. Cloudflare Zero Trust es una de estas soluciones de seguridad de redes.
Pero en lugar de adoptar una solución separada de gestión de acceso, muchas organizaciones quieren que la seguridad Zero Trust esté incorporada a la red, y no solo en capas. Gartner, una empresa global de investigación y asesoría, ha acuñado el término "perímetro de servicio de acceso seguro" (SASE). Cloudflare One es un ejemplo de red con seguridad Zero Trust incorporada.