Cómo mejorar la seguridad con una adecuada segmentación de redes
Titulares recientes alrededor de las violaciones de datos han puesto de manifiesto un percance de seguridad común: la segmentación de red incorrecta.
Seamos realistas, no hay tal cosa como ser 100% segura. Si un atacante realmente quiere entrar en la red, van a encontrar una manera. Así que usted no quiere un único punto de fallo. Una vez que se obtuvo acceso no autorizado, la segmentación de red o "zonificación" puede proporcionar un control eficaz de mitigar el siguiente paso de una intrusión en la red y para limitar aún más el movimiento a través de la red o propagación de una amenaza.
Por segregar correctamente la red, se está minimizando esencialmente el nivel de acceso a la información sensible para las aplicaciones, los servidores y las personas que no lo necesitan, al tiempo que permite el acceso de los que lo hacen. Mientras tanto usted está haciendo mucho más difícil para un ciberatacante para localizar y acceder a la información más sensible de su organización.
Pautas reglamentarias y Mejores Prácticas
Normas como PCI-DSS proporcionan orientación sobre la creación de una separación clara de los datos dentro de la red - en el caso del PCI, los datos de titulares de tarjetas deben ser aislados del resto de la red, que contiene información menos sensible. Un ejemplo sería el de asegurar que el Punto de Venta de sistemas y bases de datos (POS) están completamente separados de las zonas de la red en la que tengan acceso terceros. En este ejemplo, una Zona PCI se crearía con limitaciones estrictas que permite la conectividad para el menor número de servidores y aplicaciones como sea posible.
Rutas para lograr la segmentación adecuada
Los firewalls y VLANs proporcionan una ruta para dividir la red en zonas más pequeñas, suponiendo que ha definido y están imponiendo un conjunto de reglas que controla las rutas de comunicación. Una buena política de seguridad implica la segmentación de la red en varias zonas con diferentes requisitos de seguridad y la aplicación de una política rigurosa de lo que está permitido pasar de una zona a otra. Cualquier cosa designado en la zona de PCI, por ejemplo, debe ser aislado del resto de la red tanto como sea posible - sin afectar el negocio global.
Estos son algunos, pero no es una lista exhaustiva de consejos a tener en cuenta:
• Implementar controles en múltiples capas dentro de la arquitectura de red. Cuantas más capas se pueden agregar a cada nivel (por ejemplo, datos, aplicaciones, etc.), más difícil es para un ciberdelincuente obtener acceso no autorizado a información sensible. Por supuesto, esto tiene que ser manejado desde un punto de vista operativo y no puede ser el punto en donde los procesos de negocio llegan a un punto muerto.
• Aplicar la regla de menos privilegiado. Por ejemplo, un proveedor de terceros puede necesitar el acceso a la red, pero lo más probable es que no necesita tener acceso a cierta información. Acceso sólo debe proporcionar al usuario o al sistema que está absolutamente necesario y nada más.
• Acceso a la información por segmentos sobre la base de sus requisitos de seguridad. Defina sus diferentes zonas en función de dónde reside la información sensible. Por ejemplo, usted quiere asegurarse de que la información sensible no es de fácil acceso por un tercero que no tiene necesidad de este acceso. Dar un paso atrás cuando se mira en la arquitectura de la red y determinar si hay acceso innecesario o acceso no demasiado restrictivo en diferentes lugares. Usted puede ser sorprendido por lo que ve.
• Potenciar un enfoque de lista blanca o híbrida. En lugar de tratar de bloquear todas las cosas malas que hay, que te pone en un juego interminable del gato y el ratón, definir lo que sabes que es vías de comunicación aceptables y bloquear todo lo demás.
Un desafío común es que la construcción de una matriz grande con muchas zonas semi-segregadas, el establecimiento de una política de permite el tráfico entre zonas, y hacer cumplir, no es trivial. Si se puede llegar a este punto, lo más probable que requiere todo o procesos manuales y sobre todo un montón de esfuerzo - especialmente con la cantidad típica de los cambios de seguridad que debe ser procesada en una base regular.
Los cambios en la seguridad pueden afectar a una política definida en el tiempo como una consecuencia no deseada y automatizar el proceso de cambio de seguridad en torno a políticas de segmentación de red se pueden garantizar estas políticas se aplican y validan cada vez que una solicitud de cambio se realiza de forma continua.
Una mirada hacia el futuro
El concepto de redes definidas por software (SDN) es una promesa emocionante cuando se trata de la segmentación. Con la creación de redes poco a poco alejándose de cajas "no modificables" con parpadeantes luces a pilas de software, el concepto de "micro-segmentación", donde el tráfico entre dos puntos finales puede ser analizado y filtrado basado en una política de conjunto, se está convirtiendo en una realidad.
Micro-segmentación se abre un mundo de posibilidades para la gente de seguridad, sino también una lata de gusanos potencial cuando se trata de su gestión.
Presente o futuro, ya que algunas de las últimas violaciones han mostrado, la segmentación de red incorrecta puede aumentar significativamente su exposición de robo de datos o interrupciones del sistema. Las redes planas son simples y requieren pocos gastos de gestión, sino que ofrecen protección a la altura.
- Con información de Nimmy Reichenberg
