Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Guía del arquitecto para implementar la microsegmentación: gestión de la relación con el proveedor y la integración operativa

Illumio Editorial
Illumio Editorial
3de septiembre de 2020
23 min. leer

La transición de la segmentación de red tradicional (como firewalls) a la microsegmentación requiere un esfuerzo orquestado dirigido por arquitectos o gerentes de proyectos. Al comprender y explorar los verdaderos beneficios de antemano y el camino más claro hacia la optimización, se puede lograr el éxito en todo el proceso de implementación.

Este serial desempacó las muchas consideraciones. En esta quinta y última parte, discutiré la mejor manera de gestionar su relación con el proveedor y mantener la integración operativa.

Gestión de la relación con el proveedor

Su proveedor elegido quiere que su proyecto de microsegmentación tenga éxito tanto como usted. En el lado del proveedor, nos comunicamos internamente de manera regular sobre cada implementación para cerciorarnos de que las funciones, los recursos y el código estén disponibles cuando se necesiten.

Trate a su proveedor como un socio estratégico, para obtener nuestro mejor rendimiento. Cuando sabemos no solo "lo que necesita", sino "por qué lo necesita" y "por qué lo necesita para cuándo", es mucho más fácil mover nuestro equipo extendido. Si mantiene a su proveedor a distancia, y solo podemos ver el siguiente paso en el plan del proyecto, a menudo no podemos ver el panorama general y aportar nuestra experiencia y lecciones aprendidas hasta que sea demasiado tarde. Cualquier proyecto puede retrasar, debe terminar antes de tiempo o cualquier otro resultado. Comunique los grandes cambios con anticipación y su proveedor estará en la mejor posición para absorber los cambios y ayudarlo a ajustar el plan y la ejecución.

Lista de verificación

Hay varias asociaciones clave que deben formar en las primeras semanas del proyecto:

  1. Arquitecto de soluciones, ingeniero de servicios profesionales, gerente de proyectos, líder técnico. Este es el equipo de trabajo técnico central. Juntos harán la mayor parte del trabajo técnico para que el proyecto tenga éxito. Es importante que haya un diálogo libre, abierto y respetuoso.
  2. Arquitecto de éxito del cliente, director, arquitecto de proyectos. Este es el equipo de trabajo estratégico. Necesitan saber lo que está sucediendo técnicamente y mirar hacia adelante con el equipo del proyecto para eliminar o minimizar los obstáculos. Esta relación debe ser lo suficientemente cómoda como para que ambas partes puedan hablar con transparencia sobre problemas y desafíos. Este es el primer punto de "escalada" para ambas partes si algo no va bien.
  3. Gerente de cuentas, vicepresidentes de proveedores y patrocinador ejecutivo. Este es el equipo de trabajo a nivel empresarial que es responsable de los resultados. Este equipo maneja cualquier escalada entre compañías que pueda surgir. Cada lado tendrá un riesgo de ejecución que debe entender y expresar a este nivel. Este equipo debe discutir más que el proyecto en cuestión para incluir una hoja de ruta y oportunidades adicionales y puntos de apalancamiento para la microsegmentación.

El patrocinador ejecutivo que se cerciora de que cada uno de estos equipos funcione bien rara vez se sorprenderá a la baja y encontrará que la mayoría de los problemas inevitables se manejan sin llamar la atención del ejecutivo, excepto como reportes de estado. Ningún proyecto es "autogestionado", pero cuando estos tres niveles de relación están bien cuidados, los proyectos tienden a funcionar sin problemas.

Gestión de la integración operativa

Ahora, cambiemos de tema. La mayoría de las soluciones de microsegmentación tienen algunos componentes: un motor de políticas central y un agente basado en host como mínimo. La complejidad asociada a una implementación de microsegmentación proviene del hecho de que estos dos componentes tocan muchas otras cosas en el entorno empresarial. Existen varias "mejores prácticas" que ayudarán en la integración operativa con los sistemas existentes.

Crear un entorno de prueba de control de calidad o de preproducción

Si bien tanto el equipo interno como el del proveedor se centrarán naturalmente en las instancias PROD de la solución, cerciorar de que el equipo configure una pequeña versión de control de calidad de la solución de microsegmentación en un entorno que no sea de producción. Esta plataforma servirá para varios propósitos. Al principio, será un lugar donde los desarrolladores internos y los equipos de herramientas de automatización podrán probar y desarrollar código. Los equipos de operaciones pueden probar las integraciones de registro y el manejo de eventos. Las clases de capacitación interna pueden usar el sistema para la capacitación de familiarización.

