/ ¿Qué es la segmentación de red?
¿Qué es la segmentación de red?
Comparación entre la segmentación de red y la microsegmentación
Antes de continuar, diferenciemos entre segmentación de red y microsegmentación.
La segmentación de red funciona mejor con el tráfico de norte a sur, mientras que la microsegmentación agrega una capa de protección para el tráfico de este a oeste: de servidor a servidor, de aplicación a servidor, de web a servidor, etc. En una analogía común, la segmentación de la red es como el foso y los muros exteriores de un castillo, mientras que la microsegmentación es como los guardias de las puertas de los aposentos interiores del castillo.
¿Por qué utilizar la segmentación de red?
La segmentación de la red es una defensa proactiva, no reactiva, y ofrece algunas ventajas clave. La defensa reactiva (realizar investigaciones y control de daños solo después de una infracción) suele ser costosa y aun así puede dejarlo lidiando con la pérdida de datos, problemas de cumplimiento y daños a la reputación.
La defensa proactiva, es decir, la prevención, busca abordar los riesgos y vulnerabilidades potenciales antes de que puedan ser explotados. La segmentación de la red es una de las formas más comunes de hacer esto en la actualidad.
Tipos de segmentación de red
Tradicionalmente, ha habido dos tipos básicos de segmentación de red:
- La segmentación física utiliza firewalls, cableado, conmutadores y conexiones a Internet discretos para separar partes de una red informática. Este es el tipo más caro y menos escalable.
- La segmentación virtual, también llamada segmentación lógica, suele segmentar los flujos de tráfico de red mediante redes de área local virtual (VLAN), que pueden estar protegidas por el mismo firewall.
Casos de uso de segmentación de red
Entonces, ¿qué hace realmente la segmentación de la red? En resumen, está diseñada para ayudarle a:
- Detener el movimiento lateral de amenazas externas: en una red segmentada, una filtración de datos en un segmento no es una amenaza inmediata para los datos de otro segmento.
- Detener el movimiento lateral de amenazas internas: Segmentar el acceso por necesidad empresarial (por ejemplo, hacer que los datos financieros sean inaccesibles para RR. HH.) reduce el riesgo de tener ataques internos.
- Separar redes internas de las redes de invitados: mantener a los invitados en un segmento separado le permite ofrecerles conectividad sin poner en riesgo sus dispositivos y datos internos.
- Proteger los datos regulados y cumplir con las regulaciones: almacenar datos confidenciales en un segmento de acceso restringido los protegerá mejor y lo ayudará a cumplir con las regulaciones de datos.
Ventajas de la segmentación de red
Sea cual sea el sistema que utilice una organización, una red segmentada tiene algunas ventajas claras sobre una red plana sin jerarquía ni subredes. Estos incluyen:
- Mayor ciberseguridad para los datos confidenciales: esta ventaja abarca la prevención de violaciones (movimientos de norte a sur), un control de acceso más estricto y controles de seguridad específicos para cada segmento.
- Cumplimiento normativo más sencillo: limitar quién puede acceder a ciertos datos y hacia dónde se envían simplifica el cumplimiento y las auditorías de regulaciones como PCI DSS y GDPR.
- Análisis de riesgos y control de daños más sencillos: cuando los ciberdelincuentes no pueden moverse libremente por toda su red, es más fácil localizar sus técnicas e identificar los puntos débiles de su postura de seguridad.
- Puntos finales y usuarios más seguros: esta seguridad va en ambos sentidos: los usuarios finales y los puntos finales están más seguros cuando las amenazas no pueden propagarse fácilmente entre segmentos, y los segmentos mismos están más seguros contra las amenazas que comienzan en los puntos finales.
- Congestión de red reducida: la actividad en un segmento no acelerará otra parte de la red. Por ejemplo, los clientes que utilizan Wi-Fi para invitados no ralentizarán las transacciones con tarjeta de crédito.
Mejores prácticas de segmentación de red
Aquí tiene cinco buenas prácticas de segmentación de red que debe seguir para implantar y mantener una segmentación de red eficaz:
1. No segmentar en exceso
Una segmentación excesiva puede disminuir la visibilidad general de su red y dificultar la gestión, pero una segmentación insuficiente mantiene su superficie de ataque amplia y perjudica su postura de seguridad.
2. Realizar auditorías periódicas
La segmentación de la red solo mejorará la seguridad de su red si audita continuamente sus segmentos en busca de vulnerabilidades, permisos estrictos y actualizaciones. Si sabe que no hay vulnerabilidades en su cobertura, estará un paso por delante de los hackers.
3. Seguir el principio de privilegio mínimo
Al utilizar el principio de privilegio mínimo en todos sus segmentos, garantiza a sus usuarios, administradores de red y equipo de seguridad que el acceso solo se otorgará cuando sea necesario. El acceso con menos privilegios es fundamental para el acceso a la red de confianza cero.
4. Limitar el acceso de terceros
Otorgar acceso a terceros ya es riesgoso, por lo que es importante hacerlo solo cuando sea necesario, especialmente si se lo otorga a múltiples segmentos. Considerar cuidadosamente los nuevos permisos es muy importante para mantener una buena postura de seguridad de la red.
