Un perímetro definido por software (SDP) es un límite de red basado en software, no en hardware. Los SDP pueden formar parte de un enfoque de seguridad Zero Trust.
Después de leer este artículo podrás:
Contenido relacionado
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Un perímetro definido por software (SDP) es una forma de ocultar la infraestructura conectada a Internet (servidores, enrutadores, etc.) para que las partes externas y los atacantes no puedan verla, tanto si está alojada en local como en la nube. El objetivo del enfoque SDP es basar el perímetro de la red en el software en lugar del hardware. Básicamente, una empresa que utiliza un SDP está cubriendo sus servidores y otra infraestructura con un manto de invisibilidad, para que no se pueda ver desde el exterior; sin embargo, los usuarios autorizados pueden seguir accediendo a la infraestructura.
Un perímetro definido por software forma un límite virtual en torno a los activos de la empresa en la capa de red, no en la capa de aplicación. Esto lo diferencia de otros controles basados en el acceso, que restringen los privilegios de los usuarios pero permiten un amplio acceso a la red. Otra diferencia clave es que un SDP autentica los dispositivos además de la identidad del usuario. La Cloud Security Alliance fue la primera en desarrollar el concepto de SDP.
Con un SDP, no debería ser tecnológicamente posible conectarse con un servidor a menos que se autorice a ello. Los SDP permiten el acceso a los usuarios solo después de 1) verificar la identidad del usuario, y 2) evaluar el estado del dispositivo.
Una vez que se ha autenticado al usuario y al dispositivo, el SDP establece una conexión de red individual entre ese dispositivo y el servidor al que intenta acceder. Un usuario autenticado no se conecta a una red mayor, sino que se le da su propia conexión de red a la que nadie más puede acceder, y que solo incluye los servicios a los que el usuario ha permitido el acceso.
Imaginemos un servidor web que está conectado a Internet, pero que no abre conexiones con nada. No acepta solicitudes ni envía respuestas; no tiene puertos abiertos ni acceso a la red aunque esté enchufado a Internet (algo así como una tostadora o una lámpara que está enchufada a una toma de corriente pero que está apagada, para que la electricidad no fluya por ella). Este es el estado por defecto de los servidores en un perímetro definido por software.
Otra forma de imaginarnos los SPD es como si fuera una puerta principal que siempre está cerrada. Nadie puede cruzar la puerta, ni siquiera mirar dentro, hasta que la persona al otro lado de la puerta verifique quién es el visitante y qué está haciendo. Cuando el visitante tiene permiso para entrar, la persona en la casa vuelve a cerrar la puerta.
Verificación de la identidad de los usuarios: la identidad de los usuarios suele verificarse mediante un proveedor de identidad de terceros (IdP). Los SDP también pueden integrarse con una solución SSO. La autenticación del usuario puede implicar una simple combinación de nombre de usuario y contraseña, pero es más seguro utilizar la autenticación multifactor con algún tipo de token de hardware.
Verificación de dispositivos: esto implica comprobar que el dispositivo del usuario ejecuta software actualizado, comprobar si hay infecciones de malware y realizar otras inspecciones de seguridad. En teoría, un SDP podría incluso crear una lista de bloqueos de dispositivos no permitidos y comprobar que el dispositivo no esté en la lista de bloqueos.
Aprobación del controlador del SDP: el "controlador" del SDP es el componente lógico del SDP que se encarga de determinar a qué dispositivos y servidores se les debe permitir conectarse. Una vez que el usuario y el dispositivo están autenticados, el controlador pasa la aprobación del usuario y del dispositivo a la puerta de enlace del SDP. La puerta de enlace del SDP es donde se permite o se deniega realmente el acceso.
Asegurar la conexión de red establecida: la puerta de enlace del SDP abre la "puerta" virtual para permitir que el usuario pueda pasar. Establece una conexión de red segura con el dispositivo del usuario en un lado de la puerta de enlace, y en el otro lado establece una conexión de red con los servicios a los que el usuario tiene acceso. Ningún otro usuario o servidor comparte esta conexión. Estas conexiones de red seguras suelen implicar el uso de TLS mutuo, y pueden utilizar una VPN.
Acceso del usuario: el usuario puede acceder a los recursos de red previamente ocultos y puede seguir utilizando su dispositivo con normalidad. El usuario opera dentro de una red encriptada, a la que solo pertenecen él y los servicios a los que accede.