Una vez completada la implementación, se debe conservar esta capacidad. Cerciorar de que este sistema de preproducción gestione una de cada una de las imágenes principales del sistema operativo. De esta manera, el nuevo código de proveedor se puede probar en el entorno que no es de producción con el conjunto completo de imágenes del sistema operativo PROD antes de implementar nuevas versiones en producción. Idealmente, el equipo de implementación de su proveedor puede poner en marcha este sistema como una sola máquina virtual liviana.

Configurar y probar el registro o las alertas de eventos antes de la implementación en producción

Como era de esperar, los equipos de OPS tienen la mayor confianza cuando se completa la integración operativa completa antes de emparejar las cargas de trabajo de producción. Se necesita tiempo y esfuerzo para transmitir registros, analizarlos, generar alertas y crear paneles.

Sin embargo, este trabajo proporciona una visibilidad completa del estado del motor de políticas, los agentes y los sistemas subyacentes. Es mucho más fácil para todos trabajar en entornos de producción sensibles sabiendo que toda la instrumentación necesaria está en su lugar. Espere que los ingenieros de servicio profesional de su proveedor brinden recomendaciones sobre los mensajes de registro clave y recomienden alertas que fueron populares entre otros clientes.

Es necesario capturar tres puntos de vista diferentes en el mecanismo de análisis de registros/manejo de eventos:

  1. Seguridad. El equipo de seguridad se centrará más en los registros del firewall y los mecanismos antimanipulación del agente. Siempre están interesados en las políticas y las violaciones de políticas.
  2. OPS. El equipo de OPS se centrará más en la carga de trabajo y el estado del motor de políticas, y querrá saber cómo correlacionar los eventos del sistema con otros eventos del centro de datos
  3. Panel de control. Los administradores de administración o NOC a menudo necesitarán una vista consolidada de la implementación de microsegmentación que contenga aspectos destacados y la capacidad de profundizar

Cuando cada una de estas preocupaciones se refleja en el mecanismo de manejo de registros/eventos/alertas, la confianza aumenta en toda la organización, ya que muchos equipos diversos se dan cuenta de que el proyecto proporciona una integración completa que sigue la práctica existente.

Invierta en flujos de trabajo automatizados

Una implementación de microsegmentación brindará muchas oportunidades para automatizar los procesos de seguridad que durante mucho tiempo fueron un esfuerzo puramente manual. Además, el etiquetado de microsegmentación revisará y mejorará la investigación de las fuentes de metadatos existentes y las combinará de formas novedosas. Los metadatos resultantes son valiosos en sí mismos y pueden conservar para su uso en otros sistemas y tareas de automatización. Es común que las compañías tengan mejores metadatos luego de una implementación exitosa de microsegmentación si se realiza un esfuerzo modesto. Este esfuerzo paga enormes dividendos en la operación continua y la expansión de la implementación inicial de microsegmentación.

Instalación del agente

La implementación de un agente de microsegmentación en cientos o miles de sistemas implicará alguna forma de automatización. En algunos casos, se tratará de herramientas existentes, en otros se construirá desde cero. Pero en muchos casos, el deseo será integrar la instalación del agente con procesos de compilación automatizados. Ya sea Chef, Puppet, Ansible, Salt u otros marcos, existe la oportunidad de incorporar la seguridad en el ciclo de vida de automatización estándar de la compañía.

La mayoría de los centros de datos empresariales tienen una combinación de automatización completa mediante marcos de orquestación y entornos heredados sin estas herramientas. Tomar el tiempo para trabajar en la integración con el equipo de orquestación siempre que sea posible prepara el proyecto para el mejor éxito. Los entornos más antiguos que no obtendrán el marco de orquestación se pueden controlar por separado con scripts personalizados.

Instalación del motor de políticas

Algunos de nuestros clientes también empaquetan la creación del motor de políticas en su paquete de orquestación. Si se automatizó la creación de instancias de directivas, la recuperación de un bloqueo del servidor puede ocurrir casi tan rápido como la automatización puede crear un nuevo motor de directivas. Las organizaciones con un fuerte movimiento DEV-OPS querrán considerar esto.

Copia de seguridad de la base de datos del motor de políticas

Todos los motores de políticas de microsegmentación tienen algún tipo de base de datos detrás de ellos. Si esta base de datos está dañada o no está disponible, es probable que la solución no funcione en absoluto u ofrezca resultados no deseados. Cerciorar de que el equipo de OPS tenga las copias de seguridad necesarias automatizadas y esté capacitado en restauración y recuperación de acuerdo con los procedimientos de su proveedor.

