Risorse > Glossario dei termini della sicurezza > Che cos'è un perimetro definito dal software

Che cos'è un perimetro definito dal software (SDP)?

Che cos'è un perimetro definito dal software (SDP)?

Nonostante lo zero trust sia diventato una struttura di sicurezza molto nota negli ultimi anni, in molti non si rendono conto che era basato sugli stessi principi della tecnologia del perimetro definito dal software (SDP). Il concetto di SDP è stato sviluppato per la prima volta dall'Agenzia dei sistemi informativi per la difesa (Defense Information Systems Agency, DISA), che nel 2007 ha dato origine al progetto Global Information Grid. La Cloud Security Alliance (CSA) ha mostrato interesse per questo concetto e ha iniziato a sviluppare la struttura SDP fin dai suoi inizi. Nel 2011, anche se l'SDP era un concetto ancora nuovo, Google è stato stra i primi ad adottarlo, sviluppando la propria soluzione SDP, nota con il nome di GoogleBeyond Corp.

L'SDP è una strategia sicura per il mondo cloud e mobile. Mentre la sicurezza tradizionale è centralizzata nel data center, l'SDP è ovunque, distribuito dal cloud, e utilizza una policy aziendale per stabilire chi ha accesso a quali risorse. L'SDP distribuisce l'accesso alle applicazioni interne in base a un'identità utente e adattando la fiducia in base al contesto. Gli SDP sono al 100% definiti dal software e costruiti su un modello "secondo le necessità", con il costante monitoraggio e adattamento della fiducia in base a una serie di criteri. L'SDP rende l'infrastruttura delle applicazioni invisibili a Internet, evadendo quindi gli attacchi basati sulla rete (DDoS, ransomware, malware, scansione del server, ecc.) e riduce i rischi per le aziende.

Le organizzazioni stanno adottando sempre di più la tecnologia SDP, nel tentativo di modernizzare la propria sicurezza delle applicazioni con la sicurezza zero trust.

In realtà, i perimetri diventeranno sempre di più, più granulari e si avvicineranno alle entità logiche che proteggono: l'identità di utenti, dispositivi, applicazioni, dati e carichi di lavoro.
Gartner, Zero Trust è un primo passo nella tabella di marcia verso CARTA, dicembre 2018

Come funziona l'SDP?

Piuttosto che optare per una sicurezza tradizionale, basata sulla rete, l'SDP adotta un approccio diverso. Invece di optare per assicurare la rete, l'SDP assicura l'utente, l'applicazione e la connettività tra i due. Le tecnologie SDP si differenziano in base a quattro principi fondamentali:

  1. La fiducia non è mai implicita: la tradizionale sicurezza di rete offre una fiducia eccessiva ai propri utenti; la fiducia si deve guadagnare. Gli SDP forniscono l'accesso a un'applicazione agli utenti autenticati e autorizzati specificamente ad utilizzare tale applicazione; inoltre, questi utenti autorizzati ottengono l'accesso solamente all'applicazione, non alla rete.
     
  2. Nessuna connessione in entrata: diversamente da una rete privata virtuale (VPN), che controlla le connessioni in entrata, gli SDP non ne ricevono alcuna. Rispondendo con connessioni esclusivamente in uscita, sia la rete che l'infrastruttura dell'applicazione restano invisibili o nascoste a Internet e, di conseguenza, impossibili da attaccare.
     
  3. Segmentazione delle applicazioni, non della rete: in passato, le organizzazioni dovevano eseguire una complessa segmentazione della rete per limitare l'abilità di un utente (o di un'infezione) di muoversi lateralmente una volta all'interno della rete. Questo approccio funzionava piuttosto bene, ma non era mai granulare e necessitava di una manutenzione continua. L'SDP è dotato di una segmentazione delle applicazioni nativa, in grado di controllare l'accesso fino a un livello "uno per uno". Il risultato è una segmentazione molto più granulare e molto più semplice per il team IT.
     
