Zpedia 

/ Qual é a diferença entre SDP e VPN?

Qual é a diferença entre SDP e VPN?

A diferença entre um perímetro definido por software (SDP) e uma rede privada virtual (VPN) é que, onde uma VPN tradicional coloca uma barreira em torno de toda uma rede corporativa, um SDP nega efetivamente um perímetro de rede, colocando políticas e controles de segurança ao redor do software, reduzindo as permissões para uma base de carga de trabalho para carga de trabalho ou de aplicativo para aplicativo, em vez de uma arquitetura típica baseada em perímetro.

Leia nosso relatório sobre riscos da VPN de 2023
Migre para a Zscaler para obter uma solução zero trust nativa da nuvem
Zero TrustProteção contra ameaças cibernéticasEquipes híbridasSegurança de redeSegurança na nuvem
  1. O que é um SDP?
  2. Como funciona um SDP
  3. Casos de uso do SDP
  4. O que é uma VPN?
  5. Como funciona uma VPN
  6. Casos de uso da VPN
  7. SDP vs. VPN
  8. SDP e ZTNA
  9. A Zero Trust Network Access (ZTNA) da Zscaler
  10. Recursos sugeridos
  11. Perguntas Frequentes
  12. Tópicos relacionados

O que é um perímetro definido por software (SDP)?

Perímetro definido por software (SDP) é uma abordagem de segurança que distribui o acesso a aplicativos internos com base na identidade do usuário, com confiança que se adapta conforme o contexto. Enquanto a segurança tradicional é centralizada no data center, o SDP está em todos os lugares, disponibilizado na nuvem. Ele usa políticas corporativas para determinar a autenticação do usuário final aos recursos, sendo uma parte importante da proteção de empresas que priorizam a nuvem e os dispositivos móveis.

Conceitualizado inicialmente pela Defense Information Systems Agency (DISA) em 2007, o SDP é desenvolvido em um modelo de “necessidade de conhecimento” (need-to-know) com confiança que é constantemente monitorada e adaptada com base em uma série de critérios. A infraestrutura de aplicativos fica invisível na internet, reduzindo a superfície contra ataques cibernéticos baseados em rede (DDoS, ransomware, malware, verificação de servidor, etc).

A Cloud Security Allicance (CSA) se interessou pelo conceito e começou a desenvolver a estrutura do SDP em seus estágios iniciais. Em 2011, quando o SDP ainda era um novo conceito, o Google se tornou um dos primeiros a adotá-lo, desenvolvendo sua própria solução de SDP, o Google BeyondCorp. Atualmente, as organizações que adotam o SDP estão modernizando a segurança de seus terminais, nuvem e aplicativos, especialmente em meio à mudança para o trabalho de qualquer lugar.

Como o SDP funciona?

  1. A confiança nunca é implícita: a segurança de rede tradicional oferece confiança excessiva aos usuários. Com um SDP, a confiança deve ser conquistada. Ou seja, SDPs apenas concedem acesso ao aplicativo para usuários autenticados e especificamente autorizados a usar esse aplicativo. Além disso, os usuários autorizados têm acesso apenas ao aplicativo, não à rede.
  2. Sem conexões de entrada: ao contrário de uma rede privada virtual (VPN), que escuta as conexões de entrada, os SDPs não recebem conexões de entrada. Ao responder apenas com conexões de saída, os SDPs mantêm a rede e a infraestrutura de aplicativos invisíveis ou camufladas para a internet e, portanto, impossíveis de serem atacadas.
  3. Segmentação de aplicativos, não de rede: no passado, as organizações precisavam realizar segmentações de rede complexas para impedir que um usuário (ou uma infecção) se movesse lateralmente pela rede. Isso funcionava bem o suficiente, mas não era granular e exigia manutenção constante. O SDP fornece segmentação nativa de aplicativos que restringe os controles de acesso a nível individual, resultando em uma segmentação muito mais granular e muito mais fácil para sua equipe de TI gerenciar.
  4. Uso seguro da Internet: com usuários em todos os lugares e aplicativos migrando para fora do data center, sua empresa precisa abandonar o foco centrado na rede. É necessário levar a segurança para onde os usuários estão, e isso significa utilizar a internet como sua nova rede corporativa. O SDP procura proteger as conexões de usuário para aplicativo na internet, em vez de proteger o acesso dos usuários à rede.

Do ponto de vista arquitetônico, o SDP difere fundamentalmente das soluções centradas na rede. Os SDPs eliminam a sobrecarga corporativa da implantação e gerenciamento de dispositivos. Adotar uma arquitetura de SDP também simplifica sua pilha de entrada, reduzindo a dependência de VPNs, proteção contra DDoS, balanceamento de carga global e dispositivos de firewall.

