CIBERSEGURIDAD

La microsegmentación y por qué es un elemento clave de la defensa de la red

0 70 5 minutos de lectura


Todo el mundo ha tenido que acostumbrarse a la frase «distanciamiento social», la práctica de utilizar la distancia de los demás para minimizar las amenazas a la salud. Inevitablemente, la gente ha comenzado a utilizar la analogía del “distanciamiento digital” para hablar de ideas similares en seguridad de la información. No es exactamente nuevo utilizar metáforas de enfermedades en la seguridad de la información; ya hablamos de «infecciones» de ransomware, por ejemplo. Pero con la salud pública comprensiblemente en el frente de la mente de las personas, analicemos el “distanciamiento digital” como una parte de las defensas de la red.

La microsegmentación es un enfoque cada vez más popular para permitir el distanciamiento digital. Al igual que con el distanciamiento social, el concepto básico detrás de la microsegmentación es limitar tanto contacto innecesario como sea posible. La mayoría de las computadoras solo necesitan comunicarse con una pequeña cantidad de otras computadoras; de lo contrario, pueden y deben mantener su “distancia digital” del resto de la red.

La microsegmentación funciona como una lista de permisos para el tráfico de la red. Los sistemas en la red pueden comunicarse solo con los otros sistemas que necesitan, y solo de la manera esperada. Estos segmentos de la red tienen un paralelo en el concepto de gestión de enfermedades de «burbujas sociales», que limitan los contactos a un pequeño grupo de interacciones necesarias. La versión digital de esto funciona controlando el tráfico de red hacia y desde una conexión de red determinada.

La microsegmentación se encuentra entre las mejores protecciones disponibles actualmente para los profesionales de TI contra la propagación lateral (o de este a oeste) del compromiso cuando se defiende el estado general de datos de una organización. Al limitar la capacidad de cada sistema para comunicarse con otros en la red, se minimiza la posibilidad de que la infección digital se propague. El compromiso se puede limitar aún más mediante el uso selectivo de la cuarentena: bloquear completamente los segmentos de red comprometidos, evitando así la propagación.

Esto contrasta con el modelo de «computación cáscara de huevo» en el que las defensas solo se colocan en el perímetro de la red, dejando todo lo que se encuentra detrás de ese perímetro sin protección. La informática de cáscara de huevo no protege del compromiso lateral. Esto es lamentable porque muchos ataques de ransomware, como el malware Conti recientemente descubierto, hacen uso deliberadamente de la propagación lateral.

La microsegmentación se puede realizar de varias formas diferentes. Algunas implementaciones son poco más que «un firewall administrado por un equipo diferente». Las implementaciones más avanzadas agregan superposiciones de red. Con una combinación de superposiciones y listas de control de acceso, es posible controlar todo el tráfico que entra y sale de un sistema específico. Idealmente, el tráfico solo puede ser «visto» por los sistemas que se supone que deben recibirlo.

Desafortunadamente, no es práctico aislar la mayoría de los sistemas para que solo se comuniquen con otros sistemas dentro de su segmento. Como mínimo, deben poder obtener actualizaciones de seguridad periódicas de otros lugares. Esto puede crear un problema, especialmente desde el punto de vista regulatorio. Muchos regímenes regulatorios exigen el aislamiento de varios sistemas, pero ¿cómo se puede aislar un sistema que necesita comunicarse entre segmentos?

Una solución es colocar firewalls virtuales o en contenedores en el borde de cada microsegmento, de modo que cualquier tráfico que ingrese o salga del segmento se pueda filtrar e inspeccionar. Solo los sistemas que necesitan absolutamente comunicarse entre sí se incluyen en un segmento de red dado, y el firewall ofrece enrutamiento más allá de ese segmento.

Este enfoque agrega una capa de defensa cada vez más necesaria a las ACL y las superposiciones de red. Las ACL restringen la comunicación hacia y desde una carga de trabajo individual. El firewall y los servicios de seguridad avanzados asociados en el borde del segmento analizan y restringen el tráfico que ingresa y sale del segmento. Para cualquiera de esos flujos de datos que están saliendo del centro de datos, las defensas de borde del centro de datos pueden examinarlos más a fondo.

