Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

6 Requisitos de microsegmentación para aplicaciones modernas

Illumio Editorial
Illumio Editorial
21de abril de 2020
23 min. leer

La idea de segmentar la red como una forma de aumentar la seguridad no es nueva. Pero fue difícil lograr una segmentación granular porque la computación y la seguridad estuvieron atadas a la cadera. Eso significa que cualquier cambio realizado para lograr la postura de seguridad deseada requiere cambios en el transporte de red subyacente o sacrifica el detalle. Además, los equipos de TI y seguridad a menudo hacen malabarismos con prioridades en competencia, y la segmentación no siempre fue la estrategia más popular.

El aumento en la escala y el alcance de los ataques cibernéticos está cambiando eso.

"... Ahora no hay excusa para no habilitar la microsegmentación para cualquier compañía o infraestructura"

La microsegmentación es un gran elemento disuasorio para los piratas informáticos. Cada vez más organizaciones están implementando la microsegmentación como parte esencial de una estrategia de defensa en profundidad. Según una encuesta reciente de más de 300 profesionales de TI, el 45 por ciento actualmente tiene un proyecto de segmentación o está planeando uno. El reporte Zero Trust Wave del tercer trimestre de 2020 de Forrester Research reforzó la importancia de afirmar "... Ahora no hay excusa para no habilitar la microsegmentación para cualquier compañía o infraestructura".

Pero como con cualquier control de seguridad, es importante equilibrar la estrategia de la compañía con la necesidad de protegerla. Segmentar su red es un proyecto importante y una forma completamente diferente de gestionar su red. Es posible que esté pasando de una infraestructura de red plana, donde las comunicaciones están muy abiertas, a una red que requiere conjuntos de reglas de firewall al igual que su infraestructura perimetral. Se necesita una planeación cuidadosa para lograr el resultado deseado de una red que es difícil para los atacantes pero que aún es manejable para usted.

Entonces, ¿cómo llegas allí?

Para implementaciones de microsegmentación efectivas, aquí hay una lista de seis funciones y capacidades clave que deben proporcionar las soluciones:

1. Visibilidad con contexto de aplicación

El adagio de que "no se puede proteger lo que no se puede ver" no podría ser más cierto. Las organizaciones ejecutan una variedad de aplicaciones para operar sus negocios, cada una de las cuales se comunica entre sí y comparte datos. Ahí radica el desafío. Sin visibilidad, un usuario no autorizado tiene una amplia oportunidad de infiltrar en un negocio, aterrizar en un activo desprotegido o vulnerable y mover lateralmente hacia activos críticos, todo antes de cualquier signo de detección.

La microsegmentación adecuada de los activos de la aplicación puede minimizar o prevenir la propagación de infracciones, pero necesita visibilidad en la capa de aplicación. Esto es diferente de obtener tráfico de flujo de red o tocar un puerto SPAN en el conmutador que proporciona información sobre los flujos de red en L2 y L3. Debe poder ver cómo los componentes de la aplicación se comunican entre sí en varios niveles (Sitio web, Procesamiento, Base de datos), así como cómo interactúan las aplicaciones entre sí.

Las aplicaciones no se quedan en una isla. Hablan entre ellos, y así es como funcionan los procesos comerciales. Por ejemplo, es probable que un sistema de punto de venta (POS) se comunique con una aplicación de gestión de inventario antes de cumplir con el pedido de un cliente. Esto tiene sentido. Se debe permitir que el tráfico del sistema POS se comunique con las aplicaciones de inventario. Por otro lado, un servidor sitio web público no debe comunicar directamente con una base de datos, sino pasar por el servidor de procesamiento de aplicaciones para completar una transacción o consulta.

Pero estos flujos no son necesariamente bien conocidos, ciertamente no para los equipos de red y tal vez ni siquiera para los equipos de seguridad. Los desarrolladores de aplicaciones pueden tener este nivel de claridad, pero no siempre. Las organizaciones necesitan visibilidad integrada que muestre las dependencias de las aplicaciones para obtener la microsegmentación correcta. Idealmente, esto aparecería en forma de un mapa que muestra cómo varias aplicaciones se comunican entre niveles y entre sí. Este mapa también debe representar cómo se distribuyen los diferentes entornos como Desarrollo, Puesta en escena, Producción y Regulación y qué tipo de comunicaciones fluyen entre ellos. Esto ayuda a las organizaciones a comprender "lo que está sucediendo" y "lo que debería suceder" en función de su postura de seguridad deseada.

