Recursos > Glosario de términos de seguridad > Qué es un perímetro definido por software (SDP)

¿Qué es un perímetro definido por software (SDP)?

¿Qué es un perímetro definido por software (SDP)?

Aunque la confianza cero se ha convertido en un marco de seguridad muy conocido en los últimos años, pocas personas se dan cuenta de que se basa en los mismos principios que la tecnología del perímetro definido por software (SDP). El concepto de SDP fue desarrollado por primera vez por la Agencia de Sistemas de Información de Defensa (DISA) a raíz del proyecto Red de Información Global en 2007. La Alianza de Seguridad en la Nube (CSA) se interesó por el concepto y comenzó a desarrollar el marco del SDP en sus primeras etapas. En 2011, cuando el SDP era todavía un concepto nuevo, Google se convirtió en uno de los primeros en adoptarlo con el desarrollo de su propia solución SDP conocida como GoogleBeyond Corp.

El SDP es una estrategia de seguridad para el mundo de la nube y los dispositivos móviles. En tanto que la seguridad tradicional está centralizada en el centro de datos, el SDP está en todas partes, suministrado por la nube, y utiliza políticas empresariales para determinar quién tiene acceso a qué recursos. El SDP distribuye el acceso a las aplicaciones internas basándose en la identidad del usuario y con una confianza que se adapta en función del contexto. Los SDP están definidos al 100 % por software y se basan en un modelo de "información imprescindible", según el cual la confianza se supervisa constantemente y se adapta en función de una serie de criterios. El SDP hace que la infraestructura de las aplicaciones sea invisible para Internet, por lo que evade los ataques basados en la red (DDoS, ransomware, malware, escaneo de servidores, etc.), y reduce el riesgo empresarial.

La adopción de la tecnología SDP ha crecido a medida que las organizaciones buscan modernizar la seguridad de sus aplicaciones con una seguridad de confianza cero.

De hecho, los perímetros aumentarán en número, haciéndose más granulares y acercándose a las entidades lógicas que protegen: las identidades de los usuarios, los dispositivos, las aplicaciones, los datos y las cargas de trabajo.
Gartner, La confianza cero es un paso inicial en la hoja de ruta hacia el enfoque continuo de riesgo adaptativo y de evaluación de confianza (CARTA), diciembre de 2018

¿Cómo funciona el SDP?

Más que centrarse en la seguridad tradicional basada en la red, el SDP adopta un enfoque diferente. En lugar de centrarse en la seguridad de la red, el SDP se centra en la seguridad del usuario, la aplicación y la conectividad intermedia. Hay cuatro principios básicos que diferencian a las tecnologías SDP:

  1. La confianza nunca es implícita: la seguridad de red tradicional ofrece una confianza excesiva a sus usuarios; la confianza debe ganarse. Los SDP solo conceden acceso a la aplicación a los usuarios autentificados y específicamente autorizados para utilizarla; además, a estos usuarios autorizados solo se les concede acceso a la aplicación, no a la red.
     
  2. Sin conexiones entrantes: a diferencia de una red privada virtual (VPN), que vigila las conexiones entrantes, los SDP no reciben conexiones entrantes. Al responder con conexiones solo salientes, tanto la infraestructura de la red como la de la aplicación se mantienen invisibles o camufladas en Internet y, por tanto, son imposibles de atacar.
     
  3. Segmentación de la aplicación, no de la red: anteriormente, las organizaciones tenían que realizar una compleja segmentación de la red para limitar la capacidad de un usuario (o de una amenaza) de moverse lateralmente una vez dentro de la red. Aunque este enfoque funcionaba bastante bien, nunca era granular y requería un mantenimiento constante. El SDP cuenta con una segmentación nativa de las aplicaciones que puede controlar el acceso de forma individual, de uno en uno. El resultado es una segmentación mucho más granular que resulta mucho más sencilla para el equipo de TI.
     