Esto crea un enfoque de seguridad en capas que defiende las cargas de trabajo de las amenazas que se originan fuera del centro de datos (defensas de borde del centro de datos), (dentro del centro de datos, pero fuera del segmento de red propio de la carga de trabajo (defensas de borde de segmento) y desde dentro del segmento de red sí mismos (ACL). Si los controles de seguridad son demasiado estrictos, estas múltiples capas de seguridad pueden determinar qué capa de seguridad está impidiendo que una aplicación funcione, pero proporcionan una mejora significativa sobre el enfoque de «cáscara dura con interior suave» de la cáscara de huevo tradicional informática, que se basa exclusivamente en las defensas del borde del centro de datos.

La combinación de ACL con superposiciones de red permite agilidad en la ubicación de la carga de trabajo. Las superposiciones de red permiten que exista una carga de trabajo en cualquier lugar de la red al que puedan llegar las superposiciones de red. Si todos los puertos del conmutador son capaces de permitir que una carga de trabajo participe en la red superpuesta, entonces esa carga de trabajo puede existir físicamente en cualquier lugar donde se extienda la red, lo que facilita la adición de cargas de trabajo donde sea necesario, cuando sea necesario y sin una planificación significativa.

Si bien esta agilidad es útil tanto para los diseñadores de aplicaciones como para los administradores de infraestructura, también puede magnificar el impacto de las fallas. Las aplicaciones distribuidas se dividen en microservicios, y cada aplicación puede soportar una cantidad diferente de tipos diferentes de microservicios que se desconectan antes de que toda la aplicación se vea comprometida.

La capacidad de distribuir estos microservicios a través de una red completa también es la capacidad de tener los componentes críticos de múltiples aplicaciones agrupadas en áreas de la infraestructura de una organización donde una sola interrupción puede hacer que varias aplicaciones se interrumpan al desconectar solo una pequeña cantidad de microservicios. La resistencia de la red física aumenta en importancia con el uso de las capacidades de agilidad de la red.

Este tipo de agilidad en la ubicación de la carga de trabajo ejerce presión sobre el diseño de la red. En lugar de una red estrictamente jerárquica diseñada para interacciones Norte-Sur, el tráfico Este-Oeste se vuelve más importante y las redes tipo malla se vuelven más populares. Si bien la transición entre estas dos filosofías de diseño a menudo requiere un período de ajuste, los diseños de redes de malla pueden reducir los costos al permitir que la capacidad se agregue de manera más orgánica y sin necesidad de conmutadores centrales capaces de manejar prácticamente todo el tráfico este-oeste por su cuenta.

Las implementaciones bien planificadas diseñadas por profesionales experimentados no solo pueden tener éxito, sino que también pueden aumentar significativamente la capacidad de una organización para responder a cambios inesperados y, en última instancia, resultar en un beneficio financiero.

Una consideración cada vez más importante al examinar los beneficios de la microsegmentación es el cumplimiento normativo. La microsegmentación no solo es una herramienta importante para lograr el cumplimiento (como regla general, cuanto más aislada y segura sea la carga de trabajo, más felices estarán los reguladores), sino que la microsegmentación también requiere funcionalmente una plataforma de gestión centralizada.

Tener la seguridad de la red de uno orquestada por una plataforma de administración centralizada significa que todas las reglas que gobiernan la seguridad de la red están en un solo lugar. Por lo tanto, se pueden informar rápida y fácilmente, lo que hace que las auditorías sean mucho menos preocupantes. Un solo informe puede probar el diseño de seguridad de uno, especialmente en el caso de la microsegmentación, ya que se puede examinar la lista exacta de restricciones de tráfico de red, desde la carga de trabajo individual hasta el borde del centro de datos, las cargas de trabajo de computación en el borde y en todas las nubes en Entre.

La microsegmentación se ha convertido en una capacidad imprescindible. Es un habilitador clave tanto de la agilidad de la red como de la seguridad de la información. Es casi seguro que la implementación requerirá abordar décadas de deuda técnica, pero la factura al respecto llegaría tarde o temprano. Lograr la excelencia en seguridad requiere distanciamiento digital para minimizar el riesgo de propagación del compromiso, y la microsegmentación es la herramienta más obvia disponible para realizar el trabajo.

Contribuido por Trevor Pott, líder de seguridad técnica, Juniper Networks

Publicaciones relacionadas

GASA BØG GROUP crece con SecurEnvoy

El informe de McAfee Labs señala que los ciberataques se dirigen a los usuarios de redes sociales y de atención médica

Para cuando te hayas comprometido, ya es demasiado tarde

Más de la mitad de las pequeñas y medianas empresas del Reino Unido no están seguras del impacto del Brexit en el RGPD

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar