La microsegmentación es un método para crear zonas seguras en centros de datos y despliegues en la nube, que les permite a las empresas aislar las cargas de trabajo entre ellas y protegerlas individualmente. Está dirigido a hacer que la seguridad de la red sea más granular.
La microsegmentación vs. VLAN, firewalls y ACL
La segmentación de red no es nueva. Las empresas han confiado en los firewalls, las redes de área local virtuales (VLAN) y las listas de control de acceso (ACL) para la segmentación de redes durante años. Con la microsegmentación, las políticas se aplican a las cargas de trabajo individuales para una mayor resistencia al ataque.
“Cuando las VLAN le permiten realizar una segmentación de grano grueso, la microsegmentación le permite realizar una segmentación más precisa. Entonces, en cualquier lugar que necesite bajar a particiones granulares del tráfico, allí lo encontrará”, afirmó el analista Zeus Kerravala, fundador de ZK Research y colaborador de Network World.
El aumento de las redes definidas por software y la virtualización de redes ha allanado el camino para la microsegmentación. “Podemos hacer cosas en el software, en una capa que está desacoplada del hardware subyacente”, dijo Kerravala. “Eso hace que la segmentación sea mucho más fácil de implementar”.
Cómo la microsegmentación administra el tráfico del centro de datos
Los firewalls tradicionales, los sistemas de prevención de intrusiones (IPS) y otros sistemas de seguridad están diseñados para inspeccionar y proteger el tráfico que llega al centro de datos en una dirección norte-sur. La microsegmentación brinda a las empresas un mayor control sobre la creciente cantidad de comunicación este-oeste o lateral, que se produce entre los servidores, pasando por alto las herramientas de seguridad centradas en el perímetro. Si se producen infracciones, la microsegmentación limita la posible exploración lateral de redes por piratas informáticos.
“La mayoría de las empresas ponen todas sus herramientas de seguridad de alto valor en el núcleo del centro de datos: firewalls, IPS. Por lo tanto, el tráfico que se mueve de norte a sur debe atravesar esos firewalls. Si se mueve de este a oeste, está pasando por alto esas herramientas de seguridad”, dijo Kerravala. “Se pueden instalar firewalls en cada punto de interconexión, pero eso sería prohibitivamente costoso. Tampoco es muy ágil”.
¿Los profesionales de redes o de seguridad impulsan la microsegmentación?
La microsegmentación está ganando impulso, pero todavía hay dudas sobre quién debería poseerla. En una gran empresa, un ingeniero de seguridad de red podría liderar el esfuerzo. En compañías más pequeñas, un equipo que involucra seguridad y operaciones de red podría encabezar las implementaciones de microsegmentación.
“No sé si realmente hay un grupo que está a cargo de eso. Creo que depende para lo que lo está usando”, mencionó Kerravala. Ve el interés de los profesionales de la seguridad y de la red.
“Creo que, porque funciona como una superposición de red, en la mayoría de los casos, es fácil para las operaciones de seguridad desplegarlo y luego ejecutarlo en la parte superior de la red. Y veo que las personas de operaciones de red también lo hacen, como una forma de proteger los dispositivos de IoT, por ejemplo. Esas son realmente las dos audiencias principales”.
Los beneficios de la microsegmentación y los desafíos de seguridad
Con la microsegmentación, los profesionales de TI pueden adaptar la configuración de seguridad a diferentes tipos de tráfico, creando políticas que limitan los flujos de red y de aplicaciones entre las cargas de trabajo a aquellas que están explícitamente permitidas. En este modelo de seguridad de cero confianza, una empresa podría establecer una política, por ejemplo, que indique que los dispositivos médicos solo pueden comunicarse con otros dispositivos médicos. Y si un dispositivo o carga de trabajo se mueve, las políticas de seguridad y los atributos se mueven con él.
El objetivo es disminuir la superficie de ataque de red: Al aplicar reglas de segmentación a la carga de trabajo o aplicación, el área de TI puede reducir el riesgo de que un atacante pase de una carga de trabajo comprometida, o aplicación, a otra.
Otro controlador es la eficiencia operativa. Las listas de control de acceso, las reglas de enrutamiento y las políticas de firewall pueden ser difíciles de manejar e introducir una gran cantidad de gastos administrativos, lo que hace que las políticas sean difíciles de crecer en escala en entornos que cambian rápidamente.
La microsegmentación generalmente se realiza en software, lo que facilita la definición de segmentos de grano fino. Y con la microsegmentación, TI puede trabajar para centralizar la política de segmentación de red y reducir el número de reglas de firewall necesarias.
Por supuesto, no es una tarea sencilla: No será fácil consolidar años de reglas de firewall y listas de control de acceso y traducirlas en políticas que puedan aplicarse en los complejos entornos empresariales distribuidos de hoy en día.
Para empezar, mapear las conexiones entre cargas de trabajo, aplicaciones y entornos requiere visibilidad de la que carecen muchas empresas.
“Uno de los grandes desafíos con la segmentación es que debe saber qué segmentar. Mi investigación muestra que el 50% de las empresas tienen poca o ninguna confianza de saber qué dispositivos de TI están en la red. Si ni siquiera sabe qué dispositivos hay en la red, ¿cómo sabe qué tipo de segmentos crear? Hay una falta de visibilidad en los flujos del centro de datos”, afirma Kerravala.
-Ann Bednarz, Network World – CIOPeru.pe