Cómo ayuda Illumio: El mapa de dependencias de aplicaciones de Illumio muestra claramente cómo interactúan los componentes de la aplicación y cómo las diferentes aplicaciones se comunican entre sí. Este mapa, conocido como Iluminación, no solo proporciona una visibilidad inigualable, sino que también recomienda políticas basadas en el detalle deseado. Las políticas se definen en lenguaje natural mediante etiquetas y no requieren información de la capa de red para definir políticas. Este enfoque hace el trabajo pesado y calcula las reglas precisas de L2/L3/L4 basadas en esas políticas de lenguaje natural. Esto facilita el desarrollo de una postura de seguridad alineada con los objetivos de la organización.

2. Arquitectura escalable

Hay múltiples formas de lograr la microsegmentación. Si bien cada enfoque tiene sus méritos, debe considerar la escalabilidad, la eficacia y detalle de la solución, la facilidad de uso y, por último, pero no menos importante, la rentabilidad.

Los enfoques típicos incluyen:

  • Segmentación mediante la red: Programación de listas de control de acceso (ACL) en dispositivos de red (switches, routers, firewalls, etc.). Si bien este enfoque proporcionará cierta separación de nivel grueso, es muy engorroso, propenso a errores y costoso. Las redes están destinadas a transportar paquetes del punto A al punto B lo más rápido posible, y asignar ACL para la segmentación es como detener cada paquete para ver si debe permitir. Estos dos son objetivos diametralmente opuestos y cuando los mezclamos, las cosas comienzan a romper.
  • Segmentación con SDN: La automatización de lo anterior con redes definidas por software (SDN) permite a los usuarios acceder a un controlador centralizado para definir reglas que se envían a los dispositivos de red apropiados. Este enfoque proporciona cierto alivio de configuración, pero en muchos sentidos, no es mejor que usar dispositivos de red. Además, la mayoría de los sistemas SDN fueron diseñados para proporcionar automatización de red, no funciones de seguridad. Solo recientemente los proveedores se dieron cuenta de los casos de uso de seguridad e intentaron reutilizar los sistemas SDN para proporcionar microsegmentación con un éxito marginal.
  • Microsegmentación basada en host: Arquitectónicamente, este enfoque es diferente. En lugar de que la aplicación de políticas se lleve a cabo en algún lugar de la red, las organizaciones pueden usar el poder de los firewalls con estado integrados para hacer cumplir las reglas a velocidad de línea sin ninguna penalización de rendimiento. Además, esta es la única arquitectura de escalabilidad horizontal, lo que significa que agrega capacidad a medida que agrega cargas de trabajo. Se demostró que las arquitecturas de escalabilidad horizontal realizan un buen seguimiento a medida que los componentes del sistema crecen sin sacrificar el rendimiento. Recuerde, para que se produzca la aplicación, la entidad que la hace cumplir necesita ver el tráfico. En el caso de los firewalls (o dispositivos de red que hacen el trabajo), tienen que ver el tráfico. En algún momento, la cantidad de tráfico superará la capacidad del ejecutor, dejando a una organización expuesta sin protección. La dirección del tráfico plantea un gran desafío y, a veces, rompe las cosas en la capa de red o introduce una gran complejidad.

Debido a que el borde de la red no está en el firewall perimetral, sino en los segmentos internos, cuanto más granulares sean los segmentos, mejor protección obtendrá. Si lleva este concepto más allá, se da cuenta de que el mejor segmento es un segmento de uno: la carga de trabajo se convierte en el nuevo beneficio. Todo lo que esté fuera de la carga de trabajo no es de confianza y toda la aplicación para permitir o detener el tráfico se produce en la carga de trabajo sin sacrificar el rendimiento. Los sistemas basados en host hacen exactamente eso.

Cómo ayuda Illumio: Desde el principio, reconocimos que la única forma escalable de lograr tanto la segmentación de grano grueso como la microsegmentación granular era a través de una arquitectura basada en host. Este enfoque acerca la seguridad a donde está la acción y los controles son independientes de la red. Aprovechando las capacidades y la capacidad del host para aplicar el uso del firewall con estado de velocidad de línea del kernel del sistema operativo, desacoplamos la segmentación de la red y le brindamos una forma escalable de segmentar al eliminar los cuellos de botella presentes con los firewalls y agregar capacidad a medida que se conectan nuevas cargas de trabajo.

