Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe

¿Experimentó una violación?

|
Contáctenos
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

6 Rerequerimientos de microsegmentación para aplicaciones modernas

Illumio Editorial
,
April 21, 2020
23 min. lectura

La idea de segmentar la red como una forma de aumentar la seguridad no es nueva. Pero ha sido difícil lograr la segmentación granular porque el cómputo y la seguridad han estado atados a la cadera. Eso significa que cualquier cambio realizado para alcanzar la postura de seguridad deseada requiere cambios en el transporte de red subyacente o sacrifica la granularidad. Además, los equipos de TI y seguridad suelen hacer malabares con prioridades competitivas, y la segmentación no siempre ha sido la estrategia más popular.

El aumento en la escala y alcance de los ciberataques está cambiando eso.

“... ahora no hay excusa para no habilitar la microsegmentación para ninguna empresa o infraestructura”

Microsegmentación es un gran elemento disuasorio para los hackers. Cada vez más organizaciones están implementando la microsegmentación como parte esencial de una estrategia de defensa en profundidad. De acuerdo con una encuesta reciente a más de 300 profesionales de TI, el 45 por ciento actualmente tiene un proyecto de segmentación o está planeando uno. El tercer trimestre de 2020 de Forrester Research Informe Zero Trust Wave reforzó la importancia al afirmar “... ahora no hay excusa para no habilitar la microsegmentación para ninguna empresa o infraestructura”.

Pero como con cualquier control de seguridad, es importante equilibrar la estrategia del negocio con la necesidad de asegurarlo. Segmentar su red es un proyecto importante y una forma completamente diferente de administrar su red. Es posible que esté pasando de una infraestructura de red plana, donde las comunicaciones están muy abiertas, a una red que requiere conjuntos de reglas de firewall al igual que su infraestructura perimetral. Se necesita una planificación cuidadosa para lograr el resultado deseado de una red que es difícil para los atacantes pero aún manejable para usted.

Entonces, ¿cómo llegas ahí?

Para implementaciones efectivas de microsegmentación, aquí hay una lista de seis funciones y capacidades clave que las soluciones deben proporcionar:

1. Visibilidad con el contexto de la aplicación

El adagio de que 'no puedes proteger lo que no puedes ver' no podría ser más cierto. Las organizaciones ejecutan una variedad de aplicaciones para operar sus negocios, cada una de las cuales se comunica entre sí y comparte datos. En ello radica el reto. Sin visibilidad, un usuario no autorizado tiene amplias oportunidades de infiltrarse en un negocio, aterrizar en un activo desprotegido o vulnerable y moverse lateralmente hacia activos críticos, todo antes de cualquier signo de detección.

La microsegmentación adecuada de los activos de las aplicaciones puede minimizar o prevenir la propagación de brechas, pero necesita visibilidad en la capa de aplicación. Esto es diferente de obtener tráfico de netflow o tocar un puerto SPAN en el switch que proporciona información sobre los flujos de red en L2 y L3. Debe poder ver cómo los componentes de las aplicaciones se relacionan entre sí en varios niveles (Web, Procesamiento, Base de Datos), así como cómo las aplicaciones interactúan entre sí.

Las aplicaciones no se encuentran en una isla. Hablan entre ellos, y así es como funcionan los procesos de negocio. Por ejemplo, es probable que un sistema de punto de venta (POS) hable con una aplicación de administración de inventario antes de cumplir con un pedido del cliente. Esto tiene sentido. Tráfico desde el sistema POS debería se le permita hablar con aplicaciones de inventario. Por otro lado, un servidor Web de cara al público no debe hablar directamente con una base de datos sino pasar por el servidor de procesamiento de aplicaciones para completar una transacción o consulta.

Pero estos flujos no son necesariamente bien conocidos, ciertamente no para los equipos de red y tal vez ni siquiera para los equipos de seguridad. Los desarrolladores de aplicaciones pueden tener este nivel de claridad, pero no siempre. Las organizaciones necesitan visibilidad incorporada que muestre las dependencias de las aplicaciones para lograr la microsegmentación correcta. Idealmente, esto aparecería en forma de mapa que muestra cómo varias aplicaciones hablan entre niveles, así como entre sí. Este mapa también debe representar cómo se establecen los diferentes entornos como Desarrollo, Puesta en escena, Producción y Regulación y qué tipo de comunicaciones fluyen entre ellos. Esto ayuda a las organizaciones a entender “lo que está sucediendo” y “lo que debería suceder” en función de su postura de seguridad deseada.

