Guía del Arquitecto para Implementar la Microsegmentación: Implicaciones de la Alteración del Modelo de Seguridad

Un arquitecto o gerente de proyecto para una implementación de microsegmentación se beneficia de una imagen clara de los resultados deseados y de cómo la implementación realmente afectará a su organización. Al mismo tiempo, la entrega de estos conocimientos a menudo requiere el apoyo de otros miembros del equipo, algunos de los cuales pueden ni siquiera estar dentro de TI. ¿Qué necesita saber un arquitecto o gerente de proyecto sobre las implementaciones de microsegmentación para hacer frente a un nuevo proyecto, mantenerlo en marcha y lograr resultados óptimos?

Esta serie explorará esas preguntas y examinará los conocimientos clave que colocarán a su equipo en una alineación óptima para ofrecer los resultados que espera y necesita entregar al negocio, aprovechando la experiencia trabajando en cientos de implementaciones de microsegmentación.

En parte 1, voy a discutir las implicaciones de alterar su modelo de seguridad. Pasar a una solución de microsegmentación altera el modelo de red/perímetro existente de varias maneras importantes, que se describen a continuación. Cada una de estas modificaciones permite algunos de los beneficios que hicieron atractiva la microsegmentación en primer lugar, y cada una de estas modificaciones tiene implicaciones para la empresa.

El punto de aplicación se mueve de la red al host

Tradicionalmente, la seguridad se coloca en puntos de choque perimetrales, ya sea en el borde de una VLAN, el entorno PROD o a Internet. En este modelo, hay poca interacción directa con la aplicación, las operaciones del servidor o los equipos de automatización. El cambio a la aplicación basada en host significa que:

• La combinación de sistemas operativos y el soporte de los agentes son cuestiones
• La disponibilidad y consistencia de las herramientas de automatización y administración afectarán la manera en que se realiza la implementación del agente y la rapidez
• Propietarios de aplicaciones, los administradores de sistemas y los desarrolladores de automatización interactuarán de maneras que son nuevas para ellos y para el equipo de seguridad
• Tener seguridad “dentro del sistema operativo” es nuevo para los equipos de aplicación/administración y necesitarán entender lo que eso significa para ellos.

La política de seguridad pasa de un modelo mixto de lista negra/lista blanca a un modelo de lista blanca pura

Los firewalls de hardware utilizan una combinación de declaraciones de permiso y denegación. Esto significa que el orden de reglas en cada dispositivo importa mucho. En las mejores políticas de microsegmentación, solo existen declaraciones de permisos. Naturalmente, esta es la implementación práctica de Cero Confianza principios para la segmentación. Pero también elimina las preocupaciones sobre el orden de reglas y permite políticas flexibles multidimensionales. Se trata de una forma diferente de trabajar y especificar políticas que tendrán un breve tiempo de transición a medida que los autores de políticas aprendan una nueva forma de expresar sus deseos. Crea una política mucho más simple que es más fácil de “leer”, lo que hace que las auditorías y la verificación del cumplimiento de normas sean mucho más fáciles. Espere pasar tiempo con esos equipos educándolos sobre el nuevo modelo de políticas.

Las declaraciones de políticas de seguridad pasan de las declaraciones dependientes de la red/IP a las declaraciones basadas en metadatos

Los firewalls de hardware dependen de direcciones IP, puertos y protocolos para la escritura de reglas. Todos los proveedores de microsegmentación proporcionan algún tipo de etiquetas o meta-datos para expresar declaraciones de políticas sin ninguna referencia a construcciones de red. Esto significa que la política de seguridad será comprensible para algo más que la red o los equipos de seguridad de la red. Los mecanismos gráficos de “apuntar y hacer clic” para la redacción de reglas también proporcionan una forma casi no técnica de crear políticas de seguridad. Cuando se combina con un potente control de acceso basado en roles (RBAC), es posible considerar la posibilidad de distribuir la redacción de reglas de manera más amplia dentro de la organización. Si esto es deseable o no, será organizacionalmente específico.

Aunque los metadatos no han sido históricamente importantes para el equipo de seguridad, las partes de la organización más amplia que se ocupan de la automatización hacen un uso intensivo de ellos. La confluencia de equipos de seguridad y automatización tanto generando como consumiendo metadatos implica que prestar especial atención al diseño de metadatos, almacenamiento, modificación, etc. son esfuerzos necesarios y que valen la pena que pueden afectar positivamente la agilidad de toda la organización. Esta conversación más amplia ocurre mejor cuando el liderazgo llega a través de silos y grupos de trabajo y reúne a toda la gama de componentes afectados para impulsar una solución común.

La automatización de seguridad basada en API está disponible

Si bien la automatización y la orquestación son palabras normales en los lados de las aplicaciones y del sistema de TI, no han sido tan comunes en el equipo de redes y seguridad. Pero una buena solución de microsegmentación proporciona un flujo de trabajo totalmente basado en API. Todas las capacidades de la plataforma deben ser accesibles a través de la API. Esto significa que la capacidad de automatizar la seguridad está limitada únicamente por la imaginación, el tiempo y la atención. Nuevamente requerirá trabajo en equipo multifuncional para que la organización comprenda las posibilidades, priorice los deseos de automatización e implemente los planes resultantes con las fases adecuadas. El tiempo dedicado a la limpieza y organización de metadatos dará grandes dividendos al automatizar la política de microsegmentación.

En cada una de estas observaciones, el hilo conductor es que esta la implementación cruzará las líneas organizativas internas. Ofrecerá capacidades que nunca han existido, y generará y consumirá datos que son nuevos para el equipo. En pocas palabras, esto es “cambio”, y no “más de lo mismo”. Cada organización tendrá su propia actitud hacia el cambio y la tarea de administración más grande es hacer coincidir este cambio con la capacidad de la organización para absorberlo.

Hoy exploramos cómo la microsegmentación altera fundamentalmente el modelo de red/perímetro existente con el que su organización probablemente se sienta “cómoda”. En la parte 2, analizaremos la siguiente información clave que permitirá a su equipo implementar la microsegmentación con el mayor éxito: cómo construir un equipo de implementación.

Para una inmersión más profunda y una excelente lectura de todo lo que necesita saber para implementar con éxito la microsegmentación, consulte el libro electrónico, Secure Beyond Breach: Una guía práctica para construir una estrategia de ciberseguridad en profundidad de defensa a través de la microsegmentación.