Zpedia 

/ ¿Cuál es la diferencia entre SDP y VPN?

¿Cuál es la diferencia entre SDP y VPN?

La diferencia entre un perímetro definido por software ( SDP) y una red privada virtual (VPN) es que mientras que una VPN tradicional coloca una barrera alrededor de toda una red corporativa, un SDP niega efectivamente un perímetro de red al colocar las políticas y controles de seguridad alrededor del software, reduciendo los permisos a una base de carga de trabajo a carga de trabajo o aplicación a aplicación en lugar de una arquitectura típica basada en un perímetro.

Lea nuestro Informe de riesgos de la VPN de 2023
Confianza ceroProtección contra ciberamenazasFuerza de trabajo híbridaSeguridad de redSeguridad en la nube
  1. ¿Qué es un SDP?
  2. Cómo funciona un SDP
  3. Casos de uso de SDP
  4. ¿Qué es una VPN?
  5. Cómo funciona una VPN
  6. Casos de uso de VPN
  7. SDP vs. VPN
  8. SDP y ZTNA
  9. Zscaler ZTNA
  10. Recursos sugeridos
  11. Preguntas frecuentes
  12. Temas relacionados

¿Qué es un perímetro definido por software (SDP)?

El perímetro definido por software (SDP) es un enfoque de seguridad que distribuye el acceso a las aplicaciones internas en función de la identidad del usuario, con una confianza que se adapta en función del contexto. Mientras que la seguridad tradicional está centralizada en el centro de datos, el SDP está en todas partes, suministrado por la nube. Utiliza la política empresarial para determinar la autenticación del usuario final a los recursos, lo que la convierte en una parte importante de la seguridad de las organizaciones que dan prioridad a la nube y a la movilidad.

Conceptualizada por primera vez por la Agencia de Sistemas de Información de Defensa (DISA) en 2007, las SDP se basan en un principio de mínimo conocimiento con una confianza que se supervisa constantemente y se adapta en función de una serie de criterios. Hacen que la infraestructura de las aplicaciones sea invisible a Internet, reduciendo la superficie de ataque de los ciberataques basados en la red (DDoS, ransomware, malware, escaneado de servidores, etc.).

La Cloud Security Alliance (CSA) se interesó por el concepto y comenzó a desarrollar el marco SDP en sus primeras etapas. En 2011, cuando el SDP aún era un concepto nuevo, Google se convirtió en uno de los primeros en adoptarlo con el desarrollo de su propia solución SDP, Google BeyondCorp. En la actualidad, las organizaciones que adoptan el SDP están modernizando la seguridad de sus puntos finales, su nube y sus aplicaciones, especialmente en el contexto del cambio hacia el trabajo remoto.

¿Cómo funciona un SDP?

  1. La confianza nunca es implícita: la seguridad de red tradicional ofrece a los usuarios una confianza excesiva. Con un SDP, se debe ganar la confianza. Los SDP solo otorgan acceso a la aplicación a los usuarios que están autenticados y autorizados específicamente para usar esa aplicación. Además, a los usuarios autorizados solo se les concede acceso a la aplicación, no a la red.
  2. Sin conexiones entrantes: a diferencia de una red privada virtual (VPN), que escucha las conexiones entrantes, los SDP no reciben conexiones entrantes. Al responder con conexiones exclusivamente salientes, los SDP mantienen la infraestructura de redes y aplicaciones invisibles u ocultas a Internet y, por lo tanto, imposibles de atacar.
  3. Segmentación de aplicaciones, no segmentación de redes: en el pasado, las organizaciones tenían que realizar una compleja segmentación de redes para evitar que un usuario (o una infección) se moviera lateralmente a través de la red. Esto funcionaba bastante bien, pero nunca fue granular y requería un mantenimiento constante. SDP proporciona segmentación de aplicaciones nativas, que reduce los controles de acceso a uno a uno, lo que da como resultado una segmentación mucho más granular que es mucho más fácil de administrar para su equipo de TI.
  4. Uso seguro de Internet: con usuarios en todas partes y aplicaciones moviéndose fuera de su centro de datos, su organización necesita alejarse de un enfoque centrado en la red. Necesita trasladar la seguridad a donde están sus usuarios, y esto significa aprovechar Internet como su nueva red corporativa. SDP se centra en proteger las conexiones de usuario a aplicación a través de Internet en lugar de proteger el acceso de los usuarios a su red.

Desde un punto de vista arquitectónico, SDP se diferencia fundamentalmente de las soluciones centradas en la red. Los SDP eliminan la sobrecarga empresarial que implica implementar y administrar dispositivos. La adopción de una arquitectura SDP también simplifica su pila entrante al reducir la dependencia de VPN, protección DDoS, equilibrio de carga global y dispositivos de firewalls.

