Perimetro definito dal software – Wikipedia

UN perimetro definito dal software (SDP), a volte indicato come a nuvola neraè un metodo per migliorare la sicurezza informatica. Il quadro SDP è stato sviluppato da Alleanza per la sicurezza nel cloud per controllare l’accesso alle risorse in base all’identità. In un SDP, la connettività segue un modello “need-to-know”, in cui sia la postura che l’identità del dispositivo vengono verificate prima che venga concesso l’accesso all’infrastruttura dell’applicazione.⁽¹⁾ L’infrastruttura applicativa in un perimetro definito dal software è effettivamente “nera”, un termine utilizzato da Dipartimento della Difesa per descrivere un’infrastruttura non rilevabile, priva di visibilità DNS informazioni o Indirizzi IP. I sostenitori di questi sistemi affermano che un SDP mitiga molti attacchi comuni basati sulla rete, tra cui la scansione dei server, il Denial of Service, Iniezione SQLexploit delle vulnerabilità del sistema operativo e delle applicazioni, attacchi man-in-the-middle, passa l’hashpass-the-ticket e altri attacchi da parte di utenti non autorizzati.⁽²⁾

Un SDP è una metodologia di sicurezza che controlla l’accesso alle risorse in base all’identità dell’utente e alla postura del dispositivo. Ne consegue a fiducia zero modello, verificando entrambi i fattori prima di concedere l’accesso alle applicazioni. Questo approccio mira a rendere l’infrastruttura interna invisibile a Internet, riducendo la superficie di attacco per minacce come il Denial of Service (DoS) e la scansione dei server (Rif. (1)).

La sicurezza di rete tradizionale si basa su un perimetro fisso, generalmente protetto da firewall. Sebbene ciò isoli i servizi interni, diventa vulnerabile con l’aumento di:

• Dispositivi gestiti dall’utente: Questi dispositivi aggirano i tradizionali controlli perimetrali.
• Attacchi di phishing: Questi attacchi possono consentire agli utenti non autorizzati l’accesso all’interno del perimetro.
• Adozione del cloud: Le applicazioni possono essere ospitate ovunque, rendendo il controllo perimetrale più complesso.

Gli SDP affrontano questi problemi:

• Rendere le applicazioni invisibili: L’Internet pubblico non può vedere direttamente le risorse interne.
• Applicazione del controllo degli accessi: Solo gli utenti e i dispositivi autorizzati possono connettersi alle applicazioni.

Un SDP è costituito da due componenti principali:

• Controller SDP: Gestisci le policy di accesso e la comunicazione tra i dispositivi.
• Host SDP: Questi possono avviare (richiedere l’accesso) o accettare (fornire l’accesso) le applicazioni.

Il flusso di lavoro prevede:

1. Distribuire controller SDP e collegarli ai servizi di autenticazione (ad esempio, Active Directory, autenticazione a più fattori).
2. Portare online gli host SDP accettanti, che si autenticano con i controller.
3. Avvio dell’autenticazione degli host SDP con i controller.
4. Controller che determinano le comunicazioni autorizzate e creano connessioni sicure tra host.

Esistono diversi modi per distribuire gli SDP, ciascuno adatto a scenari specifici:

• Da client a gateway: Protegge i server dietro un gateway, mitigando gli attacchi di movimento laterale all’interno di una rete o su Internet.
• Da client a server: Simile al client-to-gateway, ma il server protetto esegue direttamente il software SDP.
• Da server a server: Protegge la comunicazione tra server che offrono API.
• Da client a server a client: Abilita connessioni peer-to-peer sicure per applicazioni come le videoconferenze.

Gli SDP offrono vantaggi in termini di sicurezza in varie situazioni:

• Isolamento delle applicazioni aziendali: Protegge le applicazioni sensibili dall’accesso non autorizzato all’interno della rete.
• Sicurezza nel cloud: Protegge le distribuzioni di cloud pubblico, privato e ibrido.
• Internet delle cose (IoT): Protegge le applicazioni back-end che gestiscono i dispositivi IoT.

I perimetri definiti dal software offrono un approccio dinamico alla sicurezza della rete, allineandosi ai principi Zero Trust. Possono migliorare la sicurezza per ambienti on-premise, cloud e ibridi.