sdp-appgate

SDP, la evolución de las VPN y NAC

Publicado el: 3 de enero de 2021|Categorías: Artículos|Etiquetas: , , , , , |

Nunca podrás estar 100% actualizado con las tendencias de tecnologías nuevas emergentes en el mercado, siempre habrá alguien que encontró algo innovador y que comienza a marcar tendencia. Así nos pasó hace poco mas de un año, platicando con un cliente nos preguntaba por una solución de SDP, lo cual nos hizo quedarnos unos segundos en silencio y al momento ya estábamos googleando ese concepto. Le comentamos que lo revisaríamos con el resto del equipo técnico y regresábamos con otra llamada.

Ese mismo día supe de qué se trataba el concepto SDP, lo cual me dejo con el ojo cuadrado y al mismo tiempo con muchas dudas técnicas de arquitectura. Solo el propio concepto de SDP causó un choque emocional por qué habíamos estado trabajando siempre con la tecnología tradicional desde hace años, podría sentir que ha sido casi por siempre 😅.

Al siguiente día supimos que un buen conocido estaba trabajando en una empresa en la cual uno de sus productos era precisamente SDP, habló de la empresa Appgate.

No entraré en la historia de la compañía, por que ya tiene su trayectoria bien reconocida, pero sí en el detalle de la innovación y beneficios que trae Appgate ante la postura de un mejor control de acceso a los recursos de las organizaciones.

El problema

Antes de definir SDP, es necesario comentar la problemática que ha estado incrementándose en las empresas cada vez mas en relación al control de accesos a los recursos de una manera eficiente y segura; que desafortunadamente se sigue manejando con las mismas herramientas que existen en el mercado desde hace años.

El modelo actual de muchos es antiguo e inseguro, está basado en “confianza implícita”, en donde el enfoque está en Conectar Primero, Autenticar Después.

En términos simples de Appgate:

Es como si alguien llegara a la puerta de tu casa y toca la puerta, le das permiso de entrar y una vez que está dentro, se le pregunta ¿quién eres? y ¿qué es lo que quieres?

Estamos hablando, nada más y nada menos, de las VPNs y soluciones NAC; con las cuales las empresas invierten miles y miles de dólares en establecer un perímetro robusto con firewall de siguiente generación (NGFW). Que fundamentalmente siguen haciendo lo mismo desde hace mas de dos décadas y no se diga de las complejas soluciones de NAC, de las cuales antes de poder operar, si es que se llegan a implementar con éxito o en su totalidad, se debe pasar por una buena consultoría de compatibilidad con la infraestructura actual del cliente y evaluar si no se tiene que adquirir algo adicional en la red.

Los Firewalls son binarios y estáticos, simplemente preguntan: ¿Debe tener acceso esta IP a esta red o destino?

Por eso esta postura tradicional ya no esta siendo suficiente frente a la oleada de ataques avanzados que estamos viendo día con día.

¿Qué es el modelo de seguridad Zero-Trust?

Zero Trust es un término acuñado por Forrester Research, centrado en el principio de que las organizaciones no deberían confiar automáticamente en nada/nadie sin importar qué provenga del interior o del exterior de su red.

Entonces, ¿Qué es SDP?

Software-Defined Perimeter, es un nuevo modelo de seguridad de red que dinámicamente crea conexiones 1 a 1 entre los usuarios y los recursos a los que desean acceder.

Se centra en la identidad del usuario en lugar de los recursos a los que desea acceder.

SDP esta basado en 3 principios fundamentales:

  1. Centrado en la identidad, el usuario es autenticado antes, de que tengan permitido entrar a la red.
  2. Zero-Trust, esto aplica el principio de el privilegio mínimo, que es no confiar automáticamente en nada o nadie, siempre se debe de autenticar primero
  3. Centrado en la Nube, SDP esta creado para que no sea un cuello de botella, es escalable como la infraestructura Cloud y completamente distribuido.

Yo agregaría un cuarto principio que anteriormente veíamos en otra literatura de Appgate, que es guardar registro de toda actividad que se esta llevando acabo y poder determinar trafico sospechoso.

Así que el concepto simple que propone Appgate es al revés de lo que tradicionalmente hemos estado haciendo, es decir: Autenticar primero, Conectar después.

El modelo SDP controla el acceso a los recursos de red que se encuentran en entornos híbridos, en un centro de datos corporativo o en la nube, lo que significa que se pueden aplicar políticas de acceso coherentes.

SDP utiliza la tecnología de Single Packet Authorization (SPA), una versión sofisticada de port knocking; para hacer cumplir el enfoque de “autenticar primero, conectar después”. SPA oculta la infraestructura para que sea invisible a los escaneos de puertos. Garantiza que solo los usuarios autorizados puedan conectarse a los recursos de la red. Esto reduce la superficie de ataque y mejora significativamente la seguridad:

  • Todos los recursos son invisibles para reconocimientos potencialmente peligrosos
  • Solo los usuarios autenticados pueden conectarse
  • Los ataques DDoS son ineficaces
  • Los usuarios no autorizados no pueden afectar a los servidores

Arquitectura Técnica

En SDP se cuenta con tres componentes fundamentales:

  1. Cliente: un agente que se ejecuta en cada dispositivo.
  2. Controladora: donde los usuarios se autentican, se aplica la política y se evalúa a los usuarios. El controlador emite tokens que otorga a cada usuario sus derechos de red individualizados.
  3. Un grupo de gateways: son los brokers de acceso a los recursos protegidos.

La magia del SDP – Live Entitlements

Live Entitlements son atributos de seguridad dinámicos y sensibles al contexto que confirman la identidad del usuario al tiempo que brindan la flexibilidad necesaria para ajustarse a variables cambiantes, como cambios ambientales o de infraestructura, ubicación del usuario, hora del día y sensibilidad de la carga de trabajo. Live Entitlements mantienen la seguridad sin interacciones manuales, a menudo necesarias cuando se modifican las reglas tradicionales de firewall estático.

Es momento de evolucionar si deseamos estar a la altura de los mecanismos cada vez mas avanzados de ataques, ex filtración de datos, ransomware, entre otros.

 

 

Fuentes: Zero TrustAppgate

Comparte esta historia!

Newsletter Semanal

Lo más relevante de ciberseguridad y tecnología.

Recibir Newsletter Semanal