fbpx

Perimetro definido por software

Es hora de un enfoque basado en identidad 

La IT de hoy necesita seguridad flexible y adaptable que se construya a partir de la identidad de los usuarios y no en las diferentes redes que estos consumen. Este enfoque se denomina Perímetro Definido por Software.

Un Perímetro Definido por Software dinámicamente crea conexiones “uno a uno” entre los usuarios y los datos que acceden, solucionando así las necesidades de una organización moderna sin perímetro.

Un Perímetro Definido por Software consta de tres principios fundamentales:

IDENTIDAD DE LOS USUARIOS

Un perímetro de este tipo opera alrededor del usuario, el cual debe ser autenticado ANTES de poder conectarse a una red.

ZERO TRUST

El Perímetro Definido por Software aplica el modelo Zero Trust para autenticar a cualquier usuario que trate de ingresar a los recursos en red. Los activos o recursos que no hayan sido autorizados permanecerán invisibles. Este modelo utiliza el principio de otorgar los menores privilegios posibles para reducir la superficie de ataque.

Por defecto, los usuarios no pueden conectarse con ningún recurso, de forma contraria a las redes corporativas tradicionales, en las cuales el usuario recibe acceso a todos los recursos disponibles en la red una vez se le asigna una dirección IP. En vez de esto, Zero Trust crea una conexión “uno a uno” desde el dispositivo del usuario hacia un recurso específico siempre y cuando se cumplan los criterios de acceso necesarios. Todos los demás recursos permanecerán invisibles.

CONSTRUIDO COMO LA NUBE Y PARA LA NUBE

El Perímetro Definido por Software fue construido como la nube y para la nube. Este enfoque no tiene cuellos de botella en la red y es completamente escalable como la Internet misma. El Perímetro Definido por Software no es un simple dispositivo basado en perímetro insertado en una máquina virtual, sino que ha sido diseñado específicamente para operar en la nube de forma nativa. Además, es completamente compatible con todas las redes corporativas existentes.

“Autenticar primero, conectar después”

La premisa fundamental de un perímetro Definido por Software es que utiliza el enfoque “autenticar primero, conectar después”. A diferencia de una red tradicional que conecta varios roles o grupos a un segmento de la red y luego depende de permisos a nivel de la aplicación para ejecutar la autorización, el Perímetro Definido por Software crea un canal individual para cada usuario lo cual permite un control de acceso más minucioso.

El contexto de los usuarios cambia constantemente y los perímetros deben ser capaces de cambiar a la par. Un Perímetro Definido por Software controla el acceso a los recursos en entornos híbridos, ya sean centros de datos locales o en la nube. Eso significa que se deben aplicar políticas de acceso consistentes a través de toda la infraestructura de una entidad.

El enfoque “autenticar primero, conectar después” garantiza que solo los usuarios autorizados puedan conectarse a los recursos de la red. Esto reduce la superficie de ataque y mejora la seguridad sustancialmente:

  • Todos los recursos son invisibles ante potenciales intentos de reconocimiento. 
  • Solo los usuarios autenticados pueden conectarse.
  • Los ataques DDoS son inefectivos.
  • Los usuarios no autorizados no tienen impacto alguno sobre la información.

HISTORIA DEL PERÍMETRO DEFINIDO POR SOFTWARE

Los principios detrás del Perímetro Definido por Software (o SDP por su sigla en inglés) no son realmente nuevos. Diversas entidades dentro del Departamento de Defensa y la comunidad de inteligencia de EE.UU. han implementado arquitecturas similares centradas en la autenticación y autorización del usuario previas al acceso.

Comúnmente utilizadas en redes clasificadas de alto nivel (según define el Departamento de Defensa), cada servidor se encuentra oculto tras un portal de acceso remoto donde el usuario debe autenticarse antes de poder acceder a los recursos.

SDP aprovecha el modelo lógico utilizado en redes clasificadas y lo incorpora en un flujo de trabajo estándar. Este tipo de perímetro mantiene todos los beneficios de un modelo “según la necesidad” pero elimina las desventajas de tener un portal de acceso remoto. Adicionalmente, un Perímetro Definido por Software requiere que los usuarios se autentiquen y sean autorizados antes de acceder a los servidores protegidos. Luego, las conexiones cifradas son creadas en tiempo real entre los usuarios y los recursos.