La creciente adopción de redes definidas por software y la virtualización de redes han creado la necesidad de medidas de seguridad internas más granulares. La microsegmentación es el núcleo de la seguridad Zero Trust.
Es un método para crear zonas seguras granulares en centros de datos e implementaciones en la nube hasta cargas de trabajo individuales utilizando tecnología de virtualización para monitorizar y proteger el tráfico lateral. Las soluciones de seguridad tradicionales, como firewalls, VPN y control de acceso a la red (NAC), se enfocan principalmente en proteger el perímetro de una red, también conocido como tráfico norte-sur. La microsegmentación, por otro lado, monitoriza y asegura el tráfico este-oeste o lateral. Esto incluye conexiones de servidor a servidor, de aplicación a servidor y de web a servidor dentro de la red.
Veamos qué es la microsegmentación, sus beneficios, métodos y mejores prácticas.
Indice
¿Qué es la microsegmentación?
La microsegmentación es una práctica recomendada de seguridad emergente que ofrece varias ventajas sobre enfoques más establecidos, como la segmentación de la red y la segmentación de aplicaciones. Los métodos tradicionales se basan en gran medida en controles basados en la red que son toscos y, a menudo, engorrosos de administrar. Sin embargo, el elemento de segmentación basado en software de la microsegmentación separa los controles de seguridad de la infraestructura subyacente y permite a las organizaciones la flexibilidad de ampliar la protección y la visibilidad en cualquier lugar.
La granularidad adicional que ofrece la microsegmentación es esencial en un momento en que muchas organizaciones están adoptando servicios en la nube y nuevas opciones de implementación, como contenedores, que hacen que la seguridad perimetral tradicional sea menos relevante.
La visualización de la infraestructura juega un papel esencial en el desarrollo de una estrategia sólida de microsegmentación. Cuando se hace bien, la visualización hace que tanto la actividad autorizada como la no autorizada en el entorno sean más fáciles de identificar y comprender para los equipos de TI.
Con la microsegmentación, los administradores del marco pueden hacer arreglos para que el tráfico de red de punto de ruptura entre las tareas restantes dependa de un enfoque de Zero Trust. Las asociaciones utilizan microsegmentación para disminuir la superficie de asalto a la red, fortalecer el cumplimiento normativo y mejorar la contención de brechas.
La microsegmentación es clave para implementar un marco de confianza cero. Este modelo se basa en el concepto de «no confiar en nada y verificar todo». Su objetivo es autenticar cada una de las conexiones realizadas dentro de la red para evitar que los atacantes pasen de una carga de trabajo comprometida a otra. Al segmentar las cargas de trabajo y aplicar políticas de seguridad detalladas, hasta las máquinas y aplicaciones individuales, se reduce la superficie de ataque general de una red.
Microsegmentación vs Segmentación de red
Las organizaciones con entornos basados en hardware utilizan firewalls, VPN y VLAN para la segmentación de la red. Este método protege el perímetro pero no asegura el tráfico interno. Se basa en políticas burdas que ofrecen un control limitado del tráfico. Si un atacante puede obtener acceso, se confiará en que se mueva libremente por la red. La microsegmentación tiene como objetivo bloquear estas conexiones no autorizadas.
Las políticas de seguridad granulares se asignan a cada segmento con microsegmentación para alejar los parámetros de seguridad de las redes y direcciones IP y enfocarlos en la identidad del usuario y las aplicaciones. Estas políticas evitan que usuarios y aplicaciones no autorizados se muevan lateralmente a través de una red.
Las políticas se pueden definir de acuerdo con construcciones del mundo real, como grupos de usuarios, grupos de acceso y grupos de red. Si se detecta una infracción de política, las herramientas de microsegmentación enviarán una alerta y, en algunos casos, bloquearán la actividad no autorizada. Se necesitarían miles de políticas generales para cada segmento para lograr la misma protección de tráfico lateral que puede proporcionar la microsegmentación.
