¿Cuál es la diferencia entre SDP y VPN?

¿Qué es un perímetro definido por software (SDP)?

El perímetro definido por software (SDP) es un enfoque de seguridad que distribuye el acceso a aplicaciones internas según la identidad de un usuario, con confianza que se adapta según el contexto. Mientras la seguridad tradicional está centralizada en el centro de datos, SDP está en todas partes y se proporciona a través de la nube. Utiliza las políticas comerciales para determinar si debe autenticar a un usuario a fin de que acceda a los recursos, lo que lo convierte en una parte importante de la seguridad de las organizaciones que priorizan la nube y los dispositivos móviles.

Concebidos por primera vez por la Agencia de Sistemas de Información de Defensa (DISA) en 2007, los SDP se basan en un modelo de necesidad de saber con una confianza que se supervisa y adapta constantemente en función de una variedad de criterios. Hacen que la infraestructura de la aplicación sea invisible para Internet, lo que reduce la superficie de ataque para los ataques basados en la red (DDoS, ransomware, malware, análisis del servidor, etc.).

La Alianza de Seguridad en la Nube (CSA) se interesó por el concepto y comenzó a desarrollar el marco del SDP en sus primeras etapas. En 2011, cuando el SDP era todavía un concepto nuevo, Google se convirtió en uno de los primeros en adoptarlo con el desarrollo de su propia solución SDP conocida como Google BeyondCorp. Hoy en día, las organizaciones que adoptan SDP están modernizando la seguridad de sus terminales, la nube y las aplicaciones, especialmente en medio del cambio al trabajo desde cualquier lugar.

¿Cómo funciona un SDP?

1. La confianza nunca es implícita: la seguridad de red tradicional ofrece a los usuarios una confianza excesiva. Con un SDP, hay que ganarse la confianza. Es decir, los SDP sólo otorgan acceso a la aplicación a aquellos usuarios que están autenticados y específicamente autorizados para usarla. Además, los usuarios autorizados sólo tienen acceso a la aplicación, no a la red.
2. No hay conexiones entrantes: a diferencia de una red privada virtual (VPN), que vigila las conexiones entrantes, los SDP no reciben conexiones entrantes. Al responder con conexiones de sólo salida, los SDP mantienen la red y la infraestructura de aplicaciones invisibles u ocultas para Internet y, por lo tanto, son imposibles de atacar.
3. Segmentación de aplicaciones, no segmentación de redes: en el pasado, las organizaciones tenían que realizar una compleja segmentación de redes para evitar que un usuario (o una infección) se moviera lateralmente a través de la red. Esto funcionaba bastante bien, pero nunca era granular y requería un mantenimiento constante. SDP proporciona una segmentación de aplicaciones nativa que puede controlar el acceso de uno en uno, lo que da como resultado una segmentación mucho más granular que es mucho más fácil de administrar para su equipo de TI.
4. Uso seguro de Internet: con usuarios ubicados en todas partes y aplicaciones fuera de su centro de datos, su organización necesita alejarse de un enfoque centrado en la red. Debe trasladar la seguridad al lugar donde se encuentran sus usuarios, y esto implica aprovechar Internet como su nueva red corporativa. SDP se centra en proteger las conexiones entre usuarios y aplicaciones a través de Internet, en lugar de proteger el acceso de los usuarios a la red.

En cuanto a la arquitectura, el SDP difiere fundamentalmente de las soluciones centradas en la red. Los SDP eliminan la sobrecarga empresarial de implementar y administrar dispositivos. La adopción de una arquitectura SDP también simplifica su pila de entrada al reducir la dependencia de las VPN, la protección DDoS, el equilibrio de carga global y los dispositivos de cortafuegos.

Casos de uso de SDP

Si bien SDP tiene muchos casos de uso, muchas organizaciones eligen comenzar en una de las siguientes cuatro áreas:

Protección del acceso multinube

Muchas organizaciones aprovechan un modelo multinube, por ejemplo, combinando Workday y Microsoft 365, así como servicios de infraestructura de AWS y Azure. También pueden usar una plataforma en la nube para desarrollo, almacenamiento en la nube, etc. La necesidad de proteger estos entornos lleva a las organizaciones a SDP debido a su capacidad para proteger las conexiones según la política, sin importar desde dónde se conecten los usuarios o dónde se alojen las aplicaciones.