Cómo ayuda Illumio: El mapa de dependencia de aplicaciones de Illumio muestra claramente cómo interactúan los componentes de la aplicación y cómo las diferentes aplicaciones se relacionan entre sí. Este mapa, conocido como Iluminación, no sólo proporciona una visibilidad inigualable, sino que también recomienda políticas basadas en la granularidad deseada. Las políticas se definen en lenguaje natural mediante etiquetas y no requieren información de capa de red para definir políticas. Este enfoque hace el trabajo pesado y calcula las reglas precisas de L2/L3/L4 con base en esas políticas de lenguaje natural. Esto facilita el desarrollo de una postura de seguridad alineada con los objetivos de la organización.

2. Arquitectura escalable

Existen múltiples maneras de lograr la microsegmentación. Si bien cada enfoque tiene sus méritos, debe considerar la escalabilidad, la eficacia y granularidad de la solución, la facilidad de uso y, por último, pero no menos importante, la rentabilidad.

Los enfoques típicos incluyen:

  • Segmentación mediante la red: Programación de listas de control de acceso (ACL) en dispositivos de red (switches, routers, firewalls, etc.). Si bien este enfoque proporcionará cierta separación de nivel grueso, es muy engorroso, propenso a errores y costoso. Las redes están destinadas a transportar paquetes desde el punto A al punto B tan rápido como puedan, y asignar ACL para la segmentación es como detener cada paquete para ver si se debe permitir. Estos dos son objetivos diametralmente opuestos y cuando los mezclamos, las cosas empiezan a romperse.
  • Segmentación con SDN: La automatización de lo anterior con redes definidas por software (SDN) permite a los usuarios acceder a un controlador centralizado para definir reglas que se envían a los dispositivos de red apropiados. Este enfoque proporciona cierto alivio de configuración, pero en muchos sentidos, no es mejor que usar dispositivos de red. Además, la mayoría de los sistemas SDN fueron diseñados para proporcionar automatización de redes, no funciones de seguridad. Sólo recientemente los proveedores se dieron cuenta de los casos de uso de seguridad y trataron de reutilizar los sistemas SDN para proporcionar microsegmentación con un éxito marginal.
  • Microsegmentación basada en host: Arquitectónicamente, este enfoque es diferente. En lugar de que la aplicación de políticas se lleve a cabo en algún lugar de la red, las organizaciones pueden usar el poder de firewalls con estado integrados para hacer cumplir las reglas a la velocidad de línea sin ninguna penalización de performance. Además, esta es la única arquitectura de escalabilidad, lo que significa que agrega capacidad a medida que agrega cargas de trabajo. Se ha demostrado que las arquitecturas de escalado hacia afuera realizan un buen seguimiento a medida que los componentes del sistema crecen sin sacrificar el performance. Recuerde, para que se lleve a cabo la aplicación de la ley, la entidad que hace cumplir la ley necesita ver el tráfico. En el caso de los firewalls (o dispositivos de red haciendo el trabajo), tienen que ver el tráfico. En algún momento, la cantidad de tráfico superará la capacidad del ejecutor, dejando a una organización expuesta sin protección. La dirección del tráfico plantea un gran desafío y, a veces, rompe cosas en la capa de red o introduce una gran complejidad.

Debido a que el borde de la red no está en el firewall perimetral, sino en los segmentos internos, cuanto más granulares sean los segmentos, mejor protección obtendrá. Si lleva este concepto más allá, se da cuenta de que el mejor segmento es un segmento de uno: la carga de trabajo se convierte en el nuevo borde. No se confía en nada fuera de la carga de trabajo y toda la aplicación para permitir o detener el tráfico ocurre en la carga de trabajo sin sacrificar el performance. Los sistemas basados en host hacen exactamente eso.

Cómo ayuda Illumio: Al principio, reconocimos que la única manera escalable de lograr tanto la segmentación de grano grueso como la microsegmentación granular era a través de una arquitectura basada en host. Este enfoque lleva la seguridad muy cerca de donde está la acción, y los controles son independientes de la red. Aprovechar las capacidades y la capacidad del host para hacer cumplir usando la velocidad de línea del kernel del sistema operativo firewall con estado, desacoplamos la segmentación de la red y le brindamos una manera escalable de segmentar eliminando los puntos de choque presentes con los firewalls y agregando capacidad a medida que se conectan nuevas cargas de trabajo.