Casos de uso de SDP

Si bien SDP tiene muchos casos de uso, muchas organizaciones optan por comenzar en una de las siguientes cuatro áreas:

Seguridad del acceso a múltiples nubes

Muchas organizaciones aprovechan un modelo de múltiples nubes, por ejemplo, combinando Workday y Microsoft 365, así como servicios de infraestructura de AWS y Azure. También pueden utilizar una plataforma en la nube para desarrollo, almacenamiento en la nube y más. La necesidad de proteger estos entornos lleva a las organizaciones a recurrir al SDP debido a su capacidad para proteger las conexiones según políticas, sin importar desde dónde se conectan los usuarios o dónde se alojan las aplicaciones.

Reducción del riesgo de terceros

La mayoría de los usuarios de terceros reciben acceso con privilegios excesivos, lo que crea una brecha de seguridad para la empresa. Los SDP reducen significativamente el riesgo de terceros al garantizar que los usuarios externos nunca obtengan acceso a la red y que los usuarios autorizados tengan acceso exclusivamente a las aplicaciones que tienen permitido usar.

Acelerando la integración de fusiones y adquisiciones

Con las fusiones y adquisiciones tradicionales, la integración de TI puede durar años a medida que las organizaciones convergen redes y lidian con direcciones IP superpuestas: procesos increíblemente complejos. Un SDP simplifica el proceso, reduciendo drásticamente el tiempo necesario para garantizar una fusión y adquisición exitosa y aportando valor inmediato al negocio. Las organizaciones

de reemplazo de VPN

buscan reducir o eliminar el uso de VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos notables problemas de VPN mejorando la capacidad de acceso remoto. 

De hecho, Cybersecurity Insiders indica que el 41 % de las organizaciones están buscando reevaluar su infraestructura de acceso seguro y considerar SDP, y la mayoría de ellas requieren una implementación de TI híbrida y una cuarta parte implementa SaaS.

Ahora que hemos cubierto el funcionamiento interno y los casos de uso de SDP, echemos un vistazo a una red privada virtual o VPN.

¿Qué es una red privada virtual (VPN)?

Una red privada virtual (VPN) es un túnel cifrado que permite a un cliente establecer una conexión a Internet con un servidor sin entrar en contacto con el tráfico de Internet. A través de esta conexión VPN, la dirección IP de un usuario está oculta, lo que ofrece privacidad en línea cuando accede a Internet o a los recursos de la red corporativa, incluso en redes Wi-Fi públicas o puntos de acceso móvil y en navegadores públicos como Chrome o Firefox.

Antes de la iteración original de VPN, conocida como protocolo de túnel punto a punto (PPTP), el intercambio seguro de información entre dos computadoras requería una conexión cableada, lo cual era ineficiente y poco práctico a gran escala. 

Con el desarrollo de estándares de cifrado y la evolución de los requisitos de hardware personalizados para construir un túnel inalámbrico seguro, PPTP finalmente evolucionó hasta convertirse en lo que es hoy: el servidor VPN. Al poder aplicarse de manera inalámbrica, ahorró molestias y costos a las empresas que necesitaban una transferencia inalámbrica segura de información. A partir de aquí, muchas empresas, incluidas Cisco, Intel y Microsoft, construyeron sus propios sistemas físicos y servicios VPN basados en software/nube.

¿Cómo funciona una VPN?

Una VPN funciona tomando una conexión estándar de usuario a Internet y creando un túnel virtual cifrado que vincula al usuario con un dispositivo en un centro de datos. Este túnel protege el tráfico en tránsito para que los delincuentes que utilizan rastreadores web e implementan malware no puedan robar la información del usuario o de la entidad. Uno de los algoritmos de cifrado más comunes utilizados para las VPN es el estándar de cifrado avanzado (AES), un cifrado de bloque simétrico (clave única) diseñado para proteger los datos en tránsito.

En la mayoría de los casos, solo los usuarios autenticados pueden enviar su tráfico a través del túnel VPN. Dependiendo del tipo de VPN o de su proveedor, es posible que los usuarios tengan que volver a autenticarse para mantener su tráfico en el túnel y a salvo de los hackers.

Cómo las empresas utilizan las VPN

Las organizaciones utilizan las VPN para proteger a los usuarios que trabajan de manera remota y utilizan dispositivos móviles u otros puntos finales que pueden no considerarse seguros. Por ejemplo, las organizaciones pueden distribuir computadoras portátiles con Windows o Mac para permitir que sus empleados trabajen desde casa cuando sea necesario. Por supuesto, esta noción está ahora muy extendida tras la pandemia del COVID-19.

Las organizaciones implementan VPN para permitir que los usuarios remotos accedan de manera segura a los recursos corporativos a través de redes no protegidas, ya sea en casa, una cafetería, un hotel o cualquier otro lugar. La mayoría de los proveedores de servicios de Internet (ISP) cuentan con buenos protocolos de seguridad para proteger los datos no confidenciales que fluyen a través de las redes domésticas. Sin embargo, cuando se trata de datos confidenciales, las medidas de seguridad de Wi-Fi domésticas no son lo suficientemente fuertes como para protegerles por sí solas, lo que lleva a las organizaciones a implementar protocolos VPN para mayor seguridad.

