Visto: 237

SDP, La evolución de las VPNs y NAC

Inicio desactivadoInicio desactivadoInicio desactivadoInicio desactivadoInicio desactivado
 

Nunca se podrás estar 100% actualizado con las tendencias de tecnologías nuevas emergentes en el mercado.

Pero siempre habra alguien que encontró algo innovador y que comienza a marcar tendencia.

 

20201215 02

 

Así nos paso hace poco mas de un año, platicando con un cliente nos preguntaba por una solución de SDP, lo cual nos hizo quedarnos unos segundos en silencio y al momento ya estábamos en google buscando ese concepto. Se le comento que lo revisaríamos con el resto del equipo técnico y regresábamos con otra llamada.

Ese mismo día supimos que era SDP, lo cual nos dejo con el ojo cuadrado y al mismo tiempo con muchas dudas técnicas de arquitectura.

Solo el propio concepto de SDP causo un choque emocional porque habíamos estado trabajando siempre con la tecnología tradicional desde hace años, podría sentir que ha sido casi por siempre .

Al siguiente día supimos que un buen conocido estaba trabajando en una empresa en la cual uno de sus productos era precisamente SDP, esta empresa es Appgate.

No entrare en la historia de la compañía, por que ya tiene su trayectoria bien reconocida, pero si en el detalle de la innovación y beneficios que trae Appgate ante la postura de un mejor control de acceso a los recursos de las organizaciones.

Antes de definir SDP, es necesario comentar la problemática que ha estado incrementándose en las empresas cada ves mas en relación al control de accesos a los recursos de una manera eficiente y segura, que desafortunadamente se sigue manejando con las mismas herramientas que existen en el mercado desde hace años.

El modelo actual de muchos es antiguo e inseguro, está basado en “Confianza Implícita”, en donde el enfoque esta en Conectar Primero, Autenticar Después.

En términos simples de Appgate:

Es como si al llegar alguien a la puerta de tu casa y toca, se le da permiso de entrar y una vez que esta dentro, se le pregunta quien es y que es lo que quiere.

Estamos hablando, nada mas y nada menos, de las VPNs y soluciones NAC, con las cuales las empresas invierten miles y miles de dólares en establecer un perímetro robusto con firewall de siguiente generación (NGFW), que fundamentalmente siguen haciendo lo mismo desde hace mas de dos décadas y no se diga de las complejas soluciones de NAC, de las cuales antes de poder operar, si es que se llegan a implementar con éxito o en su totalidad, se debe pasar por una buena consultoría de compatibilidad con la infraestructura actual del cliente y evaluar si no se tiene que adquirir algo adicional en la red.

Los Firewalls son binarios y estáticos, simplemente preguntan: ¿Debe tener acceso esta IP a esta red o destino?

Por eso esta postura tradicional ya no esta siendo suficiente frente a la oleada de ataques avanzados que estamos viendo día a día.

 

¿Qué es el modelo de seguridad Zero-Trust?

Termino acuñado por Forrester Research, centrado en el principio de que las organizaciones no deberían confiar automáticamente en nada/nadie sin importar qué provenga del interior o del exterior de su red.

Entonces, ¿Qué es SDP?

Software-Defined Perimeter, es un nuevo modelo de seguridad de red que dinámicamente crea conexiones 1 a 1 entre los usuarios y los recursos a los que desean acceder.

Se centra en la identidad del usuario en lugar de los recursos a los que desea acceder.

SDP esta basado en 3 principios fundamentales:

  1. Centrado en la identidad, el usuario es autenticado ANTES, de que tengan permitido entrar a la red.
  2. Zero-Trust, esto aplica el principio de el privilegio mínimo, que es no confiar automáticamente en nada o nadie, siempre se debe de autenticar primero
  3. Centrado en la Nube, SDP esta creado para que no sea un cuello de botella, es escalable como la infraestructura Cloud y completamente distribuido.

Yo agregaría un cuarto principio que anteriormente veíamos en otra literatura de Appgate, que es guardar registro de toda actividad que se esta llevando acabo y poder determinar trafico sospechoso.

Así que el concepto simple que propone Appgate es al revés de lo que tradicionalmente hemos estado haciendo, es decir, Autenticar Primero, Conectar Después.

El modelo SDP controlan el acceso a los recursos de red que se encuentran en entornos híbridos, en un centro de datos corporativo o en la nube, lo que significa que se pueden aplicar políticas de acceso coherentes.

20201215 03

 

SDP utiliza la tecnología de Single Packet Authorization (SPA), una versión sofisticada de port knocking, para hacer cumplir el enfoque de “autenticar primero, conectar después”. SPA oculta la infraestructura para que sea invisible a los escaneos de puertos. Garantiza que solo los usuarios autorizados puedan conectarse a los recursos de la red. Esto reduce la superficie de ataque y mejora significativamente la seguridad:

  • Todos los recursos son invisibles para reconocimientos potencialmente peligrosos
  • Solo los usuarios autenticados pueden conectarse
  • Los ataques DDoS son ineficaces
  • Los usuarios no autorizados no pueden afectar a los servidores

 

Arquitectura Técnica

En SDP se cuenta con tres componentes fundamentales:

  1. Cliente: un agente que corre en cada dispositivo
  2. Controladora: donde los usuarios se autentican, se aplica la política y se evalúa a los usuarios. el controlador emite tokens que otorgan a cada usuario sus derechos de red individualizados
  3. Un grupo de Gateways: son los brokers de acceso a los recursos protegidos.

 

20201215 04

 

La Magia del SDP – Live Entitlements

Live Entitlements son atributos de seguridad dinámicos y sensibles al contexto que confirman la identidad del usuario al tiempo que brindan la flexibilidad necesaria para ajustarse a variables cambiantes, como cambios ambientales / de infraestructura, ubicación del usuario, hora del día y sensibilidad de la carga de trabajo. Live Entitlements mantienen la seguridad sin interacciones manuales, a menudo necesarias cuando se modifican las reglas tradicionales de firewall estático.

20201215 05

Es momento de evolucionar si deseamos estar a la altura de los mecanismos cada vez mas avanzados de ataques, exfiltración de datos, ransomware, etc, etc.

 

Fuente de información: https://itcrew.mx/sdp-la-evolucion-de-las-vpns-y-nac/