Segmentación correcta con control de políticas estructurado

En última instancia, la segmentación de confianza cero se trata de crear y hacer cumplir reglas de seguridad.

Al establecer políticas de acceso cuidadosamente definidas, la segmentación de confianza cero evita que las infracciones se propaguen a través de los sistemas y entornos de TI.

En cualquier organización, es inevitable que al menos un dispositivo de punto final sea violado por atacantes. Pero si la organización cuenta con seguridad de segmentación de confianza cero, la violación puede limitar a ese punto final inicial, independientemente de si ese punto final es una computadora portátil, una computadora de escritorio, un servidor o incluso una máquina virtual.

Las políticas de segmentación evitarán que el malware acceda a los puertos y protocolos de red que necesita para copiar a sí mismo en otros servidores y centros de datos de misión crítica o explorar la red en busca de datos valiosos. La segmentación atrapa el ataque en su lugar, como una mosca debajo de un vidrio.

Segmentación de confianza cero: dos enfoques

Un motor de reglas es un software que define la sintaxis de las reglas de segmentación. También hace cumplir esas reglas una vez que se definen. En general, los proveedores de software de segmentación adoptan dos enfoques diferentes al diseñar motores de reglas para los clientes.

El primer enfoque es ofrecer a los clientes la máxima flexibilidad, permitiendo a las partes interesadas de toda la organización definir reglas con las categorías o etiquetas que deseen.

El otro enfoque es adoptar una filosofía de diseño conocida como control de políticas estructurado. Este enfoque limita el número de etiquetas disponibles para las reglas de segmentación. También pone la elaboración de normas bajo el control de un equipo centralizado de expertos en seguridad informática. Los proveedores que adoptan este enfoque creen que, al final, la simplicidad será más efectiva para reducir los ataques que la complejidad abierta.

Ahora examinaremos estos enfoques y compararemos sus beneficios y desafíos para implementaciones de la vida real.

El enfoque de máxima flexibilidad para la segmentación

En cualquier organización, los requisitos de seguridad variarán de un departamento a otro y de un caso de uso a otro. Diferentes aplicaciones requerirán diferentes reglas. Incluso la misma aplicación puede tener reglas diferentes según el centro de datos en el que se ejecute, la versión de software que se ejecute, los recursos de los que dependa, etc.

Muchos proveedores de segmentación abordan esta necesidad de flexibilidad al permitir que diferentes usuarios y propietarios de aplicaciones establezcan sus propias reglas para su área de especialización o responsabilidad.

Por lo general, estos proveedores admiten tres tipos de reglas:

• Reglas de "bloqueo" para evitar el movimiento del tráfico a lo largo de ciertas vías
• Reglas de "permitir" para dar licencia a ciertos tipos de tráfico para viajar por una ruta
• Reglas de "anulación" para adelantar a otras reglas para bloquear o permitir el tráfico en situaciones particulares

A alto nivel, este enfoque distribuido para la elaboración de reglas flexibles suena prometedor. Luego de todo, los propietarios de activos de TI deben tener el conocimiento del dominio que necesitan para establecer las reglas de segmentación más adecuadas para un activo de TI en individuo o un grupo de activos relacionados. Y proporcionar tres tipos de reglas: bloquear, permitir y anular, parece ofrecer a los equipos de seguridad de TI y a las partes interesadas del negocio la precisión necesaria para definir las políticas de seguridad adecuadas para proteger los activos de TI.

Desafortunadamente, en la mayoría de las organizaciones, especialmente en las grandes organizaciones con decenas o cientos de miles de cargas de trabajo distribuidas en entornos de nube, locales y de punto final, lo que pronto resulta de este enfoque es "el Salvaje Oeste".

Claro, las partes interesadas de toda la organización definieron reglas para proteger los valiosos activos de TI. Pero esto finalmente maneja al caos porque hay demasiadas reglas de demasiados tipos diferentes para gestionarlas de manera efectiva.

Debido a que la creación de reglas está distribuida y descoordinada, la colección de reglas termina teniendo conflictos y omisiones, creando oportunidades para que los atacantes se cuelen. La gobernanza central y coherente es prácticamente imposible.

Esto es lo que crea estas condiciones del "Salvaje Oeste":

• Los ámbitos de responsabilidad a menudo se superponen.
  Por ejemplo, una persona puede estar a cargo de una aplicación empresarial y otra persona puede estar a cargo de una base de datos. La aplicación puede depender de la base de datos, pero las reglas de acceso definidas para la aplicación y la base de datos se desarrollan de forma independiente. Como resultado, los dos conjuntos de reglas pueden ser inconsistentes, especialmente si otras aplicaciones también usan la base de datos.
  
  Otro ejemplo: una persona está a cargo de la aplicación de gestión de relaciones con los clientes (CRM) de la compañía. Otra persona está a cargo del centro de datos de la compañía en Nueva York, donde se ejecuta la aplicación CRM. Incluso si estas dos personas están de acuerdo en las filosofías de seguridad, es muy poco probable que sus implementaciones independientes de reglas de segmentación funcionen juntas a la perfección. Hay demasiada complejidad relacionada con las direcciones IP, los puertos y los protocolos para crear decenas o cientos de reglas de forma independiente y eficaz.
   
