Software Defined Perimeter (SDP), o tambien conocida como la "Black Cloud,"

Quien actúa ya hace algunos años con IT o Seguridad debe recordar del famoso y tan nombrado perímetro de seguridad y de las herramientas de protección perimetral. Básicamente, el perímetro era responsable de aislar nuestro entorno, creando una barrera que sólo los usuarios autorizados y confiables pudieran acceder a las aplicaciones, información, sistemas, etc..  Estaba claro el límite entre el entorno externo e interno, acceso público y restringido, red interna y dmz, etc…

Históricamente, cada vez que hablamos de proteger nuestro entorno e infraestructura, pensamos establecer un perímetro de seguridad, fortalecer las soluciones de seguridad de frontera y segregar la infraestructura, buscando proteger el entorno de las amenazas externas que puedan comprometer nuestros sistemas. Sin embargo, el perímetro de la forma que conocemos se ha vuelto obsoleto rápidamente por un número de razones, entre ellas:

• Internet tiene muchas falencias cuando hablamos de seguridad, pero eso es parte de su mismo ADN. Y si las cosas se quedan como son, esas falencias sólo empeoraran.

• los atacantes pueden fácilmente acceder a los dispositivos dentro del perímetro y atacar la infraestructura de un punto interno

• Conceptos como BYOD aumentan las posibilidades de tener un dispositivo comprometido dentro del perímetro de seguridad establecido

• la infraestructura tradicional (interno y centros de datos) se migran a la nube, haciendo que los sistemas y aplicaciones a migrar estén fuera del perímetro

• El gran movimiento de aparatos, dentro y fuera del perímetro y la migración de sistemas y aplicaciones fuera del ambiente controlado, convierten el perímetro cada vez menos eficiente.

• Si estamos cambiando la forma en que consumimos tecnología, también hay que cambiar cómo la protegemos. 

Software define perímetro

SDP (Software define perímetro) es un nuevo concepto de perímetro definido de software, que permite al propietario de la aplicación proteger su infraestructura, independiente del entorno.

Mientras que el perímetro de seguridad tradicional busca establece un perímetro alrededor de las aplicaciones y sistemas, el enfoque SDP es establecer un perímetro alrededor del usuario. De esta manera, tenemos un perímetro dinámico, que refleja el tipo de entorno cambiante utilizado actualmente y capaz de proteger a los usuarios y aplicaciones mientras se mueven.

El concepto de SDP, entre otros:

• autenticación y validación de dispositivos

• acceso basado en identidad

• aprovisionamiento dinámico de conexiones para ocultar aplicaciones de usuarios no autorizados

Introducción al SDP

Ahora que somos conscientes del cambio de perímetro (y los principales motivadores del cambio), podemos entender por qué las herramientas y los enfoques tradicionales a la seguridad de la red no son eficientes para la protección de este nuevo entorno. Las herramientas ampliamente conocidas y usadas para la protección del perímetro tradicional, dejan las aplicaciones y la infraestructura expuesta en internet, garantizando acceso excesivo a usuario no autorizados, o poco fiables. Generando así brechas de seguridad graves y exponen nuestra infraestructura a una serie de ataques de red.

SDP (Software define perímetro) es un nuevo concepto de perímetro definido de software, que permite al propietario de la aplicación proteger su infraestructura, independiente del entorno. La iniciativa de investigar el concepto de perímetro definido de Software fue lanzada en 2013, por CSA Cloud Security Alliance, con el objetivo de encontrar una manera eficaz bloquear los ataques de red a la infraestructura de aplicaciones. El modelo SDP utiliza como base el concepto originario en la Defense Information Systems Agency (DISA), donde se hacen las conexiones de red y acceso usando el principio de “need-to-know”, La CSA define el SDP como “on-demand, dynamically-provisioned, air gapped networks”.

Los componentes utilizados en el SDP son viejos conocidos, la gran innovación es como se han integrado y desplegado. Hasta hoy, el acceso a un medio entorno fue: conectar -> identificar -> autorizar. Con la implementación de la SDP es ahora: identificar >> autorizar >> conectar. El modelo SDP esconde la infraestructura, dejando las aplicaciones invisibles para todos los usuarios. Después de que el usuario está autenticado, o dispositivo validado, y ambos autorizados se crea un túnel dinámico entre el usuario y la aplicación.

A lo largo de la investigación y el desarrollo de un prototipo para validar el concepto, el modelo SDP demostró ser eficaz para detener todas las formas de ataque de red, incluyendo DDoS, Man in the Middle, Sever Query y Advanced Persistent Threat (APT).

El concepto de SDP está tomando una envergadura cada vez mayor y llamando mucho la atención en los últimos meses, siendo citado por Gartner:

"Hasta el final de 2017, por lo menos el 10% de organizaciones empresariales (hasta de menos de 1% hoy) aprovechará la tecnología del perímetro definido por software (SDP) para aislar ambientes sensibles."

También podemos el mismo en la última presentación de Kirk House: Global Director, Enterprise Architecture - The Coca Cola Company llamada “Re-Think Security”