/ ¿Cuál es la diferencia entre SDP y VPN?
¿Cuál es la diferencia entre SDP y VPN?
La diferencia entre un perímetro definido por software ( SDP) y una red privada virtual (VPN) es que mientras que una VPN tradicional coloca una barrera alrededor de toda una red corporativa, un SDP niega efectivamente un perímetro de red al colocar las políticas y controles de seguridad alrededor del software, reduciendo los permisos a una base de carga de trabajo a carga de trabajo o aplicación a aplicación en lugar de una arquitectura típica basada en un perímetro.
¿Qué es un perímetro definido por software (SDP)?
El perímetro definido por software (SDP) es un enfoque de seguridad que distribuye el acceso a las aplicaciones internas basándose en la identidad del usuario y con una confianza que se adapta en función del contexto. En tanto que la seguridad tradicional está concentrada en el centro de datos, el SDP está en todas partes, suministrado por la nube. Utiliza la política empresarial para determinar la autenticación de usuarios finales con respecto a los recursos, lo que lo convierte en una parte importante de la seguridad de las organizaciones que protegen la nube y dan preferencia a los dispositivos móviles.
Los SDP fueron conceptualizados por primera vez por la Agencia de Sistemas de Información de Defensa (DISA) en 2007 y se basan en un modelo de "información imprescindible", según el cual la confianza se supervisa constantemente y se adapta en función de una serie de criterios. Los SDP hacen que la infraestructura de las aplicaciones sea invisible para Internet, por lo que reduce la superficie de ciberataque de las amenazas basadas en la red (DDoS, ransomware, malware, análisis de servidores, etc.).
La Alianza de Seguridad en la Nube (CSA) se interesó por el concepto y comenzó a desarrollar el marco del SDP en sus primeras etapas. En 2011, cuando el SDP era todavía un concepto nuevo, Google se convirtió en uno de los primeros en adoptarlo con el desarrollo de su propia solución SDP conocida como Google BeyondCorp. Hoy en día, las organizaciones que adoptan SDP están modernizando la seguridad de sus terminales, la nube y las aplicaciones, especialmente en medio del cambio al trabajo desde cualquier lugar.
¿Cómo funciona un SDP?
- La confianza nunca es implícita: la seguridad de la red tradicional le ofrece a los usuarios una confianza excesiva. Con un SDP, la confianza debe ganarse. Los SDP solo otorgan acceso a la aplicación a los usuarios que están autenticados y específicamente autorizados para utilizarla. Además, a los usuarios autorizados solo se les concede acceso a la aplicación, no a la red.
- No hay conexiones entrantes: a diferencia de una red privada virtual (VPN), que vigila las conexiones entrantes, los SDP no reciben conexiones entrantes. Al responder con conexiones de solo salida, los SDP mantienen la red y la infraestructura de aplicaciones invisibles u ocultas para Internet y, por lo tanto, son imposibles de atacar.
- Segmentación de aplicaciones, no segmentación de redes: en el pasado, las organizaciones tenían que realizar una compleja segmentación de redes para evitar que un usuario (o una infección) se moviera lateralmente a través de la red. Este modelo funcionaba bastante bien, pero no era granular y requería un mantenimiento constante. El SDP proporciona una segmentación nativa de las aplicaciones, que reduce los controles de acceso a una base individual, lo que da lugar a una segmentación mucho más granular que resulta mucho más fácil de gestionar para su equipo de TI.
- Usar Internet de manera segura: con los usuarios en todas partes y las aplicaciones fuera del centro de datos, su organización necesita alejarse de un modelo centrado en la red.Debe trasladar la seguridad al lugar donde se encuentran sus usuarios, y esto significa aprovechar Internet como su nueva red corporativa. El SDP se centra en proteger las conexiones entre usuarios y aplicaciones a través de Internet, en lugar de proteger el acceso de los usuarios a su red.
En cuanto a la arquitectura, el SDP difiere fundamentalmente de las soluciones centradas en la red. Los SDP eliminan la sobrecarga empresarial de implementar y administrar dispositivos. La adopción de una arquitectura con SDP también simplifica su pila de entrada al reducir la dependencia de las VPN, la protección DDoS, el equilibrio de carga global y los dispositivos de firewall.
Casos de uso de SDP
Si bien el SDP tiene muchos casos de uso, muchas organizaciones eligen comenzar en una de las siguientes cuatro áreas:
Protección del acceso multinube
Muchas organizaciones aprovechan un modelo multinube, por ejemplo, combinando Workday y Microsoft 365, así como servicios de infraestructura de AWS y Azure. También pueden usar una plataforma en la nube para el desarrollo, el almacenamiento en la nube, etc. La necesidad de proteger estos entornos, lleva a las organizaciones hacia el SDP por su capacidad de proteger conexiones en función de las políticas, independientemente de dónde se conecten los usuarios o dónde se alojen las aplicaciones.