3. Políticas de seguridad abstraídas

Tradicionalmente, la seguridad ha estado ligada a la red, pero ambas entidades tienen objetivos diferentes. Las redes se tratan de velocidad y rendimiento. La seguridad tiene que ver con el aislamiento y la prevención. Cuando mezclamos los dos, obtenemos lo peor de ambos mundos. Es como estar en una carrera de tres patas donde ambos participantes se dirigen en diferentes direcciones. Huelga decir que el escenario no termina bien. Las políticas de seguridad deben abstraerse de la red para que se pueda alcanzar una postura de seguridad deseada independientemente de la infraestructura subyacente.

Cómo ayuda Illumio: Por segmentación de desacoplamiento desde la red, proporcionamos un flujo de trabajo para que las organizaciones creen políticas basadas en etiquetas centradas en el negocio que se entienden fácilmente. Las cargas de trabajo se organizan en función de cuatro dimensiones de etiquetas y las políticas se escriben con estas etiquetas. Todo el trabajo pesado de mapear las políticas abstractas a la aplicación a nivel de red se realiza a través de un modelo que le permite probar las políticas antes de aplicarlas. Esto asegura que pueda lograr el resultado deseado (microsegmentación) sin romper ninguna aplicación.

4. Controles granulares

Las organizaciones tienen muchas aplicaciones con diferente criticidad del negocio. Como tal, los requerimientos de seguridad difieren según la importancia y, a veces, los requerimientos reglamentarios asociados con esa aplicación. Necesita un mecanismo para definir diferentes posturas de seguridad para entornos informáticos únicos. A veces, puede estar bien simplemente separar diferentes entornos (por ejemplo, separar el desarrollo de la producción o separar los activos regulatorios dentro del alcance de todo lo demás). Para controles más estrictos, es posible que deba bloquear los niveles de aplicaciones (Web, Procesamiento, Base de datos) y controlar qué nivel puede comunicarse con cuál. Estas opciones deben ser parte del flujo de trabajo de políticas y deben ser fáciles de implementar sin realizar ningún cambio en la red.

Cómo ayuda Illumio: Nuestro modelo de políticas es simple, pero poderoso y fácil de usar. El mapa de dependencia de aplicaciones no solo proporciona visibilidad de la capa de aplicación, sino que también impulsa la creación de políticas al recomendar diferentes opciones, desde la simple esgrima hasta la separación basada en niveles y la segmentación basada en puertos, procesos y servicios.

5. Marco de políticas consistente en todo su entorno de cómputo

Las empresas se están convirtiendo cada vez más en múltiples nubes híbridas, y la huella de una aplicación ahora a menudo se dispersa en varias ubicaciones locales, instalaciones de hospedaje y nubes públicas en función de los requerimientos de resiliencia, funcionalidad, performance y residencia de datos. Debe desarrollar un mecanismo de seguridad consistente que trascienda las soluciones individuales incompatibles aplicables a un entorno particular.

Los modelos de seguridad son diferentes en las nubes públicas en comparación con las implementaciones locales. Las nubes públicas operan en un modelo de seguridad compartido. Los proveedores de la nube proporcionarán seguridad básica de la infraestructura y los clientes son responsables de asegurar sus activos y aplicaciones. Además, las herramientas utilizadas para asegurar las implementaciones en las instalaciones son diferentes de las disponibles en la nube pública. La mayoría de las nubes públicas ofrecen grupos de seguridad (tienen varios nombres dependiendo del proveedor) que ofrecen firewalling básico por red privada virtual. Estos grupos de seguridad tienen una escala limitada, tienen los mismos problemas que los firewalls en términos de complejidad de configuración y no son compatibles en todas las nubes. Esto puede ser un desafío para los clientes que son verdaderamente híbridos de múltiples nubes y necesitan un mecanismo de seguridad consistente.

Cómo ayuda Illumio: Nuestra solución es independiente del factor de forma de la ubicación y la carga de trabajo. Sus cargas de trabajo pueden residir en cualquier lugar. Proporcionamos visibilidad completa, así como un modelo de seguridad consistente que es aplicable en todo el estado de cómputo.

6. Integración con su ecosistema de seguridad

Definir una postura de seguridad y hacer cumplir sus reglas ayuda a mantener el negocio de una organización en funcionamiento. Esta pieza necesita integrarse firmemente con los procesos y herramientas que una organización utiliza para crear nuevos activos, implementar aplicaciones, poner en funcionamiento los sistemas y más. La mayoría de las organizaciones empresariales tienen sistemas que les ayudan con las operaciones diarias. A modo de ejemplo, SecOps puede usar Splunk como su principal centro de control, y otros sistemas deben alimentar notificaciones y alertas a este sistema. Es poco probable que SecOps monitoree varias herramientas diariamente para mantener las cosas funcionando. A menos que la seguridad se integre con estos procesos, siempre será un desafío y creará silos y complejidad.