Segmentación de aplicaciones
A medida que se expande el uso de la nube y se acelera el ritmo de implementación y actualización de aplicaciones, muchos equipos de seguridad están aumentando su enfoque en la segmentación de aplicaciones. Existen múltiples enfoques para la segmentación de aplicaciones, lo que puede generar confusión a medida que los equipos de seguridad comparan las técnicas tradicionales de segmentación de aplicaciones con enfoques más nuevos, como la microsegmentación.
La segmentación de aplicaciones a menudo incluye una combinación de segmentación dentro de la aplicación y aislamiento de los clústeres de aplicaciones del resto de la infraestructura de TI. Ambas técnicas proporcionan valor de seguridad de diferentes formas. Sin embargo, los enfoques tradicionales de segmentación de aplicaciones se basan principalmente en los controles de Capa 4, que se vuelven menos efectivos y más difíciles de administrar a medida que los entornos y los procesos de implementación de aplicaciones se vuelven más dinámicos.
Las tecnologías de microsegmentación ofrecen a los equipos de seguridad un enfoque más eficaz para la segmentación de aplicaciones al proporcionar una representación visual detallada del entorno, junto con un conjunto más granular de controles de políticas. Las tecnologías de microsegmentación más efectivas adoptan un enfoque centrado en la aplicación que se extiende a la Capa 7. La visibilidad y el control a nivel de proceso individual hacen que la segmentación de aplicaciones sea más efectiva y más fácil de administrar. La actividad autorizada se puede regir con políticas muy específicas que no se ven afectadas por la suplantación de direcciones IP o los intentos de ejecutar ataques en los puertos permitidos.
A medida que los entornos de nube híbrida y los procesos de DevOps de rápido movimiento se convierten en la norma, la segmentación de aplicaciones es más importante y más desafiante que nunca. El uso de la microsegmentación centrada en aplicaciones para realizar la segmentación de aplicaciones garantiza que la visibilidad de la seguridad y los controles de políticas sigan el ritmo de los cambios rápidos tanto en el entorno como en las aplicaciones que se ejecutan en él.
Beneficios
A medida que la infraestructura de TI se vuelve más dinámica y los nuevos enfoques de implementación, como la infraestructura en la nube y los contenedores, asumen roles más prominentes, el valor de la seguridad tradicional centrada en el perímetro disminuye considerablemente. En cambio, existe una creciente necesidad de que los equipos de TI mejoren su capacidad para detectar y prevenir movimientos laterales entre centros de datos heterogéneos y activos en la nube. La microsegmentación con granularidad de Capa 7 proporciona varios beneficios clave a las organizaciones que enfrentan este desafío.
La implementación de la microsegmentación reduce en gran medida la superficie de ataque en entornos con un conjunto diverso de modelos de implementación y una alta tasa de cambio. Incluso cuando los procesos de implementación y desarrollo de aplicaciones estilo DevOps traen cambios frecuentes, una plataforma de microsegmentación puede proporcionar visibilidad continua y garantizar que las políticas de seguridad sigan el ritmo a medida que se agregan y actualizan las aplicaciones.
Incluso con medidas proactivas implementadas para reducir la superficie de ataque, las brechas ocasionales son inevitables. Afortunadamente, la microsegmentación también mejora significativamente la capacidad de las organizaciones para detectar y contener brechas rápidamente. Esto incluye la capacidad de generar alertas en tiempo real cuando se detectan violaciones de políticas y bloquear activamente los intentos de utilizar activos comprometidos como puntos de lanzamiento para el movimiento lateral.
Otro beneficio clave de la microsegmentación es que ayuda a las organizaciones a fortalecer su postura de cumplimiento normativo, incluso cuando comienzan a utilizar los servicios en la nube de manera más amplia. Los segmentos de la infraestructura que contienen datos regulados pueden aislarse, el uso conforme a las normas se puede aplicar estrictamente y las auditorías se simplifican enormemente.
