¿Cuál es la diferencia entre SDP y VPN?

¿Qué es un perímetro definido por software (SDP)?

El perímetro definido por software (SDP) es un enfoque de seguridad que distribuye el acceso a aplicaciones internas en función de la identidad de un usuario, con una confianza que se adapta según el contexto. Mientras que la seguridad tradicional está centralizada en el centro de datos, el SDP está en todas partes y se entrega a través de la nube. Utiliza la política empresarial para determinar la autenticación del usuario final en los recursos, lo que la convierte en una parte importante de la seguridad de las organizaciones que priorizan la nube y los dispositivos móviles.

Conceptualizados por primera vez por la Agencia de Sistemas de Información de Defensa (DISA) en 2007, los SDP se basan en un modelo de necesidad de saber con confianza que se supervisa y adapta constantemente en función de una variedad de criterios. Hacen que la infraestructura de aplicaciones sea invisible para Internet, lo que reduce la superficie de ataque de los ciberataques basados en la red (DDoS, ransomware, malware, análisis de servidores, etc.).

La Cloud Security Alliance (CSA) se interesó en el concepto y comenzó a desarrollar el marco SDP en sus primeras etapas. En 2011, aunque SDP todavía era un concepto novedoso, Google se convirtió en uno de los primeros en adoptarlo con el desarrollo de su propia solución SDP, Google BeyondCorp. Hoy en día, las organizaciones que adoptan SDP están modernizando la seguridad de sus terminales, la nube y las aplicaciones, especialmente en medio del cambio hacia el trabajo desde cualquier lugar.

¿Cómo funciona un SDP?

1. La confianza nunca es implícita: la seguridad de red tradicional ofrece a los usuarios una confianza excesiva. Con un SDP, se debe ganar la confianza. Los SDP sólo otorgan acceso a la aplicación a los usuarios que están autenticados y autorizados específicamente para usar esa aplicación. Además, a los usuarios autorizados sólo se les concede acceso a la aplicación, no a la red.
2. Sin conexiones entrantes: a diferencia de una red privada virtual (VPN), que escucha las conexiones entrantes, los SDP no reciben conexiones entrantes. Al responder con conexiones exclusivamente salientes, los SDP mantienen la infraestructura de redes y aplicaciones invisibles u ocultas a Internet y, por lo tanto, imposibles de atacar.
3. Segmentación de aplicaciones, no segmentación de redes: en el pasado, las organizaciones tenían que realizar una compleja segmentación de redes para evitar que un usuario (o una infección) se moviera lateralmente a través de la red. Esto funcionaba bastante bien, pero nunca fue granular y requería un mantenimiento constante. SDP proporciona segmentación de aplicaciones nativas, que reduce los controles de acceso a uno a uno, lo que da como resultado una segmentación mucho más granular que es mucho más fácil de administrar para su equipo de TI.
4. Uso seguro de Internet: con usuarios en todas partes y aplicaciones moviéndose fuera de su centro de datos, su organización necesita alejarse de un enfoque centrado en la red. Necesita trasladar la seguridad a donde están sus usuarios, y esto significa aprovechar Internet como su nueva red corporativa. SDP se centra en proteger las conexiones de usuario a aplicación a través de Internet en lugar de proteger el acceso de los usuarios a su red.

Desde un punto de vista arquitectónico, SDP se diferencia fundamentalmente de las soluciones centradas en la red. Los SDP eliminan la sobrecarga empresarial que implica implementar y administrar dispositivos. La adopción de una arquitectura SDP también simplifica su pila entrante al reducir la dependencia de VPN, protección DDoS, equilibrio de carga global y dispositivos de cortafuegos.

Casos de uso de SDP

Si bien SDP tiene muchos casos de uso, muchas organizaciones optan por comenzar en una de las siguientes cuatro áreas:

Seguridad del acceso a múltiples nubes

Muchas organizaciones aprovechan un modelo de múltiples nubes, por ejemplo, combinando Workday y Microsoft 365, así como servicios de infraestructura de AWS y Azure. También pueden utilizar una plataforma en la nube para desarrollo, almacenamiento en la nube y más. La necesidad de proteger estos entornos lleva a las organizaciones a recurrir al SDP debido a su capacidad para proteger las conexiones según políticas, sin importar desde dónde se conectan los usuarios o dónde se alojan las aplicaciones.