Cómo ayuda Illumio: Nuestra solución está completamente impulsada por API, lo que significa que se integra fácilmente con el ecosistema más grande de una organización. Todo lo que puede hacer con la GUI de Illumio se puede hacer a través de llamadas API desde su sistema de elección. Además, soportamos integraciones que permiten una funcionalidad mejorada. Las integraciones notables incluyen:

  • ServiceNow: Illumio puede ingerir atributos de host de ServiceNow y se utiliza para crear etiquetas que se asignan a cada carga de trabajo y se utilizan para definir políticas. Además, Illumio puede enviar información sobre cualquier discrepancia (basada en un mapa en tiempo real) a ServiceNow y corregir la información para que la CMDB sea más precisa.
  • Splunk: Illumio puede enviar todas las alertas y notificaciones a los SIEMs como Splunk, informar sobre cosas como tráfico bloqueado, eventos de manipulación, violaciones de reglas, etc.
  • Escáneres de vulnerabilidades (Qualys, Tenable, Rapid7): Exclusivos de Illumio, podemos ingerir información de vulnerabilidad y superponer esa información en un mapa de dependencia de aplicaciones para visualizar y cuantificar el riesgo, lo que le brinda una mapa de vulnerabilidad. Esa información se puede usar entonces para derivar políticas de microsegmentación para dar cuenta de las vulnerabilidades, esencialmente usando la microsegmentación como un control de compensación cuando la aplicación inmediata de parches no es una opción.
  • Centro de seguridad de AWS: Al igual que Splunk, Illumio se integra con AWS Security Hub, que proporciona funcionalidad SIEM para implementaciones en la nube.

En resumen, aquí están las principales ventajas de la microsegmentación:

  • Seguridad mejorada: El tráfico de red se puede aislar y/o filtrar para limitar o evitar el acceso entre segmentos de red.
  • Mejor contención: Cuando se produce un problema de red, su efecto se limita a la subred local.
  • Mejor control de acceso: Permitir que los usuarios solo accedan a recursos de red específicos.
  • Cumplimiento de normas: Las organizaciones bajo requerimientos de cumplimiento reglamentarios o exigidos por el cliente pueden demostrar que se han tomado las medidas adecuadas y aprobar las auditorías de manera oportuna.
  • Monitoreo mejorado: Brinda la oportunidad de registrar eventos, monitorear conexiones internas permitidas y denegadas y detectar comportamientos sospechosos.


La microsegmentación es un enfoque muy eficaz para prevenir el movimiento lateral no autorizado dentro de su organización, y no es casualidad que se haya convertido en un elemento clave de un marco Zero Trust. Las brechas pueden ser perjudiciales, pero la ausencia de una red segmentada internamente puede ser igual de perjudicial.

La mayoría de las brechas de alto perfil dejan a las organizaciones paralizadas porque un intruso atravesó la red sin ser detectado durante semanas o meses, moviéndose lateralmente para acceder a activos de alto valor. La microsegmentación evita ese movimiento para que su organización no se convierta en el próximo negocio líder en sufrir un ataque.

¿Listo para dar el primer paso en tu viaje de segmentación? Inscribirse para una prueba gratuita de 30 días.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Cómo asegurar proyectos exitosos de microsegmentación: 6 mayores riesgos
Segmentación de confianza cero

Cómo asegurar proyectos exitosos de microsegmentación: 6 mayores riesgos

Hay una razón por la que tantas organizaciones aún no han implementado la microsegmentación para establecer una mayor protección de seguridad Zero Trust.

Leer más
3 cosas que debería estar buscando en la Conferencia RSA 2024
Segmentación de confianza cero

3 cosas que debería estar buscando en la Conferencia RSA 2024

Obtenga información sobre cómo debería pensar sobre los riesgos de seguridad de IA, la seguridad en la nube y el ROI de la ciberseguridad en la Conferencia RSA 2024.

Leer más
Lo que los operadores de energía pueden aprender del mayor ataque de infraestructura crítica de Dinamarca
Segmentación de confianza cero

Lo que los operadores de energía pueden aprender del mayor ataque de infraestructura crítica de Dinamarca

Esto es lo que sabemos sobre el ataque y cómo los operadores de energía pueden prepararse proactivamente para brechas similares con la Segmentación de Confianza Cero.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información