Che cos’è un perimetro definito da software?

Un perimetro definito da software (SDP) è un’infrastruttura di rete con capacità remote che protegge i data center basati su cloud e quelli locali. L’obiettivo di un approccio SDP è utilizzare i software, invece dell'hardware come base per il perimetro di rete. La Cloud Security Alliance ha creato l'SDP nel 2013 come soluzione per reti solide che riducevano il rischio delle violazioni di dati.

Gli SDP sono efficaci nel moderno panorama IT, in cui la gestione dei dati delle aziende è dispersa in vari canali, inclusi sistemi cloud privati e pubblici. L’infrastruttura SDP fornisce ai responsabili IT un singolo controllo di sicurezza sia per le reti remote che per quelle in locale.

L’infrastruttura degli SDP è diversa dalle reti basate sul perimetro in quanto limita l’accesso alla rete più ampia. L'SDP, invece, controlla rigorosamente gli accessi ai servizi e agli host specifici, secondo una politica predeterminata. Per questo motivo, gli SDP riducono nettamente la superficie di attacco alla rete di un sistema IT aziendale e prevengono gli attacchi criminali. Questa infrastruttura contribuisce a creare la base per un approccio Zero Trust, un paradigma di sicurezza che unisce una verifica rigorosa delle identità e un’autorizzazione esplicita per ogni utente (persona o entità) che tenta di accedere o utilizzare le risorse di rete, a prescindere che si trovi all’interno del perimetro della rete aziendale o che acceda alla rete da remoto. Impedendo l’accesso a chiunque finché la rete non verifica l’identità, un approccio Zero Trust consente il monitoraggio continuo delle modalità di accesso e uso dei dati.

Gli SDP sono alternative più sicure alle reti convenzionali basate sul perimetro. L’infrastruttura supporta un protocollo zero-trust, che nega a chiunque gli accessi per impostazione predefinita, imponendo invece un rigoroso processo di verifica per tutti. L'SDP verifica l’accesso con un approccio a due fasi, che include le identità degli utenti e i dispositivi.

L'SDP consente gli accessi alla rete in base a necessità e stabilisce connessioni private dedicate tra utenti e server. La rete è indipendente dalla posizione e dall’infrastruttura e consente agli esperti IT di distribuire i gateway da qualsiasi luogo per monitorare da remoto le attività degli utenti. La flessibilità dell'SDP supporta l’implementazione globale e la personalizzazione delle politiche di accesso automatizzate.

Un approccio SDP garantisce che tutti gli endpoint che tentano di accedere a una risorsa vengano autorizzati e autenticati prima che possano accedere a un asset della rete. I perimetri definiti da software autenticano le identità dell’utente attraverso una combinazione di nome utente e password oppure tramite un processo di autenticazione multipla, per maggiore sicurezza. I dispositivi sono controllati per garantirne il livello di aggiornamento e sottoposti a scansione per rilevare eventuali minacce malware e relativi rischi alla sicurezza.

L'SDP garantisce che i dispositivi siano validi e autorizzati, un aspetto cruciale in un luogo di lavoro BYOD (Bring Your Own Device) in cui i sistemi dei dipendenti possono essere compromessi. I perimetri definiti da software eliminano anche i rischi alla sicurezza posti dai dispositivi IoT facilmente accessibili a partire da fonti di terze parti. Le funzioni dinamiche dell'SDP connettono gli utenti alle applicazioni attraverso una procedura che non prevede noiosi processi di gestione, pur assicurando la rigorosità degli accessi alle risorse IT richieste.

Il rigoroso processo di autenticazione tenta di ridurre i casi di attacchi alla rete, come le minacce persistenti avanzate e man-in-the-middle, responsabili di gravi violazioni dei dati.

Le VPN (Virtual Private Network) forniscono una connessione crittografata su canali solitamente non crittografati, imitando una rete privata. La strategia VPN offre un livello di sicurezza aggiuntivo per l’accesso degli utenti di un’organizzazione, ma rimane vulnerabile alle violazioni dei dati.

Inoltre, le VPN possono risultare poco comode in scenari di accesso multilivello, in cui gli utenti devono configurare VPN separate per ogni connessione aggiuntiva. Se le credenziali VPN vengono trafugate da un hacker, la rete di un’organizzazione è esposta al medesimo livello di rischio di una rete compromessa, in cui utenti malintenzionati possono muoversi liberamente tra i data center. Più VPN portano a complesse routine di gestione IT, che aumentano le possibilità di violazioni dei dati.

Gli SDP, dal canto loro, sono più sicuri delle VPN in quanto stabiliscono connessioni univoche tra utenti e server, attuate con accesso limitato per ogni login. Inoltre, il processo di doppia autenticazione di un SDP impedisce gli accessi non autorizzati anche con credenziali di accesso compromesse o dispositivi rubati. Alcuni SDP integrano le funzionalità di costruire un sistema di blacklist integrato che nega immediatamente le richieste di accesso provenienti da dispositivi non autorizzati.

Un pilastro dell'SDP è la capacità di sfruttare la microsegmentazione per concedere l’accesso alla rete con privilegi minimi. Questa infrastruttura è la base per creare un approccio Zero Trust. La sicurezza Zero Trust continua di Forcepoint va oltre un semplice SDP e consente agli utenti di controllare l’utilizzo dei dati, non solo l’accesso.

A core pillar of SDP is the ability to leverage microsegmentation to grant the least privileged access to the network. This infrastructure is the basis for building a Zero Trust approach. Forcepoint’s continuous Zero Trust security goes beyond a simple SDP and allows users to control the usage of data—not just access.