Los beneficios de la microsegmentación se maximizan cuando el enfoque se integra con la infraestructura más amplia de una organización, como las herramientas de orquestación. También es esencial seleccionar un enfoque de microsegmentación que funcione en servidores físicos, máquinas virtuales y múltiples proveedores de nube para lograr la máxima eficacia y flexibilidad.
Seguridad de movimiento lateral
Si bien los equipos de seguridad de TI a menudo dedican una atención significativa a la protección del perímetro, el tráfico de este a oeste está superando al tráfico de norte a sur tanto en volumen como en importancia estratégica. Esto se debe a factores como los cambios en los enfoques de escalamiento del centro de datos, las nuevas necesidades de análisis de big data y el uso creciente de servicios en la nube con un perímetro menos definido. Es más importante que nunca que los equipos de seguridad de TI desarrollen sus capacidades para evitar movimientos laterales en este tipo de entornos.
El movimiento lateral es el conjunto de pasos que toman los atacantes que se han afianzado en un entorno confiable para expandir su nivel de acceso, moverse a activos confiables adicionales y avanzar más en la dirección de su objetivo final. Es difícil de detectar, ya que a menudo se mezcla con el gran volumen de tráfico legítimo similar de este a oeste en el medio ambiente.
Las organizaciones pueden comenzar a abordar este problema utilizando herramientas de prueba. Esto ayudará a identificar y remediar las debilidades existentes.
También existen técnicas más sofisticadas que las organizaciones pueden implementar para mejorar la seguridad de los movimientos laterales.
Reducir la superficie de ataque
Si bien el cambio de los centros de datos locales tradicionales a la nube y los modelos de nube híbrida ha desbloqueado muchos beneficios comerciales nuevos, también ha aumentado significativamente el tamaño de la superficie de ataque que los equipos de seguridad deben defender. Este desafío se ve agravado por el ritmo acelerado del cambio de infraestructura y los modelos de implementación de aplicaciones más dinámicos que muchas organizaciones están adoptando.
Si bien muchas técnicas de reducción de la superficie de ataque existentes, como el fortalecimiento del sistema, la administración de vulnerabilidades, los controles de acceso y la segmentación de la red, siguen siendo relevantes a medida que crece el uso de las plataformas en la nube, los equipos de seguridad que buscan reducir la superficie de ataque pueden beneficiarse de una mayor visibilidad y controles de políticas más granulares que pueden aplicarse de forma coherente desde el centro de datos hasta la nube.
La visualización detallada de la superficie de ataque hace que sea mucho más práctico desarrollar estrategias para reducir su tamaño. Una representación visual detallada de todas las aplicaciones y sus dependencias, junto con la infraestructura subyacente que las respalda, facilita que los equipos de seguridad evalúen su nivel de exposición y descubran indicadores de compromiso.
Estos conocimientos se pueden utilizar para desarrollar políticas de microsegmentación que gobiernen la actividad de las aplicaciones con granularidad a nivel de proceso. Este nivel de control hace posible alinear las políticas de seguridad con la lógica de la aplicación e implementar entornos de confianza cero en los que solo la actividad de la aplicación autorizada puede ejecutarse con éxito.
Los nuevos entornos físicos, plataformas y métodos de implementación de aplicaciones crean muchas áreas nuevas de exposición potencial. Para reducir eficazmente la superficie de ataque en entornos de nube híbrida, una solución de microsegmentación debe aplicar políticas de manera coherente en entornos de nube y centros de datos dispares y una combinación de sistemas operativos y modelos de implementación.
Aplicaciones críticas seguras
Los equipos de seguridad de la información de hoy se enfrentan a dos tendencias principales que hacen que proteger las aplicaciones críticas sea más desafiante que nunca. La primera es que la infraestructura de TI está evolucionando rápida y continuamente. La segunda es que los atacantes se están volviendo más específicos y sofisticados con el tiempo.
La implementación de un enfoque sólido de microsegmentación es uno de los mejores pasos que pueden tomar los equipos de seguridad para obtener una mayor visibilidad de la infraestructura y proteger las aplicaciones críticas, ya que:
- Ofrece granularidad a nivel de proceso que alinea las políticas de seguridad con la lógica de la aplicación.