Reducción del riesgo de terceros
La mayoría de los usuarios de terceros reciben un acceso con excesivos privilegios que crea una brecha de seguridad para la empresa. Los SDP reducen significativamente el riesgo asociado a terceros al garantizar que los usuarios externos nunca accedan a la red y que solo los usuarios autorizados accedan a las aplicaciones que tienen autorización para utilizar.
Integración acelerada de fusiones y adquisiciones
Durante las fusiones y adquisiciones tradicionales, la integración de TI puede durar años mientras las organizaciones unifican redes y resuelven las direcciones IP superpuestas que requieren de procesos increíblemente complejos. Un SDP simplifica el proceso, reduciendo drásticamente el tiempo necesario para garantizar una fusión y adquisición exitosa, y brindando valor inmediato a la empresa.
Sustitución de la VPN
Las organizaciones buscan reducir o eliminar el uso de VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos importantes problemas de la VPN mejorando la capacidad de acceso remoto.
De hecho, Cybersecurity Insiders afirma que el 41 % de las organizaciones están buscando reevaluar su infraestructura de acceso seguro y considerar el SDP y que la mayoría de ellas requiere una implementación híbrida de TI y que la cuarta parte implementa SaaS.
Ahora que hemos cubierto el funcionamiento interno y los casos de uso del SDP, echemos un vistazo a una red privada virtual o VPN.
¿Qué es una red privada virtual (VPN)?
Una red privada virtual (VPN) es un túnel cifrado que permite a un cliente establecer una conexión a Internet con un servidor sin entrar en contacto con el tráfico de Internet. A través de esta conexión VPN, la dirección IP de un usuario está oculta, lo que ofrece privacidad en línea cuando accede a Internet o a los recursos de la red corporativa, incluso en redes Wi-Fi públicas o puntos de acceso móvil y en navegadores públicos como Chrome o Firefox.
Antes de la iteración original de la VPN, conocida como protocolo de tunelización punto a punto (PPTP), el intercambio seguro de información entre dos computadoras requería una conexión por cable, lo que resultaba ineficaz y poco práctico a gran escala
Con el desarrollo de estándares de cifrado y la evolución de los requisitos de hardware personalizados para construir un túnel inalámbrico seguro, PPTP finalmente evolucionó hasta convertirse en lo que es hoy: el servidor VPN. Al poder aplicarse de forma inalámbrica, ahorró molestias y costos a las empresas que necesitaban una transferencia inalámbrica segura de información. A partir de aquí, muchas empresas, como Cisco, Intel y Microsoft, pasaron a crear sus propios servicios VPN físicos y basados en software/nube.
¿Cómo funciona una VPN?
Una VPN funciona tomando una conexión estándar de usuario a Internet y creando un túnel virtual cifrado que vincula al usuario con un dispositivo en un centro de datos. Este túnel protege el tráfico en tránsito para que los delincuentes que utilizan rastreadores web e implementan malware no puedan robar la información del usuario o de la entidad. Uno de los algoritmos de cifrado más utilizados para las VPN es el estándar de cifrado avanzado (AES), un cifrado simétrico por bloques (de una sola clave) diseñado para proteger los datos en tránsito.
En la mayoría de los casos, solo los usuarios autenticados pueden enviar su tráfico a través del túnel VPN. Dependiendo del tipo de VPN o de su proveedor, es posible que los usuarios tengan que volver a autenticarse para mantener su tráfico viajando a través del túnel y a salvo de los hackers.
Cómo las empresas utilizan las VPN
Las organizaciones utilizan la VPN como medio para proteger a los usuarios que trabajan de forma remota y utilizan dispositivos móviles u otros puntos finales que pueden no considerarse seguros. Por ejemplo, las organizaciones pueden distribuir laptops con Windows o Mac para permitir que sus empleados trabajen desde casa cuando sea necesario. Por supuesto, esta noción está ahora muy extendida tras la pandemia del COVID-19.