  4. Aprovechar Internet de forma segura: con los usuarios en todas partes y las aplicaciones fuera del centro de datos, las organizaciones necesitan alejarse de un enfoque centrado en la red. La seguridad debe trasladarse al lugar donde se encuentran sus usuarios, y esto significa aprovechar Internet como su nueva red corporativa. El SDP se centra en proteger las conexiones entre usuarios y aplicaciones a través de Internet, en lugar de proteger el acceso de los usuarios a la red.

En cuanto a la arquitectura, el SDP difiere fundamentalmente de las soluciones centradas en la red. Los SDP están definidos al 100 % por el software, lo que evita que la empresa tenga gastos generales por implementar y gestionar dispositivos. La adopción del SDP también conduce a la simplificación de la pila de entrada, ya que las organizaciones ya no necesitan VPN, protección DDoS, balanceo de carga global y dispositivos de cortafuegos. La  Alianza de Seguridad en la Nube (CSA) elaboró el diagrama inicial de la arquitectura SDP (ver a continuación), pero a medida que esta ha ido evolucionando, Gartner ha desarrollado una guía de mercado para esta tecnología, definiéndola como acceso a la red de confianza cero (ZTNA) y ha señalado los dos modelos clave de arquitectura ZTNA en la Guía de Mercado ZTNA de Gartner.

 

what is software defined perimeter

Aunque el SDP tiene muchos casos de uso, la mayoría de las organizaciones optan por empezar en una de las cuatro áreas siguientes:

Alternativa a la VPN
La mayoría de las organizaciones quieren reducir o eliminar el uso de las VPN.. Ya que las VPN son notoriamente lentas para los usuarios, introducen riesgos de seguridad y son difíciles de gestionar, Gartner predice que "para 2023, el 60 % de las empresas eliminarán la mayoría de sus VPN de acceso remoto en favor del ZTNA [SDP]".

Acceso seguro a la multinube
La multinube, como su nombre indica, es el uso de múltiples servicios de computación en la nube en un único entorno. Muchas organizaciones utilizan Workday y Office 365, así como servicios de infraestructura de AWS y Azure, y pueden utilizar una plataforma en la nube para el desarrollo y almacenamiento en la nube, entre otros. Por eso, es común que las organizaciones inicien su aproximamiento al SDP/ZTNA para proteger estos entornos, ya que el SDP no está vinculado a ninguna nube o red en particular, sino que protege todas las conexiones en función de las políticas, independientemente de dónde se conecten los usuarios o dónde se alojen las aplicaciones.

Reducción del riesgo de terceros
La mayoría de los usuarios de terceros reciben un acceso con demasiados privilegios, lo que crea una brecha de seguridad para la empresa. Los SDP reducen significativamente el riesgo asociado a terceros al garantizar que los usuarios externos nunca accedan a la red y que solo los usuarios autorizados accedan a las aplicaciones que tienen permiso para utilizar. Los usuarios ni siquiera pueden ver las aplicaciones a las que no tienen permiso de acceso.

Integración acelerada de fusiones y adquisiciones
Con las fusiones y adquisiciones tradicionales, la integración de TI puede durar años, ya que las organizaciones deben hacer converger las redes y lidiar con la superposición de IP, procesos increíblemente complejos. El SDP simplifica el proceso y reduce el tiempo necesario para garantizar el éxito de las fusiones y adquisiciones y proporciona un valor inmediato a la empresa.

Para saber más sobre la tecnología SDP/ZTNA, consulte el servicio líder de ZTNA,  ZPA. ¡Incluso puede probar ZPA de forma gratuita durante 7 días!

Informe de adopción de la confianza cero de Cybersecurity Insiders 2019

Leer el informe completo

Guía del arquitecto de redes para la adopción del ZTNA

Leer la guía

Por qué los responsables de TI deberían considerar una estrategia de acceso a la red de confianza cero (ZTNA)

Leer la documentación técnica

SDP vs. VPN

Leer el blog