La microsegmentación es una práctica recomendada de seguridad que ayuda a controlar y limitar el acceso a la red entre cargas de trabajo en el centro de datos o en entornos de nube de una empresa.
La práctica de la segmentación no es nueva: los equipos de TI llevan mucho tiempo segmentando redes y aplicaciones. La segmentación de la red, por ejemplo, divide una red en varios segmentos para reducir la superficie de ataque y garantizar que, si se produce una infracción de seguridad de un host en un segmento de red en particular, los hosts de los demás segmentos no se vean comprometidos.
En lo que difiere la microsegmentación es en la granularidad de la segmentación a nivel de datos o aplicaciones. Al usar la tecnología de virtualización de redes en lugar de múltiples cortafuegos físicos, el departamento de TI puede segmentar una red en cargas de trabajo o recursos compartidos de datos individuales y luego implementar controles de seguridad únicos basados en políticas exclusivas e individualizadas. Esto se materializa esencialmente en zonas seguras muy específicas en el centro de datos y los entornos de nube, lo que refuerza la postura de seguridad de la empresa y la defensa contra ataques, minimizando el impacto de un evento cibernético.
Hoy en día, la microsegmentación es cada vez más habitual porque la nube es cada vez más popular, lo que requiere una separación absoluta de datos y cargas de trabajo y la habilitación de políticas unificadas. También ofrece garantías adicionales al implementar cargas de trabajo que la seguridad perimetral estándar no puede proteger por completo, como en el caso de los contenedores. Por ejemplo, las cargas de trabajo nativas de la nube suelen tener direcciones IP dinámicas, por lo que intentar crear reglas basadas en dichas direcciones IP sería ineficaz.
¿Cómo funciona la microsegmentación?
La microsegmentación aísla esas cargas de trabajo y aplica políticas y reglas para determinar si dos cargas de trabajo deben poder acceder a los datos de la otra.
Tradicionalmente, las empresas han utilizado seguridad perimetral para sus redes. Estos protocolos y dispositivos de seguridad monitorizan el tráfico que se mueve entre clientes y servidores, o los datos que se transmiten a la red desde una fuente externa o viceversa. Por lo general, todo dentro de la red era de confianza y los datos podían viajar de manera lateral entre cargas de trabajo sin una supervisión cuidadosa.
Sin embargo, a medida que la nube se populariza, la mayor parte del tráfico de una empresa se vuelve lateral, o de carga de trabajo a carga de trabajo, y la seguridad del perímetro no lo inspecciona.
Los administradores de TI pueden separar las cargas de trabajo en una red para reducir o eliminar cualquier daño causado por un ataque lateral desde dentro de una red (a diferencia de un ataque perimetral). Eso significa que incluso si un atacante logra traspasar la seguridad del perímetro, el sistema aún está protegido contra amenazas de servidor a servidor.
Los controles de seguridad de la microsegmentación generalmente se dividen en tres categorías principales:
- Agentes de software u otras soluciones basadas en agentes: TI puede usar un agente de software que superponga las cargas de trabajo y los sistemas que se están segmentando. Algunas de estas soluciones analizan los atributos de la carga de trabajo para determinar cómo aislarlos. Otros confían en el cortafuegos integrado de la carga de trabajo.
- Controles basados en la red: aprovechan la infraestructura de red física o virtual, como redes definidas por software (SDN), conmutadores y balanceadores de carga para crear e implementar políticas.
- Controles integrados en la nube: en esta categoría, el sistema aprovecha los controles nativos ofrecidos por un proveedor de servicios en la nube como Amazon Security Group de AWS o cortafuegos integrados.
¿Qué es la seguridad zero trust?
Generalmente, los controles de seguridad de microsegmentación se basan en los fundamentos subyacentes de privilegios mínimos y una arquitectura zero trust (ZTA, por sus siglas en inglés). El modelo de seguridad zero-trust elimina la confianza implícita inherente a los enfoques de seguridad tradicionales. Esa confianza implícita generalmente se otorgaba a los usuarios dentro de un sistema de red, pero ahora el principio predominante de zero trust es dar a los usuarios acceso solo a los sistemas, la información y las aplicaciones que necesitan y mantenerlos aislados de todo lo demás. Esto restringe el movimiento lateral innecesario de datos entre sistemas y aplicaciones.