  4. Sfruttare Internet in modo sicuro: con gli utenti ovunque e le applicazioni in uscita dai data center, le organizzazioni devono abbandonare un approccio incentrato sulla rete. La sicurezza deve spostarsi dove si trovano gli utenti e ciò significa sfruttare Internet come la propria nuova rete aziendale. L'SDP assicura le connessioni da utente ad applicazione su Internet, piuttosto che assicurare l'accesso degli utenti alla rete.

Dal punto di vista dell'architettura, l'SDP si differenzia in modo sostanziale dalle soluzioni incentrate sulla rete. Gli SDP sono al 100% definiti dal software, eliminando per le imprese le spese di distribuzione e gestione degli apparecchi di applicazione. L'adozione dell'SDP consente inoltre di semplificare il set in entrata, dato che le organizzazioni non hanno più bisogno di VPN, protezione DDoS, bilanciamento del carico globale e apparecchi di applicazione per il firewall. La Cloud Security Alliance (CSA) ha costruito il diagramma iniziale dell'architettura dell'SDP (di seguito), ma con l'evoluzione dell'SDP, Gartner ha sviluppato una guida di mercato per questa tecnologia, definendola come un accesso alla rete zero trust (ZTNA) e ha evidenziato due modelli principali di architettura ZTNA nella Guida al mercato ZTNA di Gartner.

 

what is software defined perimeter

Anche se l'SDP presenta molti casi d'uso, la maggior parte delle organizzazioni sceglie di iniziare con una delle seguenti quattro aree:

Alternativa alla VPN
La maggior parte delle organizzazioni sta cercando di ridurre o eliminare l'utilizzo della VPN. Poiché le VPN sono notoriamente lente per gli utenti, presentano un rischio per la sicurezza e sono difficili da gestire, Gartner prevede che, "entro il 2023, il 60% delle imprese ritirerà la maggior parte delle proprie VPN ad accesso remoto a favore dello ZTNA [SDP].”

Accesso multicloud sicuro
Il multicloud, come indica il nome, è l'utilizzo di diversi servizi di elaborazione sul cloud in un unico ambiente. Molte organizzazioni utilizzano Workday e Office 365, oltre a servizi di infrastruttura di AWS e Azure, e possono utilizzare una piattaforma cloud per lo sviluppo, l'archiviazione su cloud e molto altro. Perciò, assicurare questi ambienti è un modo molto comune per le organizzazioni di iniziare il proprio percorso con l'SDP/ZTNA, poiché l'SDP non è vincolato a nessun cloud o rete in particolare; assicura ciascuna connessione in base alle policy, indipendentemente da dove si connettono gli utenti o da dove vengono ospitate le applicazioni.

Riduzione del rischio associato alle terze parti
La maggior parte degli utenti di terze parti ottengono un accesso a privilegi eccessivi, il che crea una lacuna di sicurezza per l'impresa. Gli SDP riducono notevolmente i rischi associati a terze parti, impedendo qualsiasi accesso alla rete da parte di utenti esterni e garantendo solo agli utenti autorizzati l'accesso ad applicazioni per cui hanno ottenuto il permesso. Gli utenti non sono nemmeno in grado di vedere le applicazioni a cui non hanno accesso.

Integrazione accelerata delle M&A
Con le fusioni e acquisizioni tradizionali, l'integrazione IT può durare anni, poiché le organizzazioni devono far convergere le reti e gestire IP simili, il che comporta processi estremamente complessi. L'SDP semplifica il processo e riduce drasticamente il tempo necessario a garantire la riuscita dell'M&A, oltre a offrire un valore immediato all' attività.

Per saperne di più sulla tecnologia SDP/ZTNA, scopri il nostro servizio leader del settore: ZPA. Inoltre, puoi provare ZPA per un periodo di prova gratuito di 7 giorni!

Resoconto sull'adozione dello zero trust di Cybersecurity Insiders del 2019

Leggi il resoconto completo

Guida per gli architetti di rete per l'adozione dello ZTNA

Leggi la guida

Perché i leader IT dovrebbero prendere in considerazione una strategia ZTNA (Zero Trust Network Access)

Leggi il white paper

SDP o VPN

Leggi il blog