El perímetro definido por software ( SDP ), también llamado " nube negra ", es un enfoque de la seguridad informática que se desarrolló a partir del trabajo realizado en la Agencia de Sistemas de Información de Defensa (DISA) en el marco de la iniciativa Black Core Network de Global Information Grid (GIG) alrededor de 2007 . [1] El marco de perímetro definido por software (SDP) fue desarrollado por Cloud Security Alliance (CSA) para controlar el acceso a los recursos en función de la identidad. La conectividad en un perímetro definido por software se basa en un modelo de necesidad de conocer , en el que la postura y la identidad del dispositivo se verifican antes de que se conceda el acceso a la infraestructura de la aplicación. [2]La infraestructura de la aplicación es efectivamente "negra" (un término del Departamento de Defensa que significa que la infraestructura no se puede detectar), sin información DNS o direcciones IP visibles . [ Dudoso ] Los inventores de estos sistemas aseguran que un Software Defined Perímetro mitiga los ataques basados en la red comunes, incluyendo la mayoría: la exploración del servidor , denegación de servicio , la inyección de SQL , sistema operativo y aplicaciones de vulnerabilidad explota , el hombre-en-el middle , pass-the-hash , pass-the-ticket y otros ataques de usuarios no autorizados. [3]
Fondo
La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewall que bloquean la entrada de usuarios externos, pero permiten que los usuarios internos salgan. [4] Los perímetros fijos tradicionales ayudan a proteger los servicios internos de amenazas externas mediante técnicas simples para bloquear la visibilidad y la accesibilidad desde fuera del perímetro a las aplicaciones e infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional se están volviendo cada vez más problemáticas debido a la popularidad de los dispositivos administrados por el usuario y los ataques de phishing , que brindan acceso no confiable dentro del perímetro, y SaaS e IaaS extienden el perímetro a Internet. [5] Los perímetros definidos por software abordan estos problemas al brindar a los propietarios de aplicaciones la capacidad de implementar perímetros que conservan el valor del modelo tradicional de invisibilidad e inaccesibilidad para los forasteros, pero que se pueden implementar en cualquier lugar: en Internet, en la nube, en un centro de alojamiento, en la red corporativa privada, o en algunas o todas estas ubicaciones. [2]
Arquitectura
En su forma más simple, la arquitectura del SDP consta de dos componentes: hosts SDP y controladores SDP. [6] Los hosts SDP pueden iniciar conexiones o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver Figura 1). Por lo tanto, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.
El marco SDP tiene el siguiente flujo de trabajo (consulte la Figura 2).
- Uno o más controladores SDP se ponen en línea y se conectan a los servicios de autenticación y autorización opcionales apropiados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactor y otros servicios similares).
- Se conectan uno o más hosts SDP que aceptan. Estos hosts se conectan y autentican a los controladores. Sin embargo, no reconocen la comunicación de ningún otro Anfitrión y no responderán a ninguna solicitud no aprovisionada.
- Cada host SDP iniciador que se pone en línea se conecta y se autentica con los controladores SDP.
- Después de autenticar el host de SDP iniciador, los controladores SDP determinan una lista de hosts de aceptación con los que el host de inicio está autorizado a comunicarse.
- El controlador SDP indica a los hosts SDP que aceptan que acepten la comunicación del host iniciador, así como las políticas opcionales necesarias para las comunicaciones cifradas.
- El controlador SDP proporciona al host SDP iniciador la lista de hosts aceptados, así como las políticas opcionales necesarias para las comunicaciones cifradas.
- El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts Aceptadores autorizados.
- Modelos de implementación de SDP
Si bien el flujo de trabajo general sigue siendo el mismo para todas las implementaciones, la aplicación de SDP puede favorecer ciertas implementaciones sobre otras.
Cliente a puerta de enlace
En la implementación de cliente a puerta de enlace, uno o más servidores están protegidos detrás de un host SDP aceptante de modo que el host SDP aceptante actúa como una puerta de enlace entre los clientes y los servidores protegidos. Esta implementación se puede utilizar dentro de una red empresarial para mitigar ataques de movimiento lateral comunes, como escaneo de servidores, exploits de vulnerabilidades de aplicaciones y sistemas operativos, descifrado de contraseñas, man-in-the-middle, Pass-the-Hash (PtH) y otros. [6] [7] [8] Alternativamente, se puede implementar en Internet para aislar los servidores protegidos de usuarios no autorizados y mitigar ataques como denegación de servicio, vulnerabilidades del sistema operativo y aplicaciones, descifrado de contraseñas, intermediario , y otros. [9] [10]
Cliente a servidor
La implementación de cliente a servidor es similar en características y beneficios a la implementación de cliente a puerta de enlace discutida anteriormente. Sin embargo, en este caso, el servidor que se protege ejecutará el software Aceptando SDP Host en lugar de una puerta de enlace ubicada frente al servidor que ejecuta ese software. La elección entre la implementación de cliente a puerta de enlace y la implementación de cliente a servidor generalmente se basa en el número de servidores que se protegen, la metodología de equilibrio de carga, la elasticidad de los servidores y otros factores topológicos similares. [13]
Servidor a servidor
En la implementación de servidor a servidor, los servidores que ofrecen un servicio de Transferencia de estado representacional (REST), un servicio de Protocolo simple de acceso a objetos (SOAP), una llamada a procedimiento remoto (RPC) o cualquier tipo de interfaz de programación de aplicaciones (API) a través del Internet puede protegerse de hosts no autorizados en la red. Por ejemplo, en este caso, el servidor que inicia la llamada REST sería el Host SDP iniciador y el servidor que ofrece el servicio REST sería el Host SDP que acepta. La implementación de un SDP para este caso de uso puede reducir la carga en estos servicios y mitigar ataques similares a los mitigados por la implementación de cliente a puerta de enlace.
Cliente a servidor a cliente
La implementación de cliente a servidor a cliente da como resultado una relación de igual a igual entre los dos clientes y se puede utilizar para aplicaciones como teléfono IP, chat y videoconferencia. En estos casos, el SDP oculta las direcciones IP de los clientes que se conectan. Como variación menor, un usuario también puede tener una configuración de cliente a puerta de enlace a cliente si el usuario también desea ocultar el servidor de aplicaciones.
- Aplicaciones SDP
Aislamiento de aplicaciones empresariales
Para las violaciones de datos que involucran propiedad intelectual, información financiera, datos de recursos humanos y otros conjuntos de datos que solo están disponibles dentro de la red empresarial, los atacantes pueden ingresar a la red interna comprometiendo una de las computadoras en la red y luego moverse lateralmente a obtenga acceso al activo de información de alto valor. En este caso, una empresa puede implementar un SDP dentro de su centro de datos para dividir la red y aislar aplicaciones de alto valor. Los usuarios no autorizados no tendrán acceso de red a la aplicación protegida, mitigando así el movimiento lateral del que dependen estos ataques. [11]
Nube privada y nube híbrida
Si bien es útil para proteger máquinas físicas, la naturaleza de superposición de software del SDP también permite que se integre en nubes privadas para aprovechar la flexibilidad y elasticidad de dichos entornos. En esta función, las empresas pueden utilizar los SDP para ocultar y proteger sus instancias de nube pública de forma aislada, o como un sistema unificado que incluye instancias de nube pública y privada y / o clústeres de nubes cruzadas.
Los proveedores de software como servicio (SaaS) pueden utilizar un SDP para proteger sus servicios. En esta implementación, el servicio de software sería un host SDP aceptante, y todos los usuarios que deseen conectividad al servicio serían los hosts iniciadores. Esto permite que un SaaS aproveche el alcance global de Internet sin habilitar la superficie de ataque global de Internet.
Los proveedores de infraestructura como servicio (IaaS) pueden ofrecer SDP como servicio como una vía de acceso protegida a sus clientes. Esto permite a sus clientes aprovechar la agilidad y los ahorros de costos de IaaS mientras mitigan una amplia gama de posibles ataques.
Los proveedores de plataforma como servicio (PaaS) pueden diferenciar su oferta al incluir la arquitectura SDP como parte de su servicio. Esto brinda a los usuarios finales un servicio de seguridad integrado que mitiga los ataques basados en la red.
Se está conectando una gran cantidad de dispositivos nuevos a Internet. [12] Las aplicaciones de back-end que administran estos dispositivos y / o extraen información de estos dispositivos pueden ser de misión crítica y pueden actuar como custodios de datos privados o confidenciales. Los SDP se pueden utilizar para ocultar estos servidores y las interacciones con ellos a través de Internet para proporcionar una mayor seguridad y tiempo de actividad. [13]
Ver también
Referencias
- ^ Visión arquitectónica de la red de información global del Departamento de Defensa . 2007. págs. 28-30.
- ^ a b "Perímetro definido por software" . Alianza de seguridad en la nube . Consultado el 29 de enero de 2014 .
- ^ Gartner, Guía de mercado para el acceso de confianza cero. "Guía SDP de Gartner" . gartner.com .
- ^ Barrie, Sosinsky (mayo de 2004). "Redes perimetrales" . Redes de búsqueda . Consultado el 30 de enero de 2014 .
- ^ Wagner, Ray; Ray Wagner; Kelly M. Kavanagh; Mark Nicolett; Anton Chuvakin; Andrew Walls; Joseph Feiman; Lawrence Orans; Ian Keene (25 de noviembre de 2013). "Predice 2014: Protección de la infraestructura" . Gartner . Consultado el 19 de febrero de 2014 .
- ^ McClure, Stuart (11 de julio de 2012). Hackear 7 secretos y soluciones de seguridad de red expuestos . McGraw Hill. ISBN 0071780289.
- ^ Micro, Trend. "MOVIMIENTO LATERAL: ¿Cómo se adentran más los actores de amenazas en su red?" . Trend Micro . Consultado el 19 de febrero de 2014 .
- ^ "Informe de investigación de violación de datos" . Verizon . Consultado el 19 de febrero de 2014 .
- ^ "Informe de riesgos y tendencias de mitad de año de IBM X-Force 2012" . Investigación y desarrollo de IBM X-Force . Consultado el 19 de febrero de 2014 .
- ^ "Informe de inteligencia sobre amenazas globales" . Solutionary . Consultado el 19 de febrero de 2014 .
- ^ Moubayed, Abdallah; Refaey, Ahmed; Shami, Abdallah (octubre de 2019). "Perímetro definido por software (SDP): solución segura de vanguardia para redes modernas" . Red IEEE .
- ^ Middleton, Peter; Kjeldsen, Peter; Tully, Jim (18 de noviembre de 2013). "Pronóstico: Internet de las cosas, en todo el mundo, 2013" . Gartner (G00259115) . Consultado el 29 de enero de 2014 .
- ^ Refaey, Ahmed; Sallam, Ahmed; Shami, Abdallah (octubre de 2019). "En aplicaciones de IoT: un marco de SDP propuesto para MQTT" . Cartas de electrónica .
enlaces externos
- Gartner: Guía de mercado para el acceso a la red de confianza cero
- Cloud Security Alliance " Introducción al grupo de trabajo de perímetro definido por software "
- Artículo de GCN - 1105 Public Sector Media Group " Black Cloud oscurece la empresa para todos los dispositivos excepto los autorizados "
- Artículo de Light Reading: "Verizon y Vidder ponen SD-Perimeter en torno a la seguridad empresarial"
- Artículo de CSO - "Adiós NAC. Hola, perímetro definido por software"
- IEEE "Perímetros definidos por software: una vista arquitectónica de SDP"
- Artículo de ComputerWeekly: "La red de distribución de gas SGN invierte en un perímetro definido por software"
- Moubayed, Abdallah; Refaey, Ahmed; Shami, Abdallah (octubre de 2019). "Perímetro definido por software (SDP): solución segura de vanguardia para redes modernas" . Red IEEE .