Reducción del riesgo de terceros

La mayoría de los usuarios de terceros reciben un acceso con excesivos privilegios que crea una brecha de seguridad para la empresa. Los SDP reducen significativamente el riesgo asociado a terceros al garantizar que los usuarios externos nunca accedan a la red y que sólo los usuarios autorizados accedan a las aplicaciones que tienen autorización para utilizar.

Integración acelerada de fusiones y adquisiciones

Durante las fusiones y adquisiciones tradicionales, la integración de TI puede durar años mientras las organizaciones unifican redes y se enfrentan a direcciones IP superpuestas, procesos increíblemente complejos. Un SDP simplifica el proceso, reduciendo drásticamente el tiempo necesario para garantizar una fusión y adquisición exitosa, y brindando valor inmediato a la empresa.

Sustitución de la VPN

Las organizaciones buscan reducir o eliminar el uso de las VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos notorios problemas de VPN al mejorar la capacidad de acceso remoto. 

De hecho, Cybersecurity Insiders dice que el 41 % de las organizaciones están buscando reevaluar su infraestructura de acceso seguro y considerar SDP; la mayoría de ellas requieren una implementación de TI híbrida y una cuarta parte implementa SaaS.

Ahora que hemos cubierto el funcionamiento interno y los casos de uso de SDP, echemos un vistazo a una red privada virtual o VPN.

¿Qué es una red privada virtual (VPN)?

Una red privada virtual (VPN) es un túnel cifrado que permite a un cliente establecer una conexión a Internet con un servidor sin entrar en contacto con el tráfico de Internet. A través de esta conexión VPN, la dirección IP de un usuario está oculta, lo que ofrece privacidad en línea cuando accede a Internet o a los recursos de la red corporativa, incluso en redes wifi públicas o puntos de acceso móvil, y en navegadores públicos como Chrome o Firefox.

Antes de la iteración original de VPN, conocida como protocolo de túnel punto a punto (PPTP), el intercambio seguro de información entre dos ordenadores requería una conexión con cable, lo cual era ineficiente y poco práctico a gran escala. 

Con el desarrollo de estándares de cifrado y la evolución de los requisitos de hardware personalizados para construir un túnel inalámbrico seguro, PPTP finalmente evolucionó hasta convertirse en lo que es hoy: el servidor VPN. Al poder aplicarse de forma inalámbrica, ahorraba molestias y costes a las empresas que necesitaban una transferencia inalámbrica segura de información. A partir de aquí, muchas empresas, incluidas Cisco, Intel y Microsoft, construyeron sus propios servicios VPN físicos y basados en software/la nube.

¿Cómo funciona una VPN?

Una VPN funciona tomando una conexión estándar de usuario a Internet y creando un túnel virtual cifrado que vincula al usuario con un dispositivo en un centro de datos. Este túnel protege el tráfico en tránsito para que los delincuentes que utilizan rastreadores web e implementan malware no puedan robar la información del usuario o de la entidad. Uno de los algoritmos de cifrado más comunes utilizados para las VPN es el Estándar de cifrado avanzado (AES), un cifrado de bloque simétrico (clave única) diseñado para proteger los datos en tránsito.

En la mayoría de los casos, sólo los usuarios autenticados pueden enviar su tráfico a través del túnel VPN. En función del tipo de VPN o de su proveedor, es posible que los usuarios tengan que volver a autenticarse para mantener su tráfico en movimiento a través del túnel y a salvo de los piratas informáticos.

Cómo las empresas utilizan las VPN

Las organizaciones utilizan VPN como medio para proteger a los usuarios que trabajan de forma remota y utilizan dispositivos móviles u otros puntos finales que pueden no considerarse seguros. Por ejemplo, las organizaciones pueden distribuir ordenadores portátiles con Windows o Mac para permitir que sus empleados trabajen desde casa cuando sea necesario. Por supuesto, esta noción está ahora muy extendida tras la pandemia de la COVID-19.

Las organizaciones implementan VPN para permitir que los usuarios remotos accedan de forma segura a los recursos corporativos a través de redes no protegidas, ya sea en casa, una cafetería, un hotel o cualquier otro lugar. La mayoría de los proveedores de servicios de Internet (ISP) cuentan con buenos protocolos de seguridad para proteger los datos no confidenciales que fluyen a través de las redes domésticas. Sin embargo, cuando se trata de datos confidenciales, las medidas de seguridad de las conexiones wifi domésticas no son lo suficientemente potentes como para protegerlos de forma independiente. Para aumentar la seguridad, las organizaciones implementan protocolos VPN.