Reducción del riesgo de terceros

La mayoría de los usuarios de terceros reciben acceso con privilegios excesivos, lo que crea una brecha de seguridad para la empresa. Los SDP reducen significativamente el riesgo de terceros al garantizar que los usuarios externos nunca obtengan acceso a la red y que los usuarios autorizados tengan acceso exclusivamente a las aplicaciones que tienen permitido usar.

Acelerando la integración de fusiones y adquisiciones

Con las fusiones y adquisiciones tradicionales, la integración de TI puede durar años a medida que las organizaciones convergen redes y lidian con direcciones IP superpuestas: procesos increíblemente complejos. Un SDP simplifica el proceso, reduciendo drásticamente el tiempo necesario para garantizar una fusión y adquisición exitosa y aportando valor inmediato al negocio. Las organizaciones

de reemplazo de VPN

buscan reducir o eliminar el uso de VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos notorios problemas de VPN mejorando la capacidad de acceso remoto. 

De hecho, Cybersecurity Insiders indica que el 41 % de las organizaciones están buscando reevaluar su infraestructura de acceso seguro y considerar SDP, y la mayoría de ellas requieren una implementación de TI híbrida y una cuarta parte implementa SaaS.

Ahora que hemos cubierto el funcionamiento interno y los casos de uso de SDP, echemos un vistazo a una red privada virtual o VPN.

¿Qué es una red privada virtual (VPN)?

Una red privada virtual (VPN) es un túnel cifrado que permite a un cliente establecer una conexión a Internet con un servidor sin entrar en contacto con el tráfico de Internet. A través de esta conexión VPN, la dirección IP de un usuario está oculta, lo que ofrece privacidad en línea cuando accede a Internet o a los recursos de la red corporativa, incluso en redes Wi-Fi públicas o puntos de acceso móvil y en navegadores públicos como Chrome o Firefox.

Antes de la iteración original de VPN, conocida como protocolo de túnel punto a punto (PPTP), el intercambio seguro de información entre dos computadoras requería una conexión cableada, lo cual era ineficiente y poco práctico a gran escala.

Con el desarrollo de estándares de cifrado y la evolución de los requisitos de hardware personalizados para construir un túnel inalámbrico seguro, PPTP finalmente evolucionó hasta convertirse en lo que es hoy: el servidor VPN. Al poder aplicarse de forma inalámbrica, ahorró molestias y costes a las empresas que necesitaban una transferencia inalámbrica segura de información. A partir de aquí, muchas empresas, incluidas Cisco, Intel y Microsoft, construyeron sus propios sistemas físicos y

¿Cómo funciona una VPN?

Una VPN funciona tomando una conexión estándar de usuario a Internet y creando un túnel virtual cifrado que vincula al usuario con un dispositivo en un centro de datos. Este túnel protege el tráfico en tránsito para que los delincuentes que utilizan rastreadores web e implementan malware no puedan robar la información del usuario o de la entidad. Uno de los algoritmos de cifrado más comunes utilizados para las VPN es el Estándar de cifrado avanzado (AES), un cifrado de bloque simétrico (clave única) diseñado para proteger los datos en tránsito.

En la mayoría de los casos, sólo los usuarios autenticados pueden enviar su tráfico a través del túnel VPN. Dependiendo del tipo de VPN o de su proveedor, es posible que los usuarios tengan que volver a autenticarse para mantener su tráfico viajando a través del túnel y a salvo de los piratas informáticos.

Cómo las empresas utilizan las VPN

Las organizaciones utilizan VPN como medio para proteger a los usuarios que trabajan de forma remota y utilizan dispositivos móviles u otros puntos finales que pueden no considerarse seguros. Por ejemplo, las organizaciones pueden distribuir ordenadores portátiles con Windows o Mac para permitir que sus empleados trabajen desde casa cuando sea necesario. Por supuesto, esta noción está ahora muy extendida tras la pandemia de COVID-19.

Las organizaciones implementan VPN para permitir que los usuarios remotos accedan de forma segura a los recursos corporativos a través de redes no protegidas, ya sea en casa, una cafetería, un hotel o cualquier otro lugar. La mayoría de los proveedores de servicios de Internet (ISP) cuentan con buenos protocolos de seguridad para proteger los datos no confidenciales que fluyen a través de las redes domésticas. Sin embargo, cuando se trata de datos confidenciales, las medidas de seguridad de las wifi domésticas no son lo suficientemente fuertes como para protegerlos por sí solas, lo que lleva a las organizaciones a implementar protocolos VPN para mayor seguridad.