Casos de uso do SDP

Embora o SDP tenha muitos casos de uso, boa parte das organizações opta por começar em uma das quatro áreas a seguir:

Proteger o acesso multinuvem

Muitas empresas aproveitam um modelo multinuvem (por exemplo, combinando o Workday e o Microsoft 365), bem como serviços de infraestrutura da AWS e do Azure. Elas também podem usar uma plataforma na nuvem para desenvolvimento, armazenamento na nuvem e muito mais. A necessidade de proteger esses ambientes leva as organizações ao SDP por causa de sua capacidade de proteger as conexões com base na política, independentemente de onde os usuários se conectam ou onde os aplicativos estão hospedados.

Reduzir o risco de terceiros

A maioria dos usuários terceirizados recebe acesso com excesso de privilégios, criando falhas de segurança na empresa. Os SDPs reduzem significativamente o risco de terceiros, garantindo que os usuários externos nunca obtenham acesso à rede e que os usuários autorizados tenham acesso apenas aos aplicativos que têm permissão para usar.

Acelerar a integração em fusões e aquisições

Com as fusões e aquisições tradicionais, a integração da TI pode durar anos, à medida que as organizações convergem redes e lidam com endereços IP sobrepostos — processos incrivelmente complexos. Um SDP simplifica o processo, reduzindo o tempo necessário para garantir fusões e aquisições bem-sucedidas e agregando valor imediato ao negócio.

Substituição da VPN

As empresas buscam reduzir ou eliminar o uso de VPNs porque elas prejudicam a experiência do usuário, apresentam riscos à segurança e são difíceis de gerenciar. SDPs abordam diretamente esses problemas conhecidos da VPN melhorando a capacidade de acesso remoto. 

Na verdade, o Cybersecurity Insiders afirma que 41% das empresas procuram reavaliar a infraestrutura de acesso seguro e considerar o SDP, com a maioria exigindo uma implementação de TI híbrida e um quarto implementando SaaS.

Agora que cobrimos o funcionamento interno e os casos de uso do SDP, vamos analisar uma rede privada virtual, ou VPN.

O que é uma rede privada virtual (VPN)?

Uma rede privada virtual (VPN) é um túnel criptografado que permite ao cliente estabelecer uma conexão de Internet com um servidor sem entrar em contato com o tráfego da Internet. Com esta conexão VPN, o endereço IP do usuário fica oculto, oferecendo privacidade online conforme a Internet ou os recursos da rede corporativa são acessados, mesmo em redes Wi-Fi públicas ou hotspots móveis e em navegadores públicos como Chrome ou Firefox.

Antes da iteração original da VPN, conhecida como protocolo de tunelamento ponto a ponto (PPTP), a troca segura de informações entre dois computadores exigia uma conexão com fio, o que era ineficiente e impraticável em larga escala. 

Com o desenvolvimento de padrões de criptografia e a evolução dos requisitos de hardware personalizados para criar um túnel sem fio seguro, o PPTP eventualmente evoluiu para o que é hoje: o servidor VPN. Capaz de ser aplicado sem fio, ele evitava complicações e custos para empresas com necessidade de transferência segura de informações sem fio. A partir daqui, muitas empresas, incluindo Cisco, Intel e Microsoft, passaram a desenvolver seus próprios serviços de VPN físicos e baseados em software/nuvem.

Como funciona uma VPN?

Uma VPN funciona usando uma conexão padrão entre o usuário e a Internet e criando um túnel virtual criptografado que conecta o usuário a um dispositivo em um data center. Esse túnel protege o tráfego em trânsito para que os criminosos que usam rastreadores da web e implantam malware não consigam roubar nenhuma informação do usuário ou da entidade. Um dos algoritmos de criptografia mais comuns usados em VPNs é o Advanced Encryption Standard (AES), uma cifra de bloco simétrico (chave única) desenvolvida para proteger dados em trânsito.

Na maioria das vezes, somente usuários autenticados podem enviar tráfego pelo túnel VPN. Dependendo do tipo de VPN ou de seu fornecedor, os usuários podem ter que se reautenticar para manter o tráfego fluindo pelo túnel e protegido contra hackers.

Como as empresas usam VPNs

As empresas usam VPNs como meio de proteger usuários que trabalham remotamente e usam dispositivos móveis ou outros terminais que podem não ser considerados seguros. Por exemplo, as empresas podem fornecer laptops Windows ou Mac para permitir que seus funcionários trabalhem em casa quando necessário. É claro que esta noção está agora difundida, após a pandemia da covid-19.

As empresas implantam VPNs para permitir que usuários remotos acessem com segurança os recursos corporativos por meio de redes desprotegidas, seja em casa, uma cafeteria, um hotel ou qualquer outro lugar. A maioria dos provedores de serviços de Internet (ISPs) possui bons protocolos de segurança para proteger dados não confidenciais que fluem pelas redes domésticas. No entanto, quando se trata de dados confidenciais, as medidas de segurança do Wi-Fi doméstico não são fortes o suficiente para protegê-los por si só, levando as empresas a adotarem protocolos VPN para aumentar a segurança.