TLS, o Transport Layer Security, es un protocolo de encriptación y autenticación que verifica que un servidor sea legítimo, es decir, que es quien dice ser. En la mutual TLS, el proceso de verificación tiene lugar en ambos lados: se verifica tanto al cliente como al servidor. Más información sobre la mutual TLS.
Una VPN, o red privada virtual, es una red encriptada que se ejecuta sobre una red no encriptada. Crea conexiones encriptadas entre dispositivos y servidores para que sea como si estuvieran en su propia red privada.
Tradicionalmente, las VPN se han utilizado para asegurar y gestionar el acceso a la infraestructura de la empresa. En algunos casos, un SDP puede reemplazar a una VPN.
Los SDP pueden incorporar VPN en su arquitectura para crear conexiones de red seguras entre los dispositivos de los usuarios y los servidores a los que necesitan acceder. Sin embargo, los SDP son muy diferentes de las VPN. De cierta forma, son más seguras: mientras que las VPN permiten a todos los usuarios conectados acceder a toda la red, las SDP no comparten las conexiones de red. Los SDP también pueden ser más fáciles de gestionar que las VPN, sobre todo si los usuarios internos necesitan varios niveles de acceso.
La gestión de varios niveles diferentes de acceso a la red con el uso de VPN implica la implementación de varias VPN. Supongamos que Bob trabaja en Acme Inc. en contabilidad, Carol en ventas y Alice en ingeniería. Gestionar su acceso a nivel de red implica la configuración de tres VPN: 1) una VPN de contabilidad para acceder a la base de datos de contabilidad, 2) una VPN de ventas para la base de datos de los clientes y 3) una VPN de ingeniería para la base de código. Esto no es solo que sea difícil de gestionar para el departamento de TI, sino que también es menos seguro: cualquiera que acceda a la VPN de contabilidad, por ejemplo, puede acceder a la información financiera de Acme Inc. Si Bob, por accidente, da sus credenciales de acceso a Carol, se pone en riesgo la seguridad, y puede que el departamento de TI ni se dé cuenta.
Ahora, imaginemos que hay una cuarta persona: David, el director financiero de Acme Inc. David necesita acceder tanto a la base de datos de contabilidad como a la base de datos de clientes. ¿Debería conectarse David a dos VPN distintas para poder hacer su trabajo? ¿O el departamento de TI de Acme debería crear una nueva VPN que le dé acceso tanto a la base de datos de contabilidad como a la de clientes? Ninguna de las dos opciones es atractiva, y la segunda opción introduce un alto grado de riesgo: un atacante que ponga en riesgo esta nueva VPN, que tiene un amplio acceso a dos bases de datos, podrá hacer el doble de daño que antes.
En cambio, los SDP son mucho más granulares. No hay una VPN general a la que se conecten todos los que acceden a los mismos recursos, sino que se establece una conexión de red separada para cada usuario. Es casi como si cada uno tuviera su propia VPN privada. Además, los SDP verifican tanto los dispositivos como los usuarios, lo cual dificulta que un atacante penetre en el sistema solo con credenciales robadas.
Hay dos funciones más que diferencian a los SDP de las VPN: los SDP son independientes de la ubicación y de la infraestructura. Como se basan en software y no en hardware, los SDP pueden implementarse en cualquier lugar para proteger la infraestructura local, la infraestructura en la nube o ambas. Los SDP también se integran fácilmente con las implementaciones multinube y en la nube híbrida. Y, por último, los SDP pueden conectar a los usuarios en cualquier lugar; no necesitan estar dentro del perímetro de red física de una empresa. Esto hace que los SDP sean útiles para gestionar equipos en remoto que no trabajen en la oficina.
Como su propio nombre indica, no hay confianza en la seguridad Zero Trust; ningún usuario, dispositivo o red se considera de confianza por defecto. La seguridad zero Trust es un modelo de seguridad que requiere una estricta verificación de la identidad de cada persona y dispositivo que intente acceder a los recursos internos, independientemente de si están dentro o fuera del perímetro de la red (o, el perímetro definido por software).
Un SDP es una forma de implementar la seguridad Zero Trust. Tanto los usuarios como los dispositivos deben ser verificados antes de poder conectarse y solo cuentan con acceso mínimo a la red que necesitan. Ningún dispositivo, ni siquiera el portátil de un director general, puede establecer una conexión de red con un recurso que no tenga autorización para utilizar.