En un modelo zero-trust, entrar por la puerta principal de la red de una empresa o iniciar sesión en el sistema ya no es un permiso de libre acceso a cualquier recurso. Los usuarios deben estar continuamente autenticados y autorizados para acceder a datos y aplicaciones específicos dentro del sistema.
Hoy en día, el enfoque zero trust para la seguridad es cada vez más común, gracias en parte a tres factores significativos: 1) el fuerte aumento de las filtraciones graves de datos en todos los sectores, 2) el cambio a modelos de trabajo híbridos y remotos en los últimos años, y 3) el traslado de recursos a la nube, lo que ha ayudado a disipar y difuminar el perímetro de seguridad que antes estuvo claramente definido por el centro de datos. De hecho, Gartner estima que para 2025 el 60 % de las empresas adoptará este modelo en lugar de los enfoques de seguridad tradicionales.
¿Zero trust frente a microsegmentación?
Muchos expertos consideran que la microsegmentación es la tecnología central de las prácticas de seguridad zero trust, denominada Acceso a la red zero trust (ZTNA, por sus siglas en inglés). Los dos enfoques de seguridad están estrechamente vinculados; de hecho, la microsegmentación permite zero trust. Las cargas de trabajo se segmentan con alta granularidad y los principios zero trust garantizan que nadie pueda acceder a esas cargas de trabajo sin autenticación y autorización obligatorias o exhaustivas. Si una carga de trabajo se ve comprometida, la empresa aún tiene la tranquilidad de saber que la amenaza no puede afectar a otras cargas de trabajo, usuarios y recursos de manera lateral.
¿Cuáles son los beneficios de la microsegmentación?
Además de reducir o prevenir la amenaza de ataques laterales dentro de los sistemas de una empresa, la microsegmentación puede brindarle al departamento de TI una perspectiva más beneficiosa sobre qué cargas de trabajo son las más importantes para proteger. Los beneficios de la microsegmentación son:
Reducir la superficie de ataque
La superficie de ataque de una empresa se compone de todos los puntos mediante los cuales alguien puede acceder a su red. Estos puntos se denominan vectores de ataque y pueden incluir de todo, desde aplicaciones, API, contraseñas y credenciales de usuario, datos sin cifrar, hasta los propios usuarios.
La microsegmentación puede aislar cada uno de estos puntos entre sí, lo que significa que si un atacante entra en el sistema, solo podrá acceder a una parte muy pequeña de toda la red. La superficie de ataque se ha reducido al tamaño de cada microsegmento.
La microsegmentación también brinda a la TI una vista detallada de la red de la empresa, de extremo a extremo, sin afectar al rendimiento ni causar tiempos de inactividad inesperados. Permitir que los desarrolladores de aplicaciones definan políticas y controles de seguridad, ayuda a prevenir la creación de nuevas vulnerabilidades simplemente debido a la implementación o actualización de una aplicación.
Contener las violaciones de seguridad de forma más eficaz
Con microsegmentos y políticas detalladas, los equipos tecnológicos y de seguridad pueden monitorizar de manera más efectiva los datos mientras viajan por la red. Los equipos de seguridad también pueden identificar los ataques de manera más rápida y eficiente, y reducir el tiempo que lleva mitigar las amenazas o responder a los ataques. Debido a que los microsegmentos están aislados entre sí, la infracción se limita al único microsegmento que se vio comprometido. Eso significa que las infracciones no pueden propagarse lateralmente y afectar otras áreas de la red.
Cumplir mejor con las regulaciones
Asegurar los datos regulados puede ser un desafío mayor que proteger información menos crítica porque las empresas deben cumplir con muchas pautas sobre cómo almacenar, acceder, gestionar y emplear esos datos. La microsegmentación permite a las empresas crear e implementar políticas para cargas de trabajo individuales, brindándoles un control mucho más detallado sobre cómo se accede a esos datos y cómo se utilizan. Las políticas en sí mismas pueden ayudar al cumplimiento, mientras que el aislamiento de otras cargas de trabajo contribuye a garantizar que los mandatos de regulación se puedan aplicar mejor.
Simplificar la gestión de políticas
Algunas soluciones de microsegmentación tienen herramientas integradas que ayudan a las empresas a simplificar la gestión de políticas. Lo hacen a través de funciones que pueden encontrar automáticamente aplicaciones en la red y recomendar diferentes tipos y niveles de políticas en función de cómo opera la aplicación o el sistema.