Las VPN permiten a las organizaciones cerrar el flujo predeterminado de tráfico desde el enrutador al centro de datos y, en su lugar, enviarlo a través de un túnel cifrado, que protege los datos y asegura el acceso a Internet de los usuarios que trabajan de manera remota, reduciendo (pero no eliminando) la superficie de ataque de una organización.

Comparación entre SDP y VPN: ¿Cuáles son las diferencias?

Donde realmente se diferencian el SDP y las VPN es en su método de conectividad. Las VPN se centran en la IP y en la red y conectan los dispositivos de los usuarios a las redes. En cambio, el SDP proporciona conexiones seguras entre usuarios autorizados y aplicaciones autorizadas, no a la red.

Con las soluciones SDP, se establecen conexiones internas entre el usuario y la aplicación, en lugar de recibir conexiones entrantes desde el dispositivo a la red. Estas conexiones de adentro hacia afuera garantizan que las IP de las aplicaciones nunca queden expuestas a Internet y al mismo tiempo desacoplan el acceso a las aplicaciones de la red. Dado que los usuarios no reciben acceso a la red, la superficie de ataque se minimiza mientras los usuarios disfrutan de un acceso rápido y directo a las aplicaciones sin latencia relacionada con la red, una experiencia de usuario muy superior a la de las VPN.

Las organizaciones buscan reducir o eliminar el uso de las VPN porque obstaculizan la experiencia del usuario, introducen riesgos de seguridad y son difíciles de administrar. Los SDP abordan directamente estos conocidos problemas de VPN mejorando la capacidad de acceso remoto seguro.

SDP y Zero Trust Network Access (ZTNA)

El modelo ZTNA se ha convertido en un marco de seguridad muy conocido, pero muchos no se dan cuenta de que se basa en los mismos principios que el SDP. De hecho, ZTNA utiliza los principios y la funcionalidad de SDP. Con ambos métodos, no hay una red interna y los usuarios solo pueden acceder a los recursos si se puede validar el contexto detrás de la solicitud (usuario, dispositivo, identidad, etc.).

Para ayudar a las organizaciones a alcanzar un nivel tan alto de seguridad, los proveedores prometen un marco ZTNA que puede mantener seguros la red, los datos y los recursos de la nube de su organización. Pero muchos de estos marcos son simplemente una plataforma de seguridad en la nube que se adapta a dispositivos heredados o, peor aún, están diseñados por proveedores de redes que improvisan un módulo de seguridad en un esfuerzo por ingresar al espacio de seguridad.

Estas plataformas no ofrecen la escalabilidad, flexibilidad y, sobre todo, la seguridad que puede ofrecer una plataforma basada en la nube, para la nube.

Zscaler, SDP y ZTNA

 Zscaler Zero Trust Exchange™ incluye Zscaler Private Access™ (ZPA), la única plataforma ZTNA de próxima generación del sector, construida sobre los principios de un SDP. ZPA redefine la conectividad y la seguridad de aplicaciones privadas para el personal híbrido actual al aplicar el principio de privilegios mínimos, que brinda a los usuarios conectividad segura y directa a aplicaciones privadas que se ejecutan en las instalaciones o en la nube pública, al tiempo que elimina el acceso no autorizado y el movimiento lateral.

Zscaler Private Access brinda a su organización el poder de:

  • Impulsar la productividad del personal con un acceso rápido y fluido a aplicaciones privadas, tanto si sus usuarios están en casa, en la oficina o en cualquier otro lugar.
  • Mitigar el riesgo de violaciones de datos al hacer que las aplicaciones sean invisibles para los atacantes mientras que impone el acceso con privilegios mínimos, minimiza eficazmente su superficie de ataque y elimina el movimiento lateral.
  • Detener a los adversarios más avanzados con la primera protección de aplicaciones privadas de su tipo que minimiza el riesgo de usuarios en peligro y atacantes activos.
  • Extender la seguridad Zero Trust en aplicaciones, cargas de trabajo, e IoT con la plataforma ZTNA más completa del mundo que brinda acceso con privilegios mínimos a aplicaciones privadas, cargas de trabajo y dispositivos OT/IIoT

Reducir la complejidad operativa con una plataforma nativa de la nube que elimina las VPN heredadas que son difíciles de escalar, administrar y configurar en un mundo donde la nube es lo primero

promotional background

Las VPN dejan sus redes expuestas a ataques. Realice una transición sin problemas para alejarse de las VPN con Zscaler.

Más información

Recursos sugeridos

Por qué ZTNA es la mejor alternativa a las VPN
Visite nuestra página web
¿Qué es una VPN?
Leer el artículo
¿Qué es un perímetro definido por software (SDP)?
Leer el artículo
Zscaler Private Access
Visite nuestra página web
Uso del SDP como alternativa a la VPN: 6 preguntas frecuentes de los administradores
Leer el blog
Tres razones por las que los SDP (y ahora ZTNA) están reemplazando a las VPN
Leer el blog
01 / 04
Preguntas frecuentes