3. Políticas de seguridad abstractas

Tradicionalmente, la seguridad estuvo ligada a la red, pero ambas entidades tienen objetivos diferentes. Las redes tienen que ver con la velocidad y el rendimiento. La seguridad tiene que ver con el aislamiento y la prevención. Cuando mezclamos los dos, obtenemos lo peor de ambos mundos. Es como estar en una carrera de tres patas donde ambos participantes se dirigen en diferentes direcciones. No hace falta decir que el escenario no termina bien. Las políticas de seguridad deben abstraer de la red para que se pueda lograr una postura de seguridad deseada independientemente de la infraestructura subyacente.

Cómo ayuda Illumio: Al desacoplar la segmentación de la red, proporcionamos un flujo de trabajo para que las organizaciones creen políticas basadas en etiquetas centradas en el negocio que se entiendan fácilmente. Las cargas de trabajo se organizan en función de cuatro dimensiones de etiquetas y las políticas se escriben con estas etiquetas. Todo el trabajo pesado de asignar las políticas abstractas a la aplicación a nivel de red se realiza a través de un modelo que le permite probar las políticas antes de aplicarlas. Esto garantiza que pueda lograr el resultado deseado, la microsegmentación, sin interrumpir ninguna aplicación.

4. Controles granulares

Las organizaciones tienen muchas aplicaciones con diferentes criticidades comerciales. Como tal, los requisitos de seguridad difieren según la importancia y, a veces, los requisitos reglamentarios asociados con esa aplicación. Necesita un mecanismo para definir diferentes posturas de seguridad para entornos informáticos únicos. A veces, puede estar bien simplemente separar diferentes entornos (por ejemplo, separar el desarrollo de la producción o separar los activos regulatorios dentro del alcance de todo lo demás). Para controles más estrictos, es posible que tenga que bloquear los niveles de aplicación (Sitio web, Procesamiento, Base de datos) y controlar qué nivel puede comunicar con cuál. Estas opciones deben formar parte del flujo de trabajo de la directiva y deben ser fáciles de implementar sin realizar ningún cambio en la red.

Cómo ayuda Illumio: Nuestro modelo de póliza es simple, pero poderoso y fácil de usar. El mapa de dependencias de aplicaciones no solo proporciona visibilidad de la capa de aplicación, sino que también impulsa la creación de políticas al recomendar diferentes opciones, desde la simple delimitación hasta la separación basada en niveles y la segmentación basada en puertos, procesos y servicios.

5. Marco de políticas coherente en todo el patrimonio informático

Las compañías se están convirtiendo cada vez más en multinube híbrida, y la huella de una aplicación ahora a menudo se dispersa en varias ubicaciones locales, instalaciones de alojamiento y nubes públicas en función de los requisitos de resiliencia, funcionalidad, rendimiento y residencia de datos. Debe desarrollar un mecanismo de seguridad coherente que trascienda las soluciones incompatibles individuales aplicables a un entorno determinado.

Los modelos de seguridad son diferentes en las nubes públicas en comparación con las implementaciones locales. Las nubes públicas operan con un modelo de seguridad compartido. Los proveedores de la nube proporcionarán seguridad básica de la infraestructura y los clientes son responsables de proteger sus activos y aplicaciones. Además, las herramientas empleadas para proteger las implementaciones locales son diferentes de las que están disponibles en la nube pública. La mayoría de las nubes públicas ofrecen grupos de seguridad (tienen varios nombres según el proveedor) que ofrecen firewall básico por red privada virtual. Estos grupos de seguridad tienen una escala limitada, tienen los mismos problemas que los firewalls en términos de complejidad de configuración y no son compatibles entre nubes. Esto puede ser un desafío para los clientes que son verdaderamente híbridos de múltiples nubes y necesitan un mecanismo de seguridad consistente.

Cómo ayuda Illumio: Nuestra solución es independiente de la ubicación y el factor de forma de la carga de trabajo. Sus cargas de trabajo pueden residir en cualquier lugar. Proporcionamos visibilidad completa, así como un modelo de seguridad coherente que es aplicable en todo el patrimonio informático.

6. Integración con su ecosistema de seguridad

Definir una postura de seguridad y hacer cumplir sus reglas ayuda a mantener el negocio de una organización en funcionamiento. Esta pieza debe integrar firmemente con los procesos y herramientas que emplea una organización para crear nuevos activos, implementar aplicaciones, poner en funcionamiento los sistemas y más. La mayoría de las organizaciones empresariales tienen sistemas que los ayudan con las operaciones diarias. Como ejemplo, SecOps puede usar Splunk como su centro de control principal, y otros sistemas deben alimentar notificaciones y alertas a este sistema. Es poco probable que SecOps monitoree múltiples herramientas a diario para mantener las cosas en funcionamiento. A menos que la seguridad se integre con estos procesos, siempre será un desafío y creará aislamiento y complejidad.