As VPNs permitem às empresas desligar o fluxo padrão de tráfego do roteador para o data center e enviar esse fluxo através de um túnel criptografado, que protege os dados e garante o acesso à Internet de usuários que trabalham remotamente, reduzindo (mas não eliminando) a superfície de ataque da empresa.

SDP vs. VPN: quais são as diferenças?

A real diferença entre SDP e VPN está no método de conectividade. VPNs são centradas em IP e rede, conectando dispositivos de usuários a redes; o SDP, por sua vez, fornece conexões seguras entre usuários autorizados e aplicativos autorizados, não à rede.

Com as soluções de SDP, são estabelecidas conexões de dentro para fora entre o usuário e o aplicativo, em vez de receber conexões de entrada do dispositivo para a rede. Essas conexões de dentro para fora garantem que IPs de aplicativos nunca sejam expostos na Internet, ao mesmo tempo em que desacoplam o acesso dos aplicativos da rede. Como os usuários não recebem acesso à rede, a superfície de ataque é minimizada e os usuários desfrutam de acesso rápido e direto aos aplicativos, sem latência relacionada à rede — uma experiência de usuário muito superior à VPN.

As empresas procuram reduzir ou eliminar o uso de VPNs porque elas prejudicam a experiência do usuário, apresentam riscos à segurança e são difíceis de gerenciar. SDPs abordam diretamente esses problemas conhecidos da VPN melhorando a capacidade de acesso remoto seguro.

SDP e acesso à rede zero trust (ZTNA)

O modelo  ZTNA tornou-se uma estrutura de segurança bem conhecida, mas muitas pessoas não percebem que se baseia nos mesmos princípios do SDP. Na verdade, o ZTNA usa os princípios e a funcionalidade do SDP. Em ambos os métodos, não há rede interna e os usuários só podem acessar os recursos se o contexto por trás da solicitação (usuário, dispositivo, identidade etc.) puder ser validado.

Para ajudar as empresas a atingir um nível tão alto de segurança, alguns fornecedores estão prometendo uma estrutura de ZTNA que pode manter os dados, a rede e os recursos na nuvem da empresa em segurança. Mas muitas dessas estruturas são simplesmente uma plataforma de segurança na nuvem ajustada à força em dispositivos legados — ou pior, são projetadas por fornecedores de rede que colam um módulo de segurança em uma tentativa de entrar no espaço da segurança.

Essas plataformas não oferecem a capacidade de dimensionamento, a flexibilidade e, principalmente, a segurança que uma plataforma construída na nuvem, para a nuvem, pode oferecer.

Zscaler, SDP e ZTNA

Zscaler Zero Trust Exchange™ inclui o Zscaler Private Access™ (ZPA), a única plataforma de ZTNA de nova geração do setor, desenvolvida com os princípios de um SDP. O ZPA redefine a conectividade e a segurança de aplicativos privados para as equipes híbridas atuais, aplicando o princípio de privilégio mínimo, que oferece aos usuários conectividade segura e direta a aplicativos privados executados localmente ou na nuvem pública, eliminando o acesso não autorizado e a movimentação lateral.

O Zscaler Private Access dá à sua organização o poder de:

  • Aumentar a produtividade das equipes híbridas com acesso rápido e contínuo a aplicativos privados, estejam seus usuários em casa, no escritório ou em qualquer outro lugar
  • Reduzir os riscos de violações de dados tornando os aplicativos invisíveis para invasores e ao mesmo tempo reforçando o acesso de privilégio mínimo, reduzindo sua superfície de ataque e eliminando a movimentação lateral
  • Deter os adversários mais avançados com a primeira proteção de aplicativos privados que minimiza os riscos de usuários comprometidos e invasores ativos
  • Estender a segurança zero trust para aplicativos, cargas de trabalho e IoT com a plataforma de ZTNA mais completa do mundo, que oferece acesso de privilégio mínimo a aplicativos privados, cargas de trabalho e dispositivos de TO/IIoT

Reduzir a complexidade operacional com uma plataforma nativa da nuvem que elimina VPNs legadas, que são difíceis de dimensionar, gerenciar e configurar em um mundo que prioriza a nuvem

As VPNs deixam suas redes expostas a ataques. Faça uma transição perfeita das VPNs com a Zscaler.

Recursos sugeridos

Por que ZTNA é a melhor alternativa à VPN
Visite a nossa página web
O que é uma VPN?
Leia o artigo
O que é um perímetro definido por software?
Leia o artigo
Zscaler Private Access
Visite a nossa página web
Uso de SDP como alternativa à VPN: 6 perguntas que os administradores costumam fazer
Leia o blog
Três razões pelas quais os SDPs, e agora o ZTNA, estão substituindo as VPNs
Leia o blog

01 / 04

Perguntas frequentes