VPN frente a SDP

En un mundo donde las tradicionales fronteras rojas ya no existen, las VPN están mostrando su edad.

Las redes privadas virtuales (VPN) existen desde hace más de dos décadas y proporcionan túneles seguros y cifrados para comunicaciones y datos. Si bien hay varios tipos de VPN, incluyendo SSL-VPNs e IPSec, por nombrar dos, la idea básica es la misma independientemente de la implementación. Con una VPN, se crea un túnel de transporte IP seguro cuyo objetivo es garantizar que los datos estén seguros porque el acceso está cifrado.

VPN Trial Solicite una demostración

VPN frente a SDP

El concepto de perímetro definido por software (SDP) es algo más nuevo y apareció originalmente en 2013, bajo la dirección inicial de la Alianza seguridad en la nube (CSA). Con el modelo SDP, en lugar de simplemente confiar en que un túnel cifrado sea seguro porque utiliza Transport Layer Security (TLS), no se supone confianza, de ahí el uso del término “confianza cero” por muchos proveedores en relación con SDP.

En una arquitectura SDP típica, hay varios puntos en los que todas y cada una de las conexiones se validan e inspeccionan para ayudar a probar la autenticidad y limitar el riesgo. Por lo general, en el modelo SDP hay un controlador que define las políticas mediante las cuales los clientes pueden conectarse y obtener acceso a diferentes recursos. El componente de puerta de enlace ayuda a dirigir el tráfico al centro de datos o recursos de la nube correctos. Finalmente, el dispositivo y los servicios utilizan un cliente SDP que se conecta y solicita acceso desde el controlador a los recursos. Algunas implementaciones de SDP no tienen agente.

La premisa básica bajo la cual se construyeron e implementaron originalmente las VPN es que existe un perímetro empresarial, aparentemente protegido con dispositivos de seguridad perimetral como IDS/IPS y firewall. Una VPN permite a un usuario remoto o socio comercial crear un túnel a través del perímetro para obtener acceso al interior de una empresa, proporcionando privilegios de acceso local, incluso cuando es remoto.

La realidad de la empresa de TI moderna es que el perímetro ya no existe, con personal, contratistas y socios trabajando en campus, de forma remota y en la nube y en todo el mundo. Ese es el mundo en el que SDP nació y su objetivo es resolver.

Las VPN de hoy en día todavía se utilizan ampliamente y siguen siendo útiles para ciertos tipos de acceso remoto y necesidades de trabajadores móviles, pero implican una cierta cantidad de confianza implícita o concedida. La red empresarial confía en que alguien que tenga las credenciales de VPN correctas debería tenerlas y se le permitirá el acceso. Ahora bien, si ese usuario de VPN resulta ser un usuario malintencionado o las credenciales fueron robadas por una persona no autorizada que ahora tiene acceso a una red local, eso es una especie de problema, y un problema que las VPN por diseño realmente no resuelven. todo muy bien, en todo caso.

Se puede utilizar un modelo SDP o de confianza cero dentro de la empresa moderna sin perímetro para ayudar a proteger a los usuarios remotos, móviles y de la nube, así como a las cargas de trabajo. SDP no se trata solo de tener un túnel seguro, se trata de validación y autorización. En lugar de simplemente confiar en que un túnel es seguro, hay comprobaciones para validar la postura, políticas sólidas que otorgan acceso, políticas de segmentación para restringir el acceso y múltiples puntos de control.

SDP va más allá de fingir que la ficción de un perímetro duro todavía existe

La creciente adopción de tecnologías de seguridad de confianza cero por parte de organizaciones de todos los tamaños es una tendencia en evolución. A medida que las organizaciones buscan reducir el riesgo y minimizar su potencial superficie de ataque, tener más puntos de control suele ser un objetivo clave. Los profesionales de seguridad también suelen recomendar que las organizaciones minimicen el número de usuarios privilegiados y otorguen acceso basado en el principio de privilegio mínimo. En lugar de simplemente brindarle a un usuario de VPN acceso local completo, los administradores del sistema deben restringir el acceso según la política y la autorización del dispositivo, que es un atributo central del modelo de confianza cero.

Una solución de confianza cero bien diseñada también puede ofrecer el beneficio potencial de una menor sobrecarga, sin la necesidad de un dispositivo físico o agentes del lado del cliente.

Casos de uso

Para los usuarios de negocios, las VPN son un concepto familiar para el acceso remoto y eso no es algo que probablemente cambie en el corto plazo. Para acceder a un archivo compartido local dentro de una empresa, o incluso algo tan simple como acceder a una impresora corporativa, una VPN seguirá siendo una opción razonable durante los próximos dos o tres años. Sin embargo, a medida que más empresas se muden a SDP, incluso el simple acceso a una impresora estará cubierto.

Dentro de las empresas, las amenazas internas en las empresas sin perímetro son tan probables como las externas, un modelo de confianza cero es un modelo útil para limitar los riesgos internos.

Para los desarrolladores y aquellos involucrados en DevOps, la confianza cero es un enfoque más elegante y controlado para otorgar acceso y brindar acceso a recursos locales, en la nube y remotos. El desarrollo se distribuye y simplemente hacer un túnel en una red no es tan poderoso como lo que puede permitir la confianza cero.

Las VPN ya no son la solución integral para asegurar el acceso que una vez se les prometió ser.

La realidad de la Internet moderna es que las amenazas provienen de cualquier lugar, con la posibilidad de que cualquier dispositivo o credencial de usuario comprometida se utilice como punto de pivote para violar una red. Un enfoque de confianza cero puede ir más allá de depender únicamente del cifrado y las credenciales para minimizar el riesgo y mejorar la seguridad. SDP va más allá de fingir que la ficción de un perímetro duro todavía existe.