Vuelva a centrar en la seguridad en la nube: cómo la segmentación de confianza cero protege la nube

Continuamos nuestro serial del Mes de Concientización sobre Ciberseguridad dirigiendo nuestra atención a la nube pública.

A primera vista, proteger los activos en la nube no es conceptualmente diferente de protegerlos en el centro de datos. Identidad, control de acceso, conexiones seguras: todo eso es lo mismo.

Pero cuando no posee la capa de infraestructura, y muchos de los servicios son solo una llamada API a una dirección DNS, termina no siendo lo mismo en absoluto.

Es difícil saber exactamente qué conexiones se necesitan para qué direcciones IP. Los firewalls nativos de la nube tienen interfaces básicas basadas en texto que dependen completamente de direcciones IP y procesos manuales.

Se pueden automatizar, claro, pero ¿quién escribe ese código? ¿El equipo de DevOps ya ocupado? ¿No es solo otro esfuerzo manual? Y ese esfuerzo termina desacoplado de las políticas de acceso en el centro de datos, lo que requiere otra capa de traducción y esfuerzo manual.

Afortunadamente, hay una mejor manera de proteger la nube: la segmentación de confianza cero.

Hay 4 formas principales en que la segmentación de confianza cero protege la nube de la propagación de ataques cibernéticos.

Obtén los aspectos más destacados de Nathanael Iversen, el evangelista principal de Illumio, en su video:

 
Y sigue leyendo para obtener más información.

1. Visibilidad total de los flujos de comunicación de la red

Cuando muchos de los servicios, aplicaciones y almacenes de datos empleados en la nube están a solo una llamada de API, el análisis de flujo de red tradicional a menudo no produce una comprensión utilizable de la conectividad en la nube.

La segmentación de confianza cero comienza con una conexión directa al inventario del sistema en la nube y a las tablas de conexión. Esto significa que cualquier cosa con una interfaz de red elástica (ENI) se detecta automáticamente, sus metadatos se ingieren y se emplean para asignar nombres, y se colocan en un mapa de dependencia de la aplicación.

Como resultado, el mapa de dependencias de aplicaciones no se basa en direcciones IP que cambian constantemente, sino en las convenciones de nomenclatura y objetos en las que su organización ya invirtió tiempo y esfuerzo en crear.

Este mapa proporciona una cobertura completa desde instancias EC2 hasta Kubernetes y objetos en contenedores, servicios SaaS, aplicaciones en la nube y agentes de servicios, casi todos los flujos de comunicación.

La información está perfectamente organizada por aplicación y servicio y se nombra para que todos los equipos de nube, infraestructura y seguridad puedan leer el mapa. Esta vista muestra la topología de conexión real, independientemente de las VPC, las subredes y las zonas.

2. Política de segmentación automatizada y optimizada

Una vez que entendemos claramente cómo se conectan las cosas con el mapa de dependencias de la aplicación, es natural preguntar qué tan bien están protegidas las conexiones. ¿Cuál es el riesgo de que se pueda acceder indebidamente a alguno de estos servicios o interrumpirlos?

La segmentación de Confianza cero incluye la automatización y optimización de políticas para que un verdadero resultado de Confianza cero y privilegios mínimos sea fácil de lograr y mantener.

El mismo mapa de dependencias de aplicaciones que informa al equipo de seguridad de los flujos de comunicación también puede informar al código de automatización de directivas que:

• Analiza las conexiones necesarias
• Compara esas conexiones con la política de VPC actual
• Luego hace recomendaciones sobre cómo optimizar y reforzar la política de seguridad para que se permitan las conexiones necesarias y se niegue todo lo demás.

La recomendación de política resultante se puede implementar directamente en los firewalls nativos de la nube, sin ningún agente.

Dado que Zero Trust Segmentation escribe en el firewall nativo, puede controlar el tráfico, independientemente del destino. ¿De EC2 a EC2? Sí. ¿EC2 a clúster de Kubernetes? Seguro. ¿Servicio SaaS para la función Lamba? Claro.

Zero Trust Segmentation proporciona una segmentación automatizada y sin agentes que está totalmente impulsada por API y accesible a la API. Debido a que emplea metadatos de la nube, significa que la segmentación como servicio ahora está disponible.

Los equipos de CloudOps y automatización pueden acceder a una capa de abstracción confiable, basada en metadatos, que maneja toda la traducción a direcciones IP y políticas de firewall, e incluso se mantiene al día con los cambios de topología de la aplicación automáticamente.

3. Visibilidad y control todo en uno para entornos de nube, centros de datos y endpoints

Acabamos de explorar algunas de las capacidades nativas de la nube que ofrece Zero Trust Segmentation, pero la mejor noticia es que estas capacidades también incluyen visibilidad y control completos para entornos de centros de datos y endpoints.

Ninguna nube es una isla.

Los usuarios y administradores acceden a la nube, y la nube se comunica con los sistemas en los centros de datos y las instalaciones de coubicación. A menudo, la comunicación entre los proveedores de la nube fluye constantemente.

Zero Trust Segmentation proporciona un único modelo de políticas, visualización y capa de distribución de políticas para unir todos estos entornos diferentes en un flujo de trabajo colaborativo y fluido. Los sistemas visualizados desde las API en la nube aparecen en la misma pantalla con los sistemas detectados en el centro de datos o en las instancias de VDI o en los puntos finales de los usuarios.

Cuando se implementa con puntos de conexión, la segmentación de confianza cero proporciona segmentación basada en identidad y control de acceso para cargas de trabajo en la nube.

4. Mejorar la resiliencia operativa

Tener un centro universal para la política de segmentación significa que es fácil incluir todos los sistemas en una política común.

Muchas organizaciones desean reforzar la respuesta a incidentes mediante el aprovisionamiento previo de políticas de segmentación proactivas y reactivas. La idea es simple y se basa en lo que todos saben que deben hacer en el instante en que descubren una infracción: reforzar los controles de segmentación.

¿Qué políticas de emergencia le gustaría implementar de inmediato en caso de un ataque cibernético para proteger los sistemas más críticos?

La segmentación de confianza cero le permite crear e implementar esas políticas con anticipación, para que estén listas para activar en cualquier momento. Lo mejor de todo es que estas políticas se extenderán a entornos de nube, centros de datos y endpoints.

La segmentación de confianza cero facilita tener una política base a la que todos los sistemas deben adherir y luego aplicar esa política en todas partes, desde implementaciones de contenedores basadas en la nube hasta máquinas virtuales en el centro de datos.

Refuerce su postura de seguridad en la nube con la segmentación de confianza cero

Las organizaciones se trasladan a la nube para obtener disponibilidad, agilidad, automatizar implementaciones globales y más.

La segmentación de confianza cero proporciona la visibilidad, la automatización y la cobertura necesarias para proporcionar segmentación como servicio. Comienza con la visibilidad automatizada y el mapeo de conexiones, con información transmitida directamente desde las API del proveedor de la nube. Estos datos alimentan un poderoso código de automatización y optimización que sugiere cómo optimizar y reforzar la política de segmentación.

Cuando se implementan estas políticas, se pueden enviar a la nube, al centro de datos y a los sistemas de punto final según sea necesario. Si bien la nube tiene sus diferencias con el centro de datos, resulta que aprovechar los metadatos de la nube, la información de conexión y las API significa que las organizaciones pueden impulsar una política de segmentación automatizada en sus implementaciones en la nube.

Finalmente, existe una segmentación en la nube totalmente automatizada que optimiza los principios de Zero Trust.

El Mes de la Concienciación sobre la Ciberseguridad ofrece una gran oportunidad para dar un paso atrás y considerar capacidades como la segmentación de confianza cero que más afectarían a su postura de seguridad en la nube.

La próxima semana, continuaremos nuestro serial sobre temas en los que volver a centrarnos durante el Mes de Concientización sobre Ciberseguridad.

¿Desea obtener más información sobre la seguridad en la nube? Lea nuestro libro electrónico: 5 cosas que quizás no sepa sobre la seguridad en la nube