Las VPN permiten a las organizaciones cerrar el flujo predeterminado de tráfico desde el enrutador al centro de datos y, en su lugar, enviarlo a través de un túnel cifrado, que protege los datos y asegura el acceso a Internet de los usuarios que trabajan de forma remota, reduciendo (pero no eliminando) la superficie de ataque de una organización.

SDP frente a VPN: ¿Cuáles son las diferencias?

Donde realmente se diferencian SDP y VPN es en su método de conectividad. Las VPN se centran en IP y en la red y conectan los dispositivos de los usuarios a las redes. En cambio, SDP proporciona conexiones seguras entre usuarios autorizados y aplicaciones autorizadas, no la red.

Con las soluciones SDP, se establecen conexiones internas entre el usuario y la aplicación, en lugar de recibir conexiones entrantes desde el dispositivo a la red. Estas conexiones de adentro hacia afuera garantizan que las IP de las aplicaciones nunca queden expuestas a Internet y al mismo tiempo desacoplan el acceso a las aplicaciones de la red. Dado que los usuarios no reciben acceso a la red, la superficie de ataque se minimiza mientras los usuarios disfrutan de un acceso rápido y directo a las aplicaciones sin latencia relacionada con la red, una experiencia de usuario muy superior a la VPN.

Las organizaciones buscan reducir o eliminar el uso de VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos notorios problemas de VPN mejorando la capacidad de acceso remoto seguro.

SDP y Zero Trust Network Access (ZTNA)

El modelo ZTNA se ha convertido en un marco de seguridad muy conocido, pero mucha gente no se da cuenta de que se basa en los mismos principios que el SDP. De hecho, ZTNA utiliza los principios y la funcionalidad de SDP. Con ambos métodos, no hay una red interna y los usuarios solo pueden acceder a los recursos si se puede validar el contexto detrás de la solicitud (usuario, dispositivo, identidad, etc.).

Para ayudar a las organizaciones a lograr un nivel tan alto de seguridad, los proveedores prometen un marco ZTNA que puede mantener seguros la red, los datos y los recursos de la nube de su organización. Pero muchos de estos marcos son simplemente una plataforma de seguridad en la nube que se adapta a dispositivos heredados o, peor aún, están diseñados por proveedores de redes que pegan un módulo de seguridad en un esfuerzo por ingresar al espacio de la seguridad.

Estas plataformas no ofrecen la escalabilidad, flexibilidad y, sobre todo, seguridad que puede ofrecer una plataforma construida en la nube, para la nube.

Zscaler, SDP y ZTNA

 Zscaler Zero Trust Exchange™ incluye Zscaler Private Access™ (ZPA), la única plataforma ZTNA de próxima generación del sector, construida sobre los principios de un SDP. ZPA redefine la conectividad y la seguridad de aplicaciones privadas para el personal híbrido actual al aplicar el principio de privilegio mínimo, que brinda a los usuarios conectividad segura y directa a aplicaciones privadas que se ejecutan en las instalaciones o en la nube pública, al tiempo que elimina el acceso no autorizado y el movimiento lateral.

Zscaler Private Access brinda a su organización el poder de:

• Impulsar la productividad del personal con un acceso rápido y fluido a aplicaciones privadas, tanto si sus usuarios están en casa, en la oficina o en cualquier otro lugar.
• Mitigar el riesgo de infracciones de datos al hacer que las aplicaciones sean invisibles para los atacantes mientras imponiendo el acceso con privilegios mínimos, minimizando eficazmente su superficie de ataque y eliminando el movimiento lateral.
• Detenga a los adversarios más avanzados con la primera protección de aplicaciones privadas de su tipo que minimiza el riesgo de usuarios en peligro y atacantes activos.
• Extienda la seguridad de confianza cero en aplicaciones, cargas de trabajo, e IoT con la plataforma ZTNA más completa del mundo que brinda acceso con menos privilegios a aplicaciones privadas, cargas de trabajo y dispositivos OT/IIoT

Reduzca la complejidad operativacon una plataforma nativa de la nube que elimina las VPN heredadas que son difíciles de escalar, administrar y configurar en un mundo donde la nube es lo primero