Proteger las cargas de trabajo más críticas
Algunas cargas de trabajo son más críticas para el negocio de una empresa que otras. Con la naturaleza granular de la microsegmentación, el departamento de TI puede garantizar que las cargas de trabajo más importantes y valiosas tengan la protección más eficaz mediante la creación de políticas y controles de seguridad personalizados definidos por la empresa.
¿Cómo se implementa la microsegmentación?
La microsegmentación es un proceso y su empresa debe evaluar si está lista para afrontarlo.
Antes de la implementación, su equipo tecnológico debe estar familiarizado con la segmentación de red en general y estar utilizándola ya. También debe tener una política de seguridad bien definida, porque eso formará la base de cómo separa los recursos de red entre sí.
También podría llevar algo de tiempo someterse a un proceso de exploración exhaustiva y asegurarse de tener una amplia visibilidad de los flujos de tráfico de aplicaciones y redes. Eso significa averiguar qué dispositivos, aplicaciones y otras cargas de trabajo se ejecutan en su red y determinar los flujos de datos de cada uno.
Ahora que sabe qué hay en su red, es hora de decidir lo que se debe permitirse hacer a cada carga de trabajo. Esto lleva a crear las políticas reales para cada microsegmento.
Cuando llega el momento de implementar la microsegmentación real, los expertos de eSecurityPlanet describen cuatro enfoques principales:
- Tejido de red: este enfoque implica duplicar el tejido de red, lo que significa integrar hardware y software de manera vertical para una visibilidad más oportuna y una gestión de la infraestructura microsegmentada. Es más efectivo en entornos de centros de datos.
- Hipervisor: un hipervisor o gestor de máquinas virtuales también puede ser el punto de control del tráfico de datos a través de una red. Este enfoque elimina la tediosa tarea de gestionar actualizaciones y aplicar parches de software en cada máquina individualmente.
- Protección de endpoints de terceros: subcontratar la protección de endpoints a un proveedor externo es una buena opción para algunas empresas. Este método está basado en agentes y puede proteger póliticas en tiempo real.
- Cortafuegos de nueva generación: considerados el método de implementación más avanzado, los cortafuegos de nueva generación ofrecen una protección sólida que incluye controles de aplicaciones, detección y prevención de intrusiones e inspección avanzada de paquetes. Inicialmente, este enfoque no estaba destinado a usarse en la nube, pero ahora hay proveedores que ofrecen cortafuegos como servicio.
Casos de uso de microsegmentación
- Gestión de la nube híbrida: A través de la microsegmentación, las organizaciones pueden crear controles y políticas de seguridad coherentes y disfrutar de una protección sólida no solo en el centro de datos, sino también en una variedad de plataformas en la nube.
- Separación de los sistemas de producción y desarrollo: la microsegmentación no solo desvincula los dos entornos, sino que también permite la creación de políticas que los aíslan de manera más estricta.
- Seguridad mejorada para datos y activos confidenciales: los activos "blandos", que incluyen información confidencial de clientes y empresas y propiedad intelectual, obtienen un nivel adicional de protección contra las amenazas maliciosas dentro de la empresa con la microsegmentación.
- Respuesta a incidentes : la microsegmentación limita el movimiento lateral de los atacantes y la mayoría de las soluciones de microsegmentación tienen capacidades de registro integradas que brindan a los equipos de seguridad más visibilidad sobre los ataques y las acciones posteriores.
Conclusión
A medida que la nube continúa modificando la forma en la que funcionan los negocios en el mundo, es más importante que nunca comprender cómo funciona la seguridad en la nube y encontrar las herramientas y prácticas adecuadas para proteger de forma correcta los datos, las aplicaciones, los sistemas y otros activos.
Una parte importante de la seguridad en la nube es la microsegmentación, que permite un enfoque de seguridad zero trust, y cuya popularidad aumentará en los próximos años.
Nutanix comprende los desafíos de proteger los datos y otros activos en la nube. Nosotros también adoptamos el modelo de seguridad zero trust y tenemos una gama de soluciones que ayudan a las empresas a reducir su superficie de ataque, cumplir con las regulaciones y responder y prevenir violaciones de seguridad de datos de manera más eficiente.
Recomendado para usted :
Explore nuestros principales recursos
Las claves para una seguridad homogénea en todas las infraestructuras en la nube
Seguridad centrada en las aplicaciones
