Agora que já estamos cientes da mudança de perímetro (e os principais motivos da mudança), podemos perceber o porque as ferramentas e abordagens tradicionais de segurança de rede não são eficientes para proteção deste novo ambiente. As ferramentas amplamente conhecidas e utilizadas para proteção do perímetro tradicional, deixam as aplicações e infraestruturas expostas na internet, garantindo acesso excessivo a usuários não autorizados, ou não confiáveis. Gera assim uma brecha grave de segurança e expõe nossa infraestrutura a uma série de ataques de rede.

SDP (Software Defined Perimeter) é um novo conceito de perímetro definido por software, que permite ao proprietário da aplicação proteger sua infraestrutura, independente do ambiente. A iniciativa de pesquisa do conceito de Software Defined Perimeter foi lançada em 2013, pela CSA, com o objetivo de encontrar uma forma eficiente de barrar ataques de rede a infraestrutura da aplicação. O modelo de SDP usa como base o conceito originário da Defense Information Systems Agency (DISA), onde o acesso e as conexões a rede são feitas usando o princípio de “need-to-know”, a própria CSA define o SDP como “on-demand, dynamically-provisioned, air gapped networks”.

Enquanto o perímetro tradicional de segurança busca montar um perímetro em torno das aplicações e sistemas, a abordagem de SDP é montá-lo em torno do usuário. Dessa forma, temos um perímetro dinâmico, refletindo o tipo de ambiente de constante mudança usado atualmente, e capaz de proteger usuários e aplicações enquanto se movem.

O conceito de SDP integra, entre outros:

  • autenticação e validação do dispositivo;
  • acesso com base em identidade;
  • provisionamento dinâmico de conexões para esconder aplicações de usuários não autorizados.

Os componentes utilizados no modelo de SDP já são velhos conhecidos, a grande inovação fica por conta da forma como eles foram integrados e implantados. Até hoje, a sequência de acesso a um ambiente era: conectar -> identificar -> autorizar. Com a implantação do SDP passa a ser: identificar -> autorizar -> conectar. O modelo de SDP esconde a infraestrutura, deixando as aplicações invisíveis a todos usuários. Após o usuário ser autenticado, o dispositivo validado, e ambos autorizados, um túnel dinâmico é criado entre o usuário e a aplicação.

Ao longo das pesquisas e desenvolvimento de um protótipo para validar o conceito, o modelo de SDP se mostrou eficaz para barrar todas formas de ataque de rede, incluindo DDoS, Man-in-the-Middle, Sever Query e Advanced Persistent Threat (APT).

O modelo de SDP tem chamado muita atenção nos últimos meses, sendo citado inclusive pelo Gartner:

“Through the end of 2017, at least 10% of enterprise organizations (up from less than 1% today) will leverage software-defined perimeter (SDP) technology to isolate sensitive environments.”
Gartner Predicts 2016: Security Solutions, Ruggero Contu et al., 4 December 2015.

Nos próximos artigos, vamos entender um pouco melhor sobre sua arquitetura, implantação, aplicações, cases, etc.