Las organizaciones implementan la VPN para permitir que los usuarios remotos accedan de forma segura a los recursos corporativos a través de redes no protegidas, ya sea en casa, una cafetería, un hotel o cualquier otro lugar. La mayoría de los proveedores de servicios de Internet (ISP) cuentan con buenos protocolos de seguridad para proteger los datos no confidenciales que fluyen a través de las redes domésticas. Sin embargo, cuando se trata de datos confidenciales, las medidas de seguridad de Wi-Fi domésticas no son lo suficientemente fuertes como para protegerlos por sí solas, lo que lleva a las organizaciones a implementar protocolos de VPN para mayor seguridad.
Las VPN permiten a las organizaciones cerrar el flujo predeterminado de tráfico desde el enrutador al centro de datos y, en su lugar, enviarlo a través de un túnel cifrado, que protege los datos y asegura el acceso a Internet de los usuarios que trabajan de forma remota, reduciendo (pero no eliminando) la superficie de ataque de una organización.
Comparación entre SDP y VPN: ¿Cuáles son las diferencias?
Donde realmente se diferencian SDP y VPN es en su método de conectividad. Las VPN se centran en IP y en la red y conectan los dispositivos de los usuarios a las redes. En cambio, el SDP proporciona conexiones seguras entre usuarios autorizados y aplicaciones autorizadas, no la red.
Con las soluciones SDP, se establecen conexiones internas entre el usuario y la aplicación, en lugar de recibir conexiones entrantes desde el dispositivo a la red. Estas conexiones de adentro hacia afuera garantizan que las IP de las aplicaciones nunca queden expuestas a Internet y al mismo tiempo desacoplan el acceso a las aplicaciones de la red. Dado que los usuarios no reciben acceso a la red, la superficie de ataque se minimiza mientras los usuarios disfrutan de un acceso rápido y directo a las aplicaciones sin latencia relacionada con la red, una experiencia de usuario muy superior a las VPN.
Las organizaciones buscan reducir o eliminar el uso de las VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos importantes problemas de VPN mejorando la capacidad de acceso remoto seguro.
SDP y Zero Trust Network Access (ZTNA)
El modelo ZTNA se ha convertido en un marco de seguridad muy conocido, pero mucha gente no se da cuenta de que se basa en los mismos principios que el SDP. De hecho, ZTNA utiliza principios y funciones de SDP. Con ambos métodos, no existe una red interna y solo se permite a los usuarios acceder a los recursos si se puede validar el contexto en el que se basa la solicitud (usuario, dispositivo, identidad, etc.).
Para ayudar a las organizaciones a alcanzar ese alto nivel de seguridad, los proveedores prometen un marco ZTNA que puede mantener seguros la red, los datos y los recursos en la nube de su organización. Pero muchos de estos marcos son simplemente una plataforma de seguridad en la nube que se adapta a la fuerza a los dispositivos heredados, o peor aún, están diseñados por proveedores de redes que adhieren un módulo de seguridad para tratar de ingresar en el área de la seguridad.
Estas plataformas no ofrecen la escalabilidad, la flexibilidad y, sobre todo, la seguridad que puede ofrecer una plataforma construida en la nube y para la nube.
Zscaler, SDP y ZTNA
Zscaler Zero Trust Exchange™ incluye Zscaler Private Access™ (ZPA), la única plataforma ZTNA de próxima generación del sector, construida sobre los principios de un SDP. ZPA redefine la conectividad y seguridad de las aplicaciones privadas para el personal híbrido actual al aplicar el principio de privilegio mínimo, que brinda a los usuarios conectividad directa y segura a aplicaciones privadas que se ejecutan en las instalaciones o en la nube pública, al tiempo que elimina el acceso no autorizado y el movimiento lateral.
Zscaler Private Access le da a su organización el poder de:
- Aumentar la productividad de la fuerza de trabajo híbrida con un acceso rápido y sin problemas a las aplicaciones privadas, ya sea que sus usuarios estén en casa, en la oficina o en cualquier sitio.
- Mitigar el riesgo de una violación de datos al hacer que las aplicaciones sean invisibles para los atacantes y, al mismo tiempo, imponer un acceso con privilegios mínimos, reduciendo efectivamente su superficie de ataque y eliminando el movimiento lateral.
- Detener a los atacantes más avanzados con la primera protección de aplicaciones privadas en su clase que minimiza el riesgo de usuarios en peligro y atacantes activos.
- Extender la seguridad Zero Trust a todas las aplicaciones, cargas de trabajo e IoT con la plataforma ZTNA más completa del mundo, que brinda acceso con privilegios mínimos a aplicaciones privadas, cargas de trabajo y dispositivos OT/IIoT.
Reducir la complejidad operativa con la plataforma nativa de la nube que elimina las VPN heredadas que son difíciles de escalar, administrar y configurar en un mundo donde la nube tiene prioridad.