Cómo funciona AppGate ZTNA

A esto lo llamamos el colectivo Appgate SDP. La arquitectura de Appgate SDP es independiente de la infraestructura y puede desplegarse en cualquier lugar donde los recursos necesiten un acceso seguro. El componente central de Appgate SDP es el dispositivo. Los dispositivos pueden ser virtuales o físicos. Cada dispositivo está configurado para desempeñar una función en el colectivo Appgate. Las funciones principales son el controlador (el motor de políticas y el punto de decisión) y el gateway (el punto de aplicación de políticas).

Otras funciones opcionales son:

• Conector (punto de aplicación alternativo que permite la seguridad de sucursales y IoT/OT).
• Portal (para permitir el acceso sin cliente basado en navegador)
• Servidor de registros (pila ELK integrada para la agregación de registros y la generación de informes)
• Log Forwarder (agrega registros y los reenvía a un servidor SIEM o syslog de la empresa)

El colectivo Appgate SDP está diseñado para una alta disponibilidad, rendimiento y escala lineal para implementaciones empresariales pequeñas a muy grandes.  Todos los dispositivos se entregan como una máquina virtual sin costo alguno y, alternativamente, están disponibles como un dispositivo físico por un costo adicional.

El rol del Controlador de Appgate SDP es el cerebro del colectivo y actúa como motor de políticas y punto de decisión de políticas (PDP). Gestiona la autenticación, las políticas, las condiciones y los derechos que conceden acceso a todos los usuarios, dispositivos y cargas de trabajo desde un único panel o a través de la API.

El Gateway de Appgate SDP actúa como punto de aplicación de políticas (PEP).  Los Gateways controlan el flujo de acceso a los recursos protegidos. Construye dinámicamente microcortafuegos basados en sesiones o microperímetros basados en derechos concedidos que limitan el movimiento lateral y la superficie de ataque.

A esto lo llamamos ocultar la infraestructura. Single Packet Authorization (SPA) utiliza técnicas criptográficas probadas para hacer que los recursos de Internet sean invisibles para los usuarios no autorizados. SPA hace que los recursos de la empresa sean invisibles y permite al colectivo Appgate SDP distinguir los intentos de conexión autorizados de los no autorizados, al tiempo que sólo necesita evaluar un único paquete de red. Sólo los dispositivos que han sido sembrados con el secreto criptográfico serán capaces de generar un paquete SPA válido, y posteriormente podrán establecer una conexión de red. En esencia, así es como SPA reduce la superficie de ataque y hace que la infraestructura sea invisible al reconocimiento de los adversarios. Para más información, lea el blog SPA de Appgate.

Una vez que se ha concedido un derecho, todo el tráfico del Cliente al Gateway viaja a través de un túnel de red seguro y cifrado. Todos los accesos se registran a través del LogServer, lo que garantiza la existencia de un registro permanente y auditable de los datos de acceso del usuario.  Appgate SDP aprovecha el cifrado mTLS compatible con FIPS 140-2 y validado por terceros en cada conexión a un Gateway autorizado, independientemente de la ubicación del usuario.

Appgate SDP construye "micro" firewalls individuales basados en sesiones-justo-a-tiempo o conexiones 1-1 entre los usuarios y los recursos a los que están autorizados a acceder detrás de un Gateway.  Este pequeño conjunto de reglas individualizadas puede procesarse de forma casi instantánea para ofrecer conexiones y rendimientos ultra elevados. Estos microperímetros proporcionan un acceso con mínimos privilegios y reducen la superficie de ataque.

Sí. Como plataforma abierta, Appgate SDP se basa en APIs REST que permiten una perfecta integración con otras herramientas de seguridad, incluyendo IAM, Servicios de Directorio, EDR y SIEM, así como sistemas de negocio y de flujo de trabajo como un ITSM. Esto permite a los profesionales de seguridad crear un ecosistema de seguridad cohesivo e integrar la seguridad en los procesos empresariales.

Sí. Appgate SDP soporta tanto reglas de subida como de bajada. Muchas soluciones funcionan bien en casos de uso que requieren políticas de usuario/dispositivo para conectarse a recursos, también conocidas como "reglas up". Sin embargo, los equipos de seguridad más sofisticados deben soportar "down rules" que se ocupan de las interacciones entre un servidor, servicio o recurso "down" al dispositivo del usuario. El soporte de escritorio remoto, los productos de punto final centralizados (EPP/EDR/AV) y VoIP son buenos ejemplos, donde el control de acceso necesita fluir en ambas direcciones.

Sí. Appgate SDP está diseñado para proteger el acceso privado a través de un complejo entorno de TI híbrido que incluye en las instalaciones, en centros de datos, en una o más nubes (multi-nube) o una combinación de los tres (es decir, una arquitectura híbrida) con un motor de política unificada.

No. Las arquitecturas de perimetros definidos por software son muy diferentes de las VPN. Las VPN se han utilizado tradicionalmente para proporcionar a los trabajadores remotos acceso a los recursos corporativos, y sus únicas características de seguridad reales son la autenticación del usuario en la red.   En comparación, Appgate SDP es fundamentalmente una solución centrada en la identidad e impulsada por la seguridad, que ofrece autenticación y cifrado mejorados, a la vez que añade otras funciones modernas que aumentarán la seguridad y reducirán la complejidad operativa. Para más información, lea nuestro blog sobre sustitución de VPN.