Cómo ayuda Illumio: Nuestra solución está completamente impulsada por API, lo que significa que se integra fácilmente con el ecosistema más grande de una organización. Todo lo que puede hacer con la GUI de Illumio se puede hacer a través de llamadas API desde el sistema de su elección. Además, admitimos integraciones que permiten una funcionalidad mejorada. Las integraciones notables incluyen:

  • Servicio ahora: Illumio puede ingerir atributos de host de ServiceNow y usarlos para crear etiquetas que se asignan a cada carga de trabajo y se usan para definir directivas. Además, Illumio puede enviar información sobre cualquier discrepancia (basada en un mapa en tiempo real) a ServiceNow y corregir la información para que la CMDB sea más precisa.
  • Splunk: Illumio puede enviar todas las alertas y notificaciones a SIEM como Splunk, informando sobre cosas como tráfico bloqueado, eventos de manipulación, violaciones de reglas, etc.
  • Escáneres de vulnerabilidades (Qualys, Tenable, Rapid7): Exclusivo de Illumio, podemos ingerir información de vulnerabilidad y superponer esa información en un mapa de dependencia de la aplicación para visualizar y cuantificar el riesgo, brindándole un mapa de vulnerabilidad. Esa información se puede emplear para derivar políticas de microsegmentación para tener en cuenta las vulnerabilidades, esencialmente empleando la microsegmentación como control de compensación cuando la aplicación inmediata de parches no es una opción.
  • Centro de seguridad de AWS: Al igual que Splunk, Illumio se integra con AWS Security Hub, que proporciona funcionalidad SIEM para implementaciones en la nube.
     

En resumen, estas son los principales beneficios de la microsegmentación:

  • Seguridad mejorada: El tráfico de red se puede aislar y/o filtrar para limitar o impedir el acceso entre segmentos de red.
  • Mejor contención: Cuando se produce un problema de red, su efecto se limita a la subred local.
  • Mejor control de acceso: Permitir que los usuarios solo accedan a recursos de red específicos.
  • Conformidad: Las organizaciones bajo requisitos de cumplimiento normativos o exigidos por el cliente pueden demostrar que se tomaron las medidas adecuadas y pasar las auditorías de manera oportuna.
  • Monitoreo mejorado: Proporciona la oportunidad de registrar eventos, monitorear las conexiones internas permitidas y denegadas y detectar comportamientos sospechosos.


La microsegmentación es un enfoque muy eficaz para evitar el movimiento lateral no autorizado dentro de su organización, y no es casualidad que se convirtió en un principio clave de un marco de confianza cero. Las infracciones pueden ser perjudiciales, pero la ausencia de una red segmentada internamente puede ser igual de perjudicial.

La mayoría de las infracciones de alto perfil dejan a las organizaciones paralizadas porque un intruso atravesó la red sin ser detectado durante semanas o meses, mover lateralmente para acceder a activos de alto valor. La microsegmentación evita ese movimiento para que su organización no se convierta en la próxima compañía que rompa los titulares en sufrir un ataque.

¿Listo para dar el primer paso en tu viaje de segmentación? Registrar para una prueba gratis de 30 días.

Temas relacionados

No items found.

Artículos relacionados

Cómo garantizar el éxito de los proyectos de microsegmentación: 6 mayores riesgos
Segmentación de confianza cero

Cómo garantizar el éxito de los proyectos de microsegmentación: 6 mayores riesgos

Hay una razón por la que tantas organizaciones aún no implementaron la microsegmentación para establecer una mayor protección de seguridad Zero Trust.

Read more
8 razones por las que el sector bancario debería emplear la segmentación de confianza cero de Illumio
Segmentación de confianza cero

8 razones por las que el sector bancario debería emplear la segmentación de confianza cero de Illumio

Lea por qué el principal objetivo de los ciberataques en los últimos 5 años, la industria de servicios bancarios y financieros, necesita la segmentación de confianza cero de Illumio.

Read more
Es un pájaro, es un avión, es... ¡Supercúmulo!
Segmentación de confianza cero

Es un pájaro, es un avión, es... ¡Supercúmulo!

Las grandes organizaciones suelen tener centros de datos ubicados en diferentes regiones geográficas. Los centros de datos distribuidos permiten a estas organizaciones ubicar sus aplicaciones cerca de sus clientes y empleados, cumplir con los requisitos de residencia de datos y proporcionar recuperación ante desastres para sus aplicaciones comerciales críticas.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more