SID2020

SecurityInside Live: Día de Internet Segura 2020

El Día de Internet Segura, “Safer Internet Day” (SID, por sus siglas en inglés) es un evento promovido por la red INSAFE/INHOPE con el apoyo de la Comisión Europea, que se celebra cada mes de febrero con el objetivo de promover un uso seguro y positivo de las tecnologías digitales, especialmente entre niños y jóvenes. El SID se celebra el segundo día de la segunda semana del segundo mes del año y reúne a millones de personas de todo el mundo para impulsar cambios positivos y concienciar acerca de la seguridad en Internet, organizando distintos eventos y actividades.

Leer más

Software Defined Perimeter

SDP – Software Defined Perimeter: 10 motivos por los que es interesante

Hoy os traigo el resultado de mi actualización en relación a las soluciones SDP (Software Defined Perimeter) con las que me he encontrado hace poco, espero que os resulte interesante.

Como mucho de vosotros sabéis, las redes privadas virtuales (VPN) basadas en perímetro se despliegan para proporcionar acceso a empleados o terceros a las redes de la empresa. Hasta hace poco tiempo, este era uno de los mecanismos habituales para mantener un acceso remoto seguro.

Este tipo de conexiones son muy utilizadas debido al creciente (y maravilloso) auge tanto de los entornos cloud como del teletrabajo (con empleados que trabajan desde casa, en cafeterías o aeropuertos).

Sin embargo, el daño que se deriva de las intrusiones en la red es tan grande que los inconvenientes de los servicios VPN basados en el perímetro se están haciendo más tangibles que nunca. En este contexto, las empresas están empezando a considerar alternativas como las soluciones SDP (Perímetro Definido por Software), que aprovechan el paradigma de confianza cero.

¿Pero, qué es SDP?

La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewalls que bloquean la entrada de los usuarios externos, pero que permiten la salida de los usuarios internos.

Los perímetros fijos tradicionales ayudan a proteger los servicios internos de las amenazas externas mediante técnicas sencillas para bloquear la visibilidad y la accesibilidad desde el exterior del perímetro a las aplicaciones y la infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional son cada vez más problemáticas debido a la popularidad de los dispositivos gestionados por los usuarios y los ataques de phishing, que proporcionan un acceso no fiable dentro del perímetro, y a que el SaaS y el IaaS extienden el perímetro a Internet.

sdp_different_users

Los perímetros definidos por software tratan estos problemas dando a los propietarios de las aplicaciones la habilidad de desplegar perímetros que retienen el valor del modelo tradicional de invisibilidad e inaccesibilidad, pero que pueden ser desplegados en cualquier lugar (en Internet, en la nube, en un CPD, en la red corporativa privada, …)

Me interesa, ¿cómo funciona esto del SDP?

La arquitectura del SDP consta de dos componentes: Los Hosts SDP y los Controladores SDP que pueden iniciar o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.

Software Defined Perimeter Architecture

Figura 1: La arquitectura del Perímetro Definido por Software consiste en dos componentes: Hosts SDP y Controladores SDP

El marco SDP tiene el siguiente flujo de trabajo (ver figura 2).

  1. Uno o más controladores SDP se ponen en línea y se conectan a los servicios opcionales de autenticación y autorización adecuados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactorial y otros servicios similares).
  2. Se ponen en línea uno o más Hosts SDP de aceptación. Estos hosts se conectan y se autentican con los Controladores. Sin embargo, no reconocen la comunicación de ningún otro Host y no responderán a ninguna petición no proporcionada.
  3. Cada uno de los Host SDP de inicio que se pone en línea se conecta y se autentica con los Controladores SDP.
  4. Después de autentificar el Host SDP de inicio, los Controladores SDP determinan una lista de Hosts de aceptación a los que el Host de inicio está autorizado a comunicarse.
  5. El Controlador SDP indica a los Hosts SDP aceptantes que acepten la comunicación del Host Iniciador, así como cualquier política opcional requerida para las comunicaciones cifradas.
  6. El controlador SDP proporciona al host SDP iniciador la lista de hosts de aceptación, así como las políticas opcionales necesarias para las comunicaciones cifradas.
  7. El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts de aceptación autorizados.
Software_Defined_Perimeter_Workflow

Figura 2: Flujo de trabajo de la arquitectura del perímetro definido por el software

 

10 razones de esta tendencia que está tomando fuerza

  1. Problemas de seguridad con las VPN tradicionales

Las empresas se han expuesto más a las violaciones de datos. Los empleados que trabajan a distancia, así como la migración a la nube, son factores que complican la protección efectiva del perímetro de la red. Los servicios tradicionales de VPN son demasiado indulgentes, lo que permite al personal acceder a muchas más áreas de la red de las que necesitan para su trabajo diario. Como resultado, estos recursos asumen una visibilidad injustificada y se vuelven más susceptibles de ser comprometidos.

  1. Acceso remoto y aislamiento de la red sin confianza

Desde el punto de vista de la seguridad, las soluciones SDP tienen una serie de ventajas sobre la VPN. En primer lugar, no existen zonas de confianza en este escenario. Un administrador de TI debe definir claramente y conceder privilegios de usuario para acceder a aplicaciones específicas. A los dispositivos de los usuarios se les asignan conexiones «punto a punto». El resto de los recursos de la red están aislados y permanecen completamente inaccesibles. Algunas soluciones SDP permiten la autenticación continua así como la verificación de usuarios y/o dispositivos a nivel de paquetes, utilizando una tecnología de red basada en ID. Todo el tráfico de la red se registra para su posterior auditoría y análisis.

  1. Los inconvenientes de utilizar una VPN

Todo empleado que haya utilizado una VPN empresarial anteriormente sabe que estos servicios funcionan de forma lenta y poco fiable. Si está utilizando aplicaciones dispersas geográficamente, se sentirá frustrado por tener que conectarse o desconectarse todo el tiempo y hacer un seguimiento de la ubicación a la que se está conectando cuando acceda a una aplicación que necesita.

  1. SDP: basta con conectarse una vez para acceder a todo lo que necesita

Con la solución SDP adecuada, los usuarios finales conectados pueden acceder a las aplicaciones necesarias independientemente de su ubicación. Las soluciones basadas en navegadores que no utilizan agentes de software facilitan el acceso a los empleados que utilizan dispositivos personales, así como a los contratistas, socios y clientes.

  1. Dolor de cabeza de los administradores

En el caso de la migración a la nube, la gestión de la VPN se complica. Los administradores de TI tienen que configurar y coordinar las políticas de VPN y cortafuegos en diferentes ubicaciones geográficas. Esto, a su vez, dificulta la prevención de accesos no autorizados.

  1. Discrepancias en la configuración

Las VPNs necesitan ser configuradas por separado en cada centro de datos y en la nube. Con SDP, los administradores pueden añadir un recurso de red a la plataforma una vez y, a continuación, gestionar todas las políticas en la nube de forma centralizada. Una ventaja más de utilizar soluciones SDP totalmente basadas en la nube es que muy pocos elementos están sujetos a una configuración y mantenimiento adicionales cuando se concede el acceso dentro de un centro de datos o una nube privada virtual. Todas las actividades, incluidas las relacionadas con la seguridad, se realizan en la nube.

  1. Escalado costoso

A medida que las organizaciones añaden nuevos usuarios y aumentan el número de servicios cloud que aprovechan, gastan mucho más en VPNs y cortafuegos. La razón se reduce a la necesidad de adquirir licencias adicionales y dispositivos más potentes.

  1. El potencial de un crecimiento desenfrenado

Si una organización utiliza una solución de SDP basada en la nube, la expansión no es casi nunca un problema. No importa cuántos usuarios estén conectados y cuántas aplicaciones necesiten, este servicio permite un escalado gradual en la nube sin necesidad de equipos costosos.

  1. Flexible pero no gratuito

Las VPNs proporcionan flexibilidad ya que pueden conectar múltiples puntos finales distribuidos geográficamente, centros de datos y nubes privadas virtuales. Sin embargo, se necesitan recursos significativos y gastos crecientes para establecer y mantener estas conexiones.

  1. Conecte todo sin complicaciones

Las soluciones SDP permiten a las empresas proporcionar a sus empleados acceso a recursos informáticos específicos de la empresa sin necesidad de aumentar los requisitos de control y los gastos.

Conclusiones

El profundo conocimiento de los mecanismos de acceso remoto seguro incentiva a las organizaciones que están migrando a la nube a desplegar soluciones SDP. Estos servicios implementan una política de acceso a la red personalizada para los usuarios y los recursos de forma individual. Estos recursos permanecen invisibles para los usuarios no autorizados, lo que reduce la superficie potencial de ataque. La orientación al cliente de las soluciones SDP hace que sean más fáciles de controlar, aplicables en todos los ámbitos, adecuadamente protegidas y flexibles. Estas características superan los beneficios de los servicios VPN tradicionales por lo que no os extrañe que veamos esta tecnología mucho más en un futuro cercano.

 

Fuentes:

https://en.wikipedia.org/wiki/Software_Defined_Perimeter

https://www.vectoritcgroup.com/tech-magazine/cybersecurity/el-modelo-sdp-desbanca-a-las-soluciones-vpn/

https://www.perimeter81.com/blog/network/5-reasons-why-you-need-to-replace-your-vpn-with-sdp/

https://www.metanetworks.com/sdp-vs-vpn-5-reasons-to-make-the-switch/

SecurityInside Live: OpenExpo Europe 2019

OpenExpo Europe es el mayor Congreso y Feria Profesional sobre Innovación Tecnológica Empresarial en Europa.

Reune en Madrid a más de 3.500 personalidades del sector, profesionales de todas las industrias, comunidades, principales empresas nacionales e internacionales, decision makers, asociaciones, fundaciones e instituciones, perfiles técnicos, expertos y usuarios de todos los niveles para informarse sobre las últimas tendencias, servicios y herramientas, aumentar la red de contactos, oportunidades de empleo, generar leads y negocios y, conocer de ante mano, todos los beneficios de las tecnologías de innovación abierta.

OpenExpo Europe sigue evolucionando año tras año ofreciendo a las empresas la información más actualizada sobre la transformación empresarial, las tendencias dentro del sector de IT y las últimas innovaciones.

Un día entero de conferencias, casos de éxito empresarial, keynote speakers, talleres prácticos, mesas redondas, demos y muchas otras actividades.

Y, en esta ocasión, además me tienes a mí dando la charla «Open Source Security on AWS»

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

En esta ocasión no hay acceso por streaming ni tampoco se graban las sesiones. Voy a intentar grabarla por mi cuenta para que la tengáis y os la compartiré en el blog.

Leer más

SecurityInside Live: AWS Summit 2019

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

Viene a ser algo así como la versión para mayores del taller que tuve el placer de presentar en el evento CyberCamp relativo a las mejores prácticas de seguridad en entornos AWS.

El Keynote del AWS Summit de Madrid lo presentará Mai-Lan Tomsen Bukovec, Vice President and General Manager de AWS. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

mundohackerday19

SecurityInside Live: Mundo Hacker Day 2019

Al igual que el año pasado, me voy al evento «Mundo Hacker Day 2019» para asistir en primera persona a las interesantes charlas que grandes expertos en seguridad van a ofrecer.

Leer más