Las VPN permiten a las organizaciones cerrar el flujo predeterminado de tráfico desde el enrutador al centro de datos y, en su lugar, enviarlo a través de un túnel cifrado, que protege los datos y el acceso a Internet de los usuarios que trabajan de forma remota, reduciendo (aunque no eliminando) la superficie de ataque de una organización.

SDP frente a VPN: ¿Cuáles son las diferencias?

La diferencia entre SDP y VPN es en su método de conectividad. Las VPN se centran en IP y en la red, y conectan los dispositivos de los usuarios a las redes. En cambio, SDP proporciona conexiones seguras entre usuarios autorizados y aplicaciones autorizadas, no la red.

Con las soluciones SDP, se establecen conexiones internas entre el usuario y la aplicación, en lugar de recibir conexiones entrantes desde el dispositivo a la red. Estas conexiones desde el interior hacia el exterior garantizan que las IP de las aplicaciones nunca queden expuestas a Internet al mismo tiempo que inhabilitan el acceso a la aplicación desde la red. Dado que los usuarios no tienen acceso a la red, la superficie de ataque se minimiza al mismo tiempo que los usuarios disfrutan de un acceso rápido y directo a las aplicaciones sin latencia relacionada con la red, una experiencia de usuario muy superior a la de las VPN.

Las organizaciones buscan reducir o eliminar el uso de las VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos notorios problemas de VPN al mejorar la capacidad de acceso remoto.

SDP y Zero Trust Network Access (ZTNA)

El modelo ZTNA se ha convertido en un marco de seguridad muy conocido, pero mucha gente no se da cuenta de que se basa en los mismos principios que el SDP. De hecho, ZTNA utiliza los principios y la funcionalidad de SDP. Con ambos métodos, no hay una red interna y los usuarios sólo pueden acceder a los recursos si el contexto que subyace a la solicitud (usuario, dispositivo, identidad, etc.) es correcto.

Para ayudar a las organizaciones a lograr un nivel tan alto de seguridad, los proveedores están prometiendo un marco ZTNA que puede mantener seguros los recursos de su organización. Pero muchos de estos marcos no son más que una plataforma de seguridad en la nube que se incorpora a la fuerza a los dispositivos heredados o, lo que es peor, están diseñados por proveedores de redes que añaden un módulo de seguridad en un esfuerzo por hacerse un hueco en el mundo de la seguridad.

Estas plataformas no ofrecen la escalabilidad, la flexibilidad y, sobre todo, la seguridad que puede ofrecer una plataforma construida en la nube y para la nube.

Zscaler, SDP y ZTNA

 Zscaler Zero Trust Exchange™ incluye Zscaler Private Access™ (ZPA), la única plataforma ZTNA de próxima generación del sector, construida sobre los principios de un SDP. ZPA redefine la conectividad y seguridad de las aplicaciones privadas para el personal híbrido actual al aplicar el principio de privilegio mínimo, que brinda a los usuarios conectividad directa y segura a aplicaciones privadas que se ejecutan en las instalaciones o en la nube pública, al tiempo que elimina el acceso no autorizado y el movimiento lateral.

Zscaler Private Access da a su organización el poder de:

• Aumentar la productividad del personal híbrido con un acceso rápido y sin problemas a aplicaciones privadas, tanto si sus usuarios están en casa, como en la oficina o en cualquier otro lugar.
• Mitigar el riesgo de filtraciones de datos al hacer que las aplicaciones sean invisibles para los atacantes y al mismo tiempo aplicar el acceso con menos privilegios, lo cual minimiza efectivamente su superficie de ataque y elimina el movimiento lateral.
• Detener a los adversarios más avanzados con la primera protección de aplicaciones privadas de su clase que minimiza el riesgo de usuarios comprometidos y atacantes activos.
• Extender la seguridad de confianza cero en aplicaciones, cargas de trabajo e IoT con la plataforma ZTNA más completa del mundo que brinda acceso con menos privilegios a aplicaciones privadas, cargas de trabajo y dispositivos OT/IIoT.

Reducir la complejidad operativa con una plataforma nativa en la nube que elimina las VPN heredadas que son difíciles de escalar, administrar y configurar en un mundo donde la nube es lo primero.