¿Cómo ayuda la segmentación de la red a proteger la red empresarial?
Segmentar la red puede ser complejo, pero los conceptos básicos son simples. ¿Cuál es la mejor manera de segmentación una red?
La computación en nube, el gran consumo de las TI, la movilización y la explosión de las aplicaciones están impulsando a todos a utilizar la tecnología en nuevas formas.
Estas tendencias e innovaciones hacen al negocio más competitivo, aumentan la productividad y crean nuevas oportunidades de mercado globales. También han cambiado dramáticamente la red de la empresa moderna, que empuja los límites en relación con el rendimiento y la velocidad.
Pero mientras que la infraestructura de la red continúa evolucionando para satisfacer las demandas de estos nuevos requisitos, la infraestructura de seguridad para ofrecer servicios seguros y controlados no ha evolucionado al mismo ritmo.
Los equipos de seguridad se ven obligados constantemente a hacer concesiones entre lo que pueden lograr, o no, la supervisión y el control de los nuevos servicios de red.
Con poca o ninguna visibilidad y la entrada de nuevos servicios, la seguridad de red se convierte, por defecto, en una ocurrencia tardía. Si la seguridad sigue siendo relegada a la posición de una tecnología bolt-on (una aplicación pre-configurada que se puede montar en los servicios), sólo podemos esperar que esta tendencia negativa continúe en la implementación de redes.
La segmentación de red puede proporcionar los equipos de seguridad con las bases necesarias para proteger de forma dinámica cambiante la infraestructura y los servicios de red.
La segmentación de red puede ser compleja, pero los fundamentos son sencillos. En pocas palabras, es el proceso de agrupar lógicamente activos de red, recursos y aplicaciones, junto a las zonas compartimentadas que no tienen relaciones de confianza entre sí.
Al tratar de introducir segmentación de la red hay que tener en cuenta algunos requisitos clave:
• Obtener visibilidad del tráfico, los usuarios y los activos
• Proteger las comunicaciones y recursos en ambas solicitudes, entrantes y salientes
• Implementar controles granulares de tráfico, los usuarios y los activos
• Establecer una política de denegación predeterminada en todas las conexiones entre segmentos
Entonces, ¿cuál es la mejor manera de implementar la segmentación de red para ofrecer más seguridad nuevos servicios?
Cualquier enfoque de segmentación de la red debe seguir los siguientes cuatro pasos y centrarse en un solo segmento a la vez. Comience con las áreas que son más fáciles de segmento fuera de la red más amplia, como desarrollo o áreas de pruebas.
Elija primero la fruta que cuelga más abajo en el árbol y aprenda cómo llegar a las áreas más complejas.
Paso 1. Ganar visibilidad
Si usted no entiende el perfil de tráfico de un segmento propuesto con respecto a las comunicaciones entrantes y salientes, entonces los controles de acceso implementados fallarán.
Usted debe entender cómo se utiliza realmente el segmento de red que desea.
Espere encontrar una desconexión entre lo que usted cree que está ocurriendo y lo que, de hecho, está ocurriendo.
Paso 2. Proteger las comunicaciones y recursos en ambas solicitudes entrantes y salientes
La seguridad es su objetivo principal. Si usted no tiene la capacidad de ejercer la protección de los recursos dentro de un segmento, su objetivo no será cumplido.
No es suficiente tener controles de acceso simples entre segmentos, se necesita la capacidad para remediar rápidamente cualquier amenaza detectada.
Paso 3. Implementar controles granulares sobre tráfico, usuarios y activos
Todos los datos que entran y salen de un segmento deben ser controlados. Usted ya ha implementado la protección (en el paso anterior), por lo que sabe que cualquier comunicación que entra o sale del segmento ha tenido un nivel de protección de seguridad que se le aplica.
Ahora usted puede poner en práctica la política de comunicación de la organización con los controles de acceso granular.
A pesar de que usted debe tener un buen nivel de comprensión de las comunicaciones que se producen con el segmento desde el exterior (que se logra en el paso 1), estos controles deben ser implementados en un proceso de dos pasos: controles de detección, seguido de controles preventivos.
Al comenzar con un control por default usted podrá establecer una línea de base para identificar e investigar el tráfico inesperado.
Paso 4. Establecer una denegación predeterminada en todas las comunicaciones entre segmentos
Ahora que usted ha alcanzado la visibilidad, las comunicaciones están protegidas y se ha implementado una política de acceso en un estado predeterminado –permitir–, es momento del último paso.
Muévase hacia una postura de seguridad de denegación por omisión para todo el tráfico entre segmentos. Sólo cuando una política de denegación por omisión está en su lugar se puede separar con éxito el segmento del resto de la red y es posible operarlo como una unidad lógica propia.
La implementación de los primeros segmentos en una red de gran tamaño será una tarea de enormes proporciones, pero la recompensa a largo plazo de limitar el alcance de un compromiso por compartimentar cada segmento y colocar los controles bien vale la pena.
Las innovaciones tecnológicas que impulsan el valor de negocio continuarán impulsando el alcance de la red, la escala y el rendimiento. Tenemos que estar preparados con un enfoque de seguridad que nos de la visibilidad, comprensión y control para proteger nuestras modernas y dinámicas redes.
- Recopilado, traducido y redactado por León Blaustein con información original de Marc Solomon.
