Búsqueda
La segmentación de red es un enfoque de arquitectura que divide una red en varios segmentos o subredes, que actúan como redes pequeñas. Esto les permite a los administradores de red controlar el flujo de tráfico entre subredes según políticas detalladas. Las organizaciones usan la segmentación para mejorar la supervisión, aumentar el rendimiento, identificar problemas técnicos y, lo más importante, mejorar la seguridad.
Con la segmentación de la red, el personal de la seguridad de red cuenta con una herramienta potente para evitar que usuarios no autorizados, ya sean infiltrados o atacantes malintencionados, obtengan acceso a recursos valiosos, como la información personal de clientes, los registros financieros corporativos y la propiedad intelectual sumamente confidencial, las llamadas “joyas de la corona” de la empresa. Hoy en día, estos recursos suelen encontrarse en entornos de nube híbrida y múltiples nubes, como nubes públicas, nubes privadas y entornos definidos por software (SDNs); todos ellos deben contar con protección contra ataques. Para comprender el uso que la seguridad hace de la segmentación de red, primero hay que analizar el concepto de confianza en la seguridad de red.
La suposición de confianza
Antes, los arquitectos de red orientaban las estrategias de seguridad al perímetro de red, la línea invisible que separa el mundo exterior de los datos esenciales de una empresa. Se suponía que las personas que se encontraban en el perímetro eran de confianza y, por lo tanto, no representaban una amenaza. Por esa razón, su capacidad para acceder a información estaba sujeta a pocas restricciones.
Las recientes vulneraciones de alto perfil pusieron en duda la suposición de confianza. Por un lado, los infiltrados pueden ser la fuente de las vulneraciones, muchas veces sin querer y otras deliberadamente. Además, cuando las amenazas penetran el perímetro, pueden moverse por la red de forma horizontal y con total libertad para acceder a cualquier dato, aplicación, recurso o servicio (DAAS). Con acceso virtualmente irrestricto, los atacantes pueden filtrar con facilidad un rango completo de recursos valiosos, muchas veces antes de que se detecte la vulneración (ver la figura 1).
Figura 1: El movimiento lateral en el perímetro bajo la suposición de confianza
La respuesta de Confianza Cero
Debido a la debilidad inherente de la confianza supuesta, muchas organizaciones comenzaron a adoptar la estrategia de Confianza Cero. De forma predeterminada, la Confianza Cero supone que nadie es de confianza, incluso aquellos que ya se encuentran en el perímetro de la red. La Confianza Cero funciona bajo el principio de una “superficie de protección” alrededor de los DAAS más valiosos y esenciales de la organización. Como contiene solo lo más esencial de las operaciones de una empresa, la superficie de protección es mucho más pequeña que la superficie de ataque de todo el perímetro de red.
Aquí es donde entra en juego la segmentación de red. Mediante la segmentación, los arquitectos pueden construir un microperímetro en torno a la superficie de protección que, básicamente, actúa como una segunda línea de defensa. En algunos casos, los firewalls virtuales pueden automatizar el aprovisionamiento de seguridad para simplificar las tareas de segmentación. Sin importar cómo se logra, los usuarios autorizados pueden acceder a los recursos en la superficie de protección, mientras que todos los otros lo tienen prohibido como valor predeterminado.
Los atacantes detestan la segmentación porque, a diferencia de lo que ocurría en los días de la confianza asumida, no basta con solo penetrar el perímetro para obtener acceso a la información confidencial. Los microperímetros, ya sean físicos o virtuales, evitan que las amenazas se desplacen de forma lateral en la red y, en esencia, invalidan gran parte del trabajo que supuso crear la vulneración en primer lugar (ver la figura 2).
Figura 2: El movimiento limitado en el perímetro con la Confianza Cero y la segmentación de red
Casos de uso
Las organizaciones pueden emplear la segmentación de red en una gran variedad de aplicaciones, incluidas las siguientes:
La esencia
La segmentación de la red puede implementarse como una segmentación física o lógica.
Como sugiere su nombre, la segmentación física implica dividir una red más grande en un conjunto de subredes más pequeñas. Un firewall físico o virtual actúa como la puerta de enlace de la subred y controla el tráfico que entra y sale. La segmentación física es relativamente sencilla de administrar porque la topología se encuentra fija en la arquitectura.
La segmentación lógica crea subredes mediante uno de dos métodos primarios: las redes de área local virtuales (VLANs) o los esquemas de direcciones de red. Los enfoques basados en las VLANs son bastante sencillos de implementar porque las etiquetas VLAN enrutan el tráfico de forma automática a la subred adecuada. Los enfoques de direcciones de red son igual de eficaces, pero requieren un conocimiento más detallado de la teoría de la red. La segmentación lógica es más flexible que la física porque no requiere cableado ni el movimiento de componentes físicos. El aprovisionamiento automático puede simplificar en gran medida la configuración de las subredes.
El traslado a una arquitectura de segmentación brinda la oportunidad de simplificar la administración de las políticas de firewall. Una práctica recomendada emergente es usar una sola política consolidada para el control de acceso a las subredes, al igual que para la detección y la mitigación de las amenazas, en lugar de realizar esas funciones en diferentes partes de la red. Con este método, se reduce la superficie de ataque y se fortalece el enfoque de seguridad de la organización.
Haga clic aquí para obtener más información sobre la segmentación de la red.
El dispositivo resistente PA-220R de Palo Alto Networks®presenta capacidades de nueva generación para aplicaciones industriales en entornos hostiles.
Con Prisma Cloud de Palo Alto Networks®, las organizaciones pueden mantener el cumplimiento normativo, controlar la seguridad y habilitar las operaciones de seguridad en entornos informáticos en la nube pública.
VM-Series habilita de forma segura esta transformación con el mismo firewall de nueva generación y las características de prevención de amenazas avanzadas que protegen su red física.
El dispositivo resistente PA-220R de Palo Alto Networks®presenta capacidades de nueva generación para aplicaciones industriales en entornos hostiles.
En los últimos años, Microsoft® Office 365®, la versión basada en la Web del paquete de colaboración de Microsoft, se posicionó como el gigante de la nube empresarial ya que cuenta con 120 millones de usuarios comerciales, según el recuento más reciente. Sin embargo, el gigante del software todavía no está satisfecho e indicó que su objetivo es trasladar dos tercios de los clientes comerciales de Office a la nube para mediados de 2019.
Prisma™ Cloud (anteriormente denominado RedLock) es un servicio de seguridad y cumplimiento que descubre dinámicamente cambios en los recursos en la nube y correlaciona continuamente las fuentes de datos sin procesar y aislados. Esto incluye las actividades de usuarios, las configuraciones de recursos, el tráfico de red, inteligencia de amenazas e informes de vulnerabilidad para proveer una visión completa de los riesgos en la nube pública. Gracias a su enfoque innovador, impulsado por el aprendizaje automático, Prisma permite a las organizaciones priorizar rápidamente los riesgos, mantener un desarrollo ágil y cumplir de manera eficaz sus obligaciones en el Modelo de Responsabilidad Compartida.