- Permite que las políticas de seguridad se implementen de manera consistente desde el centro de datos hasta la nube.
- Proporciona una seguridad constante en diferentes plataformas subyacentes.
Este poder y flexibilidad son útiles para cualquier organización que esté considerando cómo proteger mejor los objetivos de alto valor como controladores de dominio, sistemas de administración de acceso privilegiado y servidores de salto.
La microsegmentación también puede desempeñar un papel importante en la protección de aplicaciones verticales clave específicas, incluidas las aplicaciones de atención médica que contienen información médica protegida, aplicaciones de servicios financieros que están sujetas a PCI DSS y otras regulaciones, aplicaciones legales con implicaciones de confidencialidad del cliente y muchas otras.
La granularidad de políticas adicional que proporciona la microsegmentación facilita la creación de límites de seguridad en torno a datos sensibles o regulados, incluso cuando abarcan varios entornos y plataformas. La visibilidad adicional que proporciona la microsegmentación también es extremadamente valiosa durante el proceso de auditoría regulatoria.
Métodos de microsegmentación
La microsegmentación es una capacidad esencial para las organizaciones encargadas de proteger la infraestructura de TI en la nube híbrida, la nube y el centro de datos en rápida evolución. Sin embargo, el poder y la flexibilidad que ofrece la microsegmentación pueden dificultar la identificación de la combinación óptima de técnicas de microsegmentación para comenzar. La consideración por adelantado de los métodos de microsegmentación utilizados con frecuencia puede ayudar a las organizaciones a diseñar un enfoque por fases que se alinee con sus requisitos únicos de seguridad y cumplimiento.
Muchas organizaciones están familiarizadas con el uso de VLAN y otras formas de segmentación de red. Si bien la segmentación de la red ofrece valor de seguridad, la microsegmentación ofrece mucha más granularidad de control y es mucho más eficiente de implementar y administrar a escala. La microsegmentación también es mucho más práctica para extenderse más allá del centro de datos a la infraestructura en la nube que las VLAN.
Un buen primer paso en el desarrollo de políticas de microsegmentación es identificar aplicaciones y servicios en el entorno que requieren un amplio acceso a muchos recursos. Los sistemas de gestión de registros, las herramientas de supervisión y los controladores de dominio son algunos ejemplos. A estos tipos de sistemas se les puede otorgar un acceso amplio, pero las políticas de microsegmentación pueden usarse para hacer cumplir su uso solo con fines autorizados.
Hay una serie de otros métodos que las organizaciones pueden aprovechar al diseñar su enfoque de microsegmentación, que incluyen:
- Microsegmentación por entorno
- Crear límites regulatorios
- Microsegmentación por tipo de aplicación
- Microsegmentación por nivel
La mejor manera para que las organizaciones comiencen con la microsegmentación es identificar los métodos que mejor se alinean con sus objetivos de seguridad y políticas, comenzar con políticas enfocadas y gradualmente aplicar técnicas de microsegmentación adicionales a lo largo del tiempo a través de la iteración paso a paso.
Operacionalización de la microsegmentación
La microsegmentación es claramente el camino a seguir en la protección de redes. No solo es la respuesta a la erosión del perímetro, también es rentable. Pero un despliegue de microsegmentación exitoso no se puede juntar, requiere una previsión deliberada y detallada para hacerlo bien, la primera vez.
Hay algunas cosas que debes considerar detenidamente para establecer las bases para una implementación exitosa de la microsegmentación.
Inicialmente, debes comprender qué se debe segmentar. Tu implementación de microsegmentación reflejará tus necesidades, así que determina si estás segmentando para la reducción general del riesgo o por razones de cumplimiento. A continuación, aborda los objetivos a corto plazo y luego aborda los objetivos a largo plazo, una vez que tengas una línea de base de microsegmentación que proteja tus activos.