Asignación de etiquetas

La asignación inicial de etiquetas a las cargas de trabajo se realiza normalmente a través de algún tipo de carga masiva en el motor de directivas. Esto producirá etiquetas correctas para los sistemas iniciales, en un estado inicial. Con el tiempo, las etiquetas cambiarán. Se agregarán nuevos sistemas, algunos desaparecerán. Cuanto más automatizado esté este flujo de trabajo, más fácil será para todos los involucrados. Esto implicará codificar la asignación de etiquetas en la documentación de diseño interna y decidir cómo almacenarla, actualizarla y recuperarla.

Su solución de microsegmentación siempre usará etiquetas, pero estas etiquetas pueden mantener mejor a través de la administración centralizada de metadatos. Es probable que su equipo de DEV OPS tenga una opinión estable sobre la gestión de metadatos, y es aconsejable incluir su voz.

Gestión de metadatos

Una implementación de microsegmentación crea una directiva de seguridad de acuerdo con las asignaciones de metadatos. Esto significa que, con el tiempo, su solución de microsegmentación tendrá un conjunto de etiquetas y otros metadatos que describen cómo deben interactuar las cosas. Estas etiquetas generalmente no están hechas a medida por su proveedor, sino que se reutilizan de una fuente de verdad existente.

Esto proporciona una oportunidad de automatización. Una buena solución de microsegmentación siempre volverá a calcular la política cuando cambien las etiquetas. Por lo tanto, si los metadatos se mantienen fuera de su solución de microsegmentación, esta separación de tareas se puede aprovechar para la automatización. Cuando la solución de microsegmentación hace referencia a una "fuente de verdad" externa, cualquier cambio en los metadatos podría notificar al motor de políticas mediante programación y las reglas se actualizarían automáticamente.

Con la microsegmentación, ser más inteligente con la gestión de metadatos es lo mismo que ser más inteligente con las políticas y la gestión de políticas. El tiempo dedicado a pensar dónde se almacenan los metadatos empleados para hacer etiquetas y cómo se actualizan, recuperan y alimentan a un motor de políticas siempre es un ejercicio fructífero. En otros casos, la información del motor de políticas puede ser útil para actualizar los sistemas CMDB existentes. La implementación de la microsegmentación proporcionará una excelente razón para considerar cómo se emplean y aprovechan los metadatos en la organización y puede proporcionar un impulso para automatizar esas mejoras.

Llevándolo todo a casa

Una implementación exitosa de microsegmentación mejorará el modelo de segmentación interna, el diálogo de políticas y el nivel de automatización de la seguridad. Llevar al equipo a ese destino implicará nuevos aprendizajes y nuevas oportunidades. La microsegmentación alterará partes del modelo operativo existente y será mejor atendida por un equipo de implementación multifuncional.

Como líder, se necesitará su opinión en varios momentos clave. Al insistir en tener las conversaciones correctas sobre metadatos y desarrollo de políticas, tiene la oportunidad de marcar una diferencia duradera en la velocidad y agilidad del negocio. Realmente puede tener un control detallado y una automatización rápida al mismo tiempo. Espero conocer su éxito en la implementación, puesta en funcionamiento y ejecución de su propia implementación de microsegmentación.

Para una lectura más profunda de todo lo que necesita saber para implementar una estrategia de microsegmentación de principio a fin, cerciorar de consultar el libro electrónico, Secure Beyond Breach: una guía práctica para crear una estrategia de ciberseguridad de defensa en profundidad a través de la microsegmentación.

Temas relacionados

No items found.

Artículos relacionados

Un hacker comparte 3 razones por las que la segmentación de confianza cero es su peor pesadilla
Segmentación de confianza cero

Un hacker comparte 3 razones por las que la segmentación de confianza cero es su peor pesadilla

Conozca las tácticas que los actores de amenazas mantienen en su kit de herramientas de piratería y las formas en que la segmentación de confianza cero las hace rápidamente ineficaces.

Read more
Cómo resolver los 3 principales desafíos de proteger los contenedores y los entornos de Kubernetes
Segmentación de confianza cero

Cómo resolver los 3 principales desafíos de proteger los contenedores y los entornos de Kubernetes

Aprenda a implementar una seguridad coherente pero flexible en contenedores y entornos de Kubernetes en constante cambio.

Read more
Principales noticias de ciberseguridad de mayo de 2025
Segmentación de confianza cero

Principales noticias de ciberseguridad de mayo de 2025

Explore las principales noticias de ciberseguridad de mayo de 2025, incluidas las información de RSAC sobre IA y Zero Trust, un ataque de ransomware que interrumpe las cadenas de suministro de alimentos del Reino Unido y las opiniones de expertos de los líderes de Illumio sobre la resiliencia en el mundo actual posterior a la infracción.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more