Perímetro definido por software
Un perímetro definido por software ( SDP ), también llamado " nube negra ", es un enfoque de la seguridad informática que evolucionó a partir del trabajo realizado en la Agencia de Sistemas de Información de Defensa (DISA) bajo la iniciativa Black Core Network de Global Information Grid (GIG). alrededor de 2007. [1] El marco de perímetro definido por software (SDP) fue desarrollado por Cloud Security Alliance (CSA) para controlar el acceso a los recursos en función de la identidad. La conectividad en un perímetro definido por software se basa en un modelo de necesidad de saber , en el que se verifican la postura y la identidad del dispositivo antes de otorgar acceso a la infraestructura de la aplicación.[2] La infraestructura de la aplicación es efectivamente "negra" (un término del Departamento de Defensa que significa que la infraestructura no se puede detectar), sin información de DNS ni direcciones IP visibles . [ dudoso ] Los inventores de estos sistemas afirman que un perímetro definido por software mitiga los ataques basados en la red más comunes, incluidos: exploración del servidor , denegación de servicio , inyección de SQL , vulnerabilidades del sistema operativo y de las aplicaciones middle , pass-the-hash , pass-the-ticket y otros ataques de usuarios no autorizados.[3]
La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consta de una serie de funciones de firewall que bloquean la entrada de usuarios externos, pero permiten que los usuarios internos salgan. [4] Los perímetros fijos tradicionales ayudan a proteger los servicios internos de amenazas externas a través de técnicas simples para bloquear la visibilidad y la accesibilidad desde fuera del perímetro a las aplicaciones e infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional se están volviendo cada vez más problemáticas debido a la popularidad de los dispositivos administrados por el usuario y los ataques de phishing , que brindan acceso no confiable dentro del perímetro, y SaaS yIaaS extendiendo el perímetro a Internet. [5] Los perímetros definidos por software abordan estos problemas al brindar a los propietarios de aplicaciones la capacidad de implementar perímetros que conservan el valor del modelo tradicional de invisibilidad e inaccesibilidad para los extraños, pero que se pueden implementar en cualquier lugar: en Internet, en la nube, en un centro de alojamiento, en la red corporativa privada, o en algunas o todas estas ubicaciones. [2]
En su forma más simple, la arquitectura del SDP consta de dos componentes: hosts SDP y controladores SDP.[6] Los hosts SDP pueden iniciar conexiones o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los Controladores SDP a través de un canal de control (consulte la Figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.
Si bien el flujo de trabajo general sigue siendo el mismo para todas las implementaciones, la aplicación de SDP puede favorecer ciertas implementaciones sobre otras.
En la implementación de cliente a puerta de enlace, uno o más servidores están protegidos detrás de un Host SDP de aceptación, de modo que el Host SDP de aceptación actúa como una puerta de enlace entre los clientes y los servidores protegidos. Esta implementación se puede usar dentro de una red empresarial para mitigar los ataques de movimiento lateral comunes, como el escaneo del servidor, las explotaciones de vulnerabilidades del sistema operativo y las aplicaciones, el descifrado de contraseñas, el intermediario, Pass-the-Hash (PtH) y otros. [6] [7] [8] Alternativamente, se puede implementar en Internet para aislar servidores protegidos de usuarios no autorizados y mitigar ataques como denegación de servicio, explotación de vulnerabilidades de SO y aplicaciones, descifrado de contraseñas, intermediarios. , y otros. [9] [10]