Una vez que esté completo, obtén una imagen completa de tu entorno, pero sabiendo que su imagen inicial está incompleta. Puedes (y debes) agregar más a medida que aprendas más sobre tus conexiones. Debes saber que el etiquetado adecuado de los activos es fundamental. Además, la flexibilidad en el proceso de etiquetado es clave, ya que las etiquetas deben reflejar tu entorno lo más fielmente posible. Por último, identifica sus fuentes de información y planifica una forma de extraer información de ellas.
Estos pasos garantizarán que estés en camino hacia una implementación de microsegmentación sólida y fructífera que tendrá éxito.
Cuando se trata de microsegmentación, este tipo de poder y flexibilidad es útil para cualquier organización que esté considerando cómo proteger mejor los objetivos de alto valor como controladores de dominio, sistemas de administración de acceso privilegiado y servidores de salto. También es invaluable a medida que las organizaciones adoptan servicios en la nube y nuevos enfoques de implementación de aplicaciones como contenedores.
Si bien la evolución de la infraestructura de TI crea nuevos desafíos para los equipos de seguridad, desvincular la visibilidad de seguridad y los controles de políticas de la infraestructura subyacente garantiza que las aplicaciones críticas se puedan proteger de manera efectiva en entornos heterogéneos con una alta tasa de cambio.
Mejores prácticas
Para la microsegmentación, se trata tanto del proceso como de la tecnología. Si no sigues los pasos meticulosamente, solo prolongarás el proyecto y causarás dolores de cabeza innecesarios.
Ningún tráfico se queda atrás
La microsegmentación significa una visibilidad impecable de los flujos de tráfico de norte a sur y de este a oeste. Durante la etapa de descubrimiento de la red, la información recopilada debe estar en las aplicaciones, cargas de trabajo y conexiones activas entre ellas. Las fuentes adicionales podrían ser las bases de datos de administración de la configuración, las herramientas de orquestación, los inventarios del sistema, los registros de eventos de adición de tráfico, los firewalls y SIEM, y los balanceadores de carga.
Dependiendo del tamaño y los recursos de tu equipo de TI, los proveedores también ofrecen software configurable o de terceros para mapear los flujos de transacciones en la infraestructura de red local y en la nube. El mapeo de estos flujos es fundamental, ya que no deseas inhibir la comunicación empresarial diaria mientras cierras las conexiones innecesarias.
Avanzar hacia la confianza cero
La microsegmentación y la arquitectura de confianza cero van de la mano. Tu superficie de ataque, a menudo vista como el perímetro de tu red, es inmanejable en el auge actual de las redes. Al registrar meticulosamente e identificar la «superficie de protección», sus segmentos más valiosos, los administradores brindan pautas claras sobre los pasos a seguir.
Tus superficies protegidas, o tus datos, aplicaciones, activos y servicios, son las prioridades. Estos segmentos suelen ser cruciales para la supervivencia de la organización, relacionados con el cumplimiento o explotables. Una vez definido, comienza el trabajo de establecer pasarelas de segmentación o NGFW.
De acuerdo con el marco de confianza cero, el objetivo final debe ser la inclusión en la lista blanca. Con la tecnología de visualización para ayudar a administrar las reglas y las amenazas de las políticas, el resultado de la microsegmentación es una red que niega cualquier anomalía. Todo el tráfico es conocido, etiquetado o verificado, lo que evita posibles vulnerabilidades relacionadas con la confianza.
Etiqueta tus cargas de trabajo
El etiquetado de cargas de trabajo es la próxima actualización importante para cualquier organización. Si bien los profesionales de la seguridad alguna vez escribieron políticas basadas en subredes y IP y se basaron en construcciones de red como VLAN / IP / VRF, esos días se están convirtiendo en cosa del pasado.
Identificar y etiquetar etiquetas de carga de trabajo dentro de tu red es un valor agregado increíble al considerar soluciones automatizadas para etiquetar cargas de trabajo de aplicaciones nuevas y existentes. Con el atractivo de la escalabilidad y expansión de la computación en la nube, el etiquetado de cargas de trabajo permite una seguridad y agilidad empresarial formidables.