5. Automatizar siempre que sea posible
Además de las ventajas de la automatización en general (como la mejora de la visibilidad, la seguridad y el MTTR), la automatización de la segmentación de la red le permite identificar y clasificar rápidamente nuevos activos y datos, lo que constituye otra práctica recomendada de segmentación en sí misma.
Desventajas de la segmentación de red
En las complejas arquitecturas de red actuales, distribuidas en múltiples entornos de nube y centros de datos, los antiguos modelos de segmentación (basados en firewalls, VLAN y perímetros de red) tienen algunas deficiencias importantes.
Los firewalls tradicionales tienen un defecto clave que es directamente contrario a la segmentación: crean redes planas que permiten un fácil movimiento lateral. Tratar de compensar esto es increíblemente complejo y engorroso desde el punto de vista operativo. Incluso los firewalls de próxima generación todavía permiten a los usuarios de su red acceder a aplicaciones, y las VLAN tienen la misma debilidad.
Un enfoque tradicional le deja con:
- Confianza excesiva: dado que la segmentación tradicional basada en firewall está diseñada para evitar ataques desde fuera, puede dejarlo expuesto a las amenazas internas.
- Configuraciones incorrectas: en las VLAN es muy fácil que la configuración sea incorrecta en las arquitecturas actuales, sobre todo si utiliza proveedores de nube de terceros y no puede cambiar la infraestructura usted mismo.
- Administración laboriosa: cada nueva aplicación, dispositivo o cambio implica la actualización de las reglas del firewall e incluso las actividades más sencillas, como el análisis de los puntos débiles, requieren más recursos.
- Controles complejos: los métodos tradicionales carecen de controles detallados, lo que dificulta la definición de políticas de segmentación para trabajadores remotos, socios, clientes, etc.
- Problemas de escalabilidad: para manejar el crecimiento de la red, debe crear segmentos más pequeños o actualizar los existentes, lo que genera mayores costos de escalabilidad y mantenimiento.
- Bajo rendimiento: añadir más dispositivos de red (por ejemplo, firewall, enrutadores) tiene un efecto negativo agravado en el rendimiento general de la red.
ZTNA: Una forma mejor de lograr la segmentación
A medida que se depende cada vez más de la escalabilidad, la flexibilidad y el alcance de la nube, muchas estrategias puras de seguridad de red (como la segmentación tradicional) se vuelven poco prácticas. En lugar de ello, necesita un modelo que elimine de la ecuación su red interna, con todos sus riesgos y complejidades.
El acceso a la red de confianza cero (ZTNA) es un marco basado en la noción de que ningún usuario o dispositivo es inherentemente confiable. En cambio, las políticas de acceso se basan en el principio de privilegio mínimo, basado en la identidad y el contexto, como el dispositivo, la ubicación, la aplicación y el contenido.
ZTNA conecta a los usuarios directamente con las aplicaciones de forma individual, nunca con la red, eliminando así el movimiento lateral. Esto le permite lograr la segmentación de una manera fundamentalmente diferente y más eficaz que con las VPNs y los firewall heredados.
Obtenga más información sobre el estado del mercado de ZTNA, las recomendaciones y las tendencias en la Guía de mercado de Gartner® para el acceso a la red de confianza cero.
Ventajas de ZTNA con respecto a la segmentación tradicional
En comparación con la segmentación tradicional, ZTNA:
- Da un acceso adaptable, sensible a la identidad y preciso sin acceso a la red. Elimina la confianza implícita, reemplazándola por confianza explícita basada en la identidad.
- No requiere conexión de red, por lo que sus aplicaciones internas (y direcciones IP) nunca están expuestas a Internet, lo que reduce su superficie de ataque y su riesgo.
- Proporciona una segmentación a nivel de usuario y aplicación mediante políticas de acceso granulares aplicadas en la nube, en lugar de tener que configurar políticas de acceso y reglas de firewall.
- Mejora la flexibilidad, la agilidad y la escalabilidad al tiempo que reduce la necesidad de firewall internos. ZTNA se puede entregar como servicio en la nube o como software gestionado en las instalaciones.
- Permite el acceso seguro a las aplicaciones para los dispositivos no gestionados y los socios externos, a la vez que mantiene a los usuarios fuera de la red, minimizando el riesgo de proliferación de malware.
Zscaler y la segmentación de red
Zscaler Private Access™ es la plataforma ZTNA más implementada del mundo. Esta plataforma utiliza los principios de privilegios mínimos y le ofrece a sus usuarios una conectividad segura y directa a sus aplicaciones privadas sin colocarlos en su red.
Tanto si se encuentra en la etapa de planificación o ya ejecutando un modelo de segmentación tradicional que necesita actualizarse, podemos ayudarle a lograr una segmentación madura con ZTNA. A continuación le indicamos cómo empezar:
- Reemplace sus VPN y firewall por Zscaler Private Access para reducir su superficie de ataque y eliminar el movimiento lateral con la segmentación de usuario a aplicación.
- Implemente la segmentación de aplicación a aplicación para llevar la ZTNA a sus cargas de trabajo y aplicaciones en la nube en entornos híbridos y multinube.
- Por último, implemente la microsegmentación proceso a proceso/basada en la identidad para la comunicación dentro de una nube.