Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Guía del arquitecto para implementar la microsegmentación: participaciones de alterar el modelo de seguridad

Illumio Editorial
Illumio Editorial
17de julio de 2020
23 min. leer

Un arquitecto o gerente de proyecto para una implementación de microsegmentación se beneficia de una imagen clara de los resultados deseados y cómo la implementación realmente afectará a su organización. Al mismo tiempo, la entrega de estos conocimientos a menudo requiere el apoyo de otros miembros del equipo, algunos de los cuales pueden ni siquiera pertenecer a TI. ¿Qué necesita saber un arquitecto o gerente de proyecto sobre las implementaciones de microsegmentación para poner en marcha un nuevo proyecto, mantenerlo encaminado y lograr resultados óptimos?

Este serial explorará esas mismas preguntas y examinará los conocimientos clave que pondrán a su equipo en una alineación óptima para ofrecer los resultados que espera y necesita entregar al negocio, basar en la experiencia de trabajar en cientos de implementaciones de microsegmentación.

En la parte 1, discutiré las participaciones de alterar su modelo de seguridad. Pasar a una solución de microsegmentación altera el modelo de red/perímetro existente de varias maneras importantes, que se describen a continuación. Cada una de estas modificaciones permite algunos de los beneficios que hicieron atractiva la microsegmentación en primer lugar, y cada una de estas modificaciones tiene participaciones para la compañía.

El punto de aplicación se mueve de la red al host

Tradicionalmente, la seguridad se coloca en los cuellos de botella perimetrales, ya sea en el borde de una VLAN, el entorno PROD o Internet. En este modelo, hay poca interacción directa con la aplicación, las operaciones del servidor o los equipos de automatización. El cambio a la aplicación basada en host significa que:

  • La combinación de sistemas operativos y el soporte de agentes son importantes
  • La disponibilidad y la consistencia de las herramientas de automatización y administración afectarán la forma en que se produce la implementación de los agentes y la rapidez con la que se
  • Los propietarios de aplicaciones, los administradores de sistemas y los desarrolladores de automatización interactuarán de formas que son nuevas para ellos y para el equipo de seguridad
  • Tener seguridad "dentro del sistema operativo" es nuevo para los equipos de aplicaciones / administradores y deberán comprender lo que eso significa para ellos.

La política de seguridad pasa de un modelo mixto de lista negra/lista blanca a un modelo de lista blanca pura

Los firewalls de hardware emplean una combinación de instrucciones de licencia y denegación. Esto significa que el orden de las reglas en cada dispositivo es muy importante. En las mejores políticas de microsegmentación, solo hay declaraciones de licencias. Naturalmente, esta es la implementación práctica de los principios de Zero Trust para la segmentación. Pero también elimina las preocupaciones sobre el orden de las reglas y permite políticas multidimensionales flexibles. Es una forma diferente de trabajar y especificar políticas que tendrá un breve tiempo de transición a medida que los autores de políticas aprendan una nueva forma de expresar sus deseos. Crea una política mucho más simple que es más fácil de "leer", lo que facilita mucho las auditorías y la verificación del cumplimiento. Espere pasar tiempo con esos equipos educándolos sobre el nuevo modelo de política.

Las declaraciones de política de seguridad pasan de declaraciones dependientes de red/IP a declaraciones controladas por metadatos

Los firewalls de hardware dependen de direcciones IP, puertos y protocolos para la redacción de reglas. Todos los proveedores de microsegmentación proporcionan algún tipo de etiquetas o metadatos para expresar declaraciones de políticas sin ninguna referencia a las construcciones de red. Esto significa que la política de seguridad será comprensible para algo más que la red o los equipos de seguridad de la red. Los mecanismos gráficos de "apuntar y hacer clic" para la escritura de reglas también proporcionan una forma casi no técnica de crear políticas de seguridad. Cuando se combina con un poderoso control de acceso basado en roles (RBAC), es posible considerar la distribución de la escritura de reglas de manera más amplia dentro de la organización. Si esto es deseable o no, será específico de la organización.

Aunque los metadatos no fueron históricamente importantes para el equipo de seguridad, las partes de la organización más amplia relacionadas con la automatización hacen un uso intensivo de ellos. La confluencia de equipos de seguridad y automatización tanto generando como consumiendo metadatos implica que prestar especial atención al diseño, almacenamiento, modificación, etc. de metadatos son esfuerzos necesarios y que valen la pena y que pueden afectar positivamente la agilidad de toda la organización. Esta conversación más amplia ocurre mejor cuando el liderazgo llega a través de aislamiento y grupos de trabajo y reúne a toda la gama de constituyentes afectados para impulsar una solución común.

La automatización de seguridad basada en API está disponible

Si bien la automatización y la orquestación son palabras normales en los lados de la aplicación y el sistema de TI, no fueron tan comunes en el equipo de red y seguridad. Pero una buena solución de microsegmentación proporciona un flujo de trabajo totalmente basado en API. Todas las capacidades de la plataforma deben ser accesibles a través de la API. Esto significa que la capacidad de automatizar la seguridad está limitada solo por la imaginación, el tiempo y la atención. Nuevamente requerirá un trabajo en equipo multifuncional para que la organización comprenda las posibilidades, priorice los deseos de automatización e implemente los planes resultantes con las fases adecuadas. El tiempo dedicado a la limpieza y organización de los metadatos pagará grandes dividendos al automatizar la política de microsegmentación.

En cada una de estas observaciones, el hilo conductor es que esta implementación cruzará las líneas organizacionales internas. Ofrecerá capacidades que nunca existieron y generará y consumirá datos que son nuevos para el equipo. En pocas palabras, esto es "cambio" y no "más de lo mismo". Cada organización tendrá su propia actitud hacia el cambio y la tarea de gestión más importante es hacer coincidir este cambio con la capacidad de la organización para absorberlo.

Hoy exploramos cómo la microsegmentación altera fundamentalmente el modelo de red/perímetro existente con el que su organización probablemente se sienta "cómoda". En la parte 2, discutiremos la siguiente idea clave que permitirá a su equipo implementar la microsegmentación con el mayor éxito: cómo crear un equipo de implementación.

Para profundizar y leer todo lo que necesita saber para implementar con éxito la microsegmentación, consulte el libro electrónico, Secure Beyond Breach: una guía práctica para crear una estrategia de ciberseguridad de defensa en profundidad a través de la microsegmentación.

Temas relacionados

No items found.

Artículos relacionados

10 razones para elegir Illumio para la segmentación
Segmentación de confianza cero

10 razones para elegir Illumio para la segmentación

Descubra cómo Illumio hace que la segmentación sea más inteligente, sencilla y estable como parte de su estrategia de seguridad Zero Trust.

Read more
Brecha de SolarWinds: impulsando un cambio de paradigma hacia la confianza cero
Segmentación de confianza cero

Brecha de SolarWinds: impulsando un cambio de paradigma hacia la confianza cero

La vulnerabilidad de SolarWinds y sus consecuencias actuales pusieron de relieve la dificultad de controlar y validar cada punto de contacto que tiene una compañía con sus dependencias externas (ya sea un proveedor, un cliente o un socio) y enfatizan aún más el viejo adagio de que "una cadena es tan fuerte como su eslabón más débil".

Read more
Cómo West Bend Mutual Insurance superó los desafíos de migración a la nube con Illumio
Segmentación de confianza cero

Cómo West Bend Mutual Insurance superó los desafíos de migración a la nube con Illumio

Alojado en SaaS, compatible con múltiples sistemas operativos y menos complejo que soluciones similares, así es como Illumio es el lado positivo de la ciberseguridad de West Bend.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more