Crea una política integral
Una política integral requiere políticas de seguridad estrictas y detección de amenazas. Y en el caso de la microsegmentación, estas políticas existen dentro de la red en sus microperímetros. Las características de toda tu red microsegmentada de políticas deben incluir controles como la identificación de la aplicación, la identificación del usuario, las restricciones basadas en archivos, el filtrado de URL y la prevención de amenazas.
No existe un estándar en toda la industria para probar sus políticas antes de pasar a la aplicación. Debido a que la naturaleza de la infraestructura y la microsegmentación de confianza cero es personalizada para la red, es una cuestión interna saber si cumple con sus requisitos. No priorizar una política integral puede dejar a tu equipo con dificultades para segmentar las aplicaciones HTTP / 2 y el descifrado SSL o en riesgo de ataques como el túnel de DNS.
Hacer cumplir las políticas adaptables
Si bien la microsegmentación puede ayudar a establecer una imagen clara de tu red existente, también debe ser una solución adaptable. Este paso requiere una visión completa de la prevención de amenazas, malware y phishing, y registros de firewall en tiempo real. Con nuevas IP entrando y saliendo continuamente de las redes, los sistemas automatizados basados en etiquetas son el futuro.
Con tecnología automatizada y de aprendizaje automático, esos registros existen con filtrado granular y tu sistema puede asignar etiquetas de forma dinámica a cargas de trabajo no identificadas previamente. Un ejemplo de esto podría requerir MFA para una dirección IP etiquetada como comprometida.
Casos de uso
El alcance de los casos de utilización para la microsegmentación es enorme y está en desarrollo. A continuación, se muestran algunos ejemplos de microsegmentación:
- Reacción al incidente: como se señaló anteriormente, la microsegmentación limita el desarrollo paralelo de amenazas. Además, los arreglos de microsegmentación brindan información de registro para ayudar a los grupos de reacción a episodios a comprender mejor las estrategias de asalto y la telemetría para ayudar a identificar la infracción de la estrategia en aplicaciones explícitas.
- Gestión de la nube híbrida: la microsegmentación puede brindar una garantía constante a las aplicaciones que abarcan numerosas nubes y actualizar estrategias de seguridad uniformes en condiciones híbridas creadas por diferentes proveedores de servicios en la nube y centros de datos.
- Seguridad para activos blandos: las empresas tienen un ímpetu monetario y de reputación gigantesco para garantizar recursos blandos, por ejemplo, información confidencial de empleados y clientes, datos financieros de la empresa y propiedad intelectual. La microsegmentación agrega otro grado de seguridad para prepararse para la exfiltración y las actividades malignas que pueden causar tiempo de inactividad e interferir con las tareas comerciales.
- Sistemas de desarrollo y producción: en una situación ideal, las organizaciones separan con cautela el giro de los eventos y las condiciones de prueba de los sistemas de producción. En cualquier caso, estas medidas no pueden evitar acciones imprudentes, por ejemplo, diseñadores que toman información del cliente de bases de datos de creación para probarla. La microsegmentación puede autorizar una división más enfocada al restringir de manera granular las conexiones entre las dos condiciones.
Conclusión
La microsegmentación es una capacidad fundamental para las asociaciones encargadas de obtener una infraestructura de TI de rápido avance, una nube híbrida y un centro de datos. No obstante, la flexibilidad y el poder que ofrece la microsegmentación pueden hacer que, para empezar, intente distinguir la combinación ideal de métodos de microsegmentación.
La idea correcta de las estrategias de microsegmentación utilizadas habitualmente puede ayudar a las organizaciones a diseñar una metodología por etapas que se alinee con sus requisitos de cumplimiento y seguridad única. Los microsegmentos también pueden asumir un papel importante en la obtención de aplicaciones verticales explícitas clave, incluidas las aplicaciones de atención médica.