• El control de segmentación está distribuido en lugar de centralizado, por lo que rara vez se realizan pruebas.
  Debido a que el control se distribuye entre tantas partes interesadas, es difícil para la organización de TI probar todas las reglas de segmentación antes de activarlas. La falta de pruebas aumenta el riesgo de errores y descuidos. Incluso puede llevar a que el tráfico crítico para el negocio se bloquee inadvertidamente.
   
• La compatibilidad con un número ilimitado o elevado de etiquetas genera confusión.
  Los productos de segmentación que distribuyen el control de esta manera generalmente permiten a los clientes definir sus propias categorías o etiquetas para la segmentación.
  
  Aprovechando esta flexibilidad, los clientes pronto tendrán veinte, treinta o más etiquetas para sus políticas de segmentación. Por ejemplo, un cliente puede etiquetar todos los activos de TI involucrados en el cumplimiento de PCI con una etiqueta de "Cumplimiento de PCI". También pueden etiquetar todos los activos en una ubicación específica con el nombre de la ubicación o tener etiquetas para unidades de negocio, aplicaciones, entornos (por ejemplo, prueba frente a producción), regulaciones gubernamentales adicionales (como GDPR), etc.
  
  En teoría, esta proliferación de etiquetas proporciona precisión y visibilidad. En la práctica, conduce a modelos de seguridad que son demasiado complejos para gestionarlos de manera efectiva.
  
  Los equipos pueden intentar reducir este caos a través del orden de reglas, por ejemplo, estructurar conjuntos de reglas para hacer cumplir primero las reglas del centro de datos, hacer cumplir las reglas de la aplicación a continuación y hacer cumplir las reglas sobre regulaciones o unidades de negocio al final. En la práctica, sin embargo, este tipo de estructuración conduce a políticas laberínticas, lo que hace muy difícil saber qué reglas están vigentes en ciertas condiciones.
   
• Las reglas descentralizadas son más difíciles de gestionar cuando los empleados cambian de trabajo.
  Otro problema con la elaboración de reglas distribuidas es que dificulta que los equipos de TI y seguridad de una organización realicen un seguimiento de las reglas que se crearon y por qué.
  
  Es posible que un autor de reglas, como el propietario de una aplicación, no documentó el pensamiento que se incluyó en las reglas de segmentación. Si ese empleado deja la compañía, se pierden conocimientos operativos y de seguridad vitales.

¿El mayor problema con este enfoque altamente flexible? Deja espacios para que los atacantes los exploten. El ransomware sigue entrando, a pesar de todo el tiempo, el dinero y el esfuerzo que una organización invirtió en segmentar sus redes.

El enfoque de control de políticas estructurado para la segmentación

A diferencia del enfoque de "máxima flexibilidad" para crear reglas de segmentación, un proveedor de segmentación puede restringir la cantidad de etiquetas que se pueden crear.

El número de etiquetas permitidas puede ser tan bajo como cuatro, cubriendo solo roles, aplicaciones, entornos y ubicaciones. O el número puede ser un poco mayor, pero no tan alto como el número permitido en el enfoque de máxima flexibilidad discutido anteriormente.

Resulta que restringir las etiquetas funciona bien en la práctica. De hecho, las implementaciones exitosas más grandes de Zero Trust Segmentation adoptan este enfoque, limitando las etiquetas a diez o menos, a pesar de que estas políticas protegen entornos de TI híbridos muy complejos.

He aquí por qué el enfoque de control de políticas estructurado funciona tan bien:

• Las etiquetas limitadas obligan a la centralización y coordinación por adelantado.
  Para que la administración de políticas de segmentación funcione bien, una organización necesita un equipo central para analizar el tráfico de red y desarrollar conjuntamente las políticas de segmentación que se aplicarán.
  
  Los propietarios de aplicaciones se coordinan con los propietarios de bases de datos, quienes a su vez se coordinan con los administradores de firewall. Debido a que trabajan a partir de un análisis compartido y una comprensión de los patrones de tráfico autorizados, pueden definir reglas de segmentación coherentes y mutuamente consistentes que brindan la seguridad que necesitan.
   
• Se basa en la visibilidad integral de la red que puede proporcionar el control estructurado de políticas.
  Para coordinar la creación de reglas en diferentes aplicaciones, bases de datos y otros recursos, los equipos de TI y seguridad necesitan una visibilidad completa del tráfico de red de su organización. De esa manera, pueden identificar el tráfico legítimo del que dependen sus aplicaciones y servicios.
  
  Una vez que se identifica ese tráfico esencial, se vuelve más fácil escribir políticas que bloqueen todo lo demás. También es más fácil para las distintas partes interesadas poner de acuerdo sobre qué tráfico debe permitir. Cuando las partes interesadas pueden trabajar desde una comprensión compartida del uso de la red, la colaboración se vuelve sencilla.
   
• Proporciona una mayor simplicidad al denegar todo el tráfico de forma predeterminada para la seguridad confiable cero.
  En lugar de dar a las partes interesadas opciones para bloquear el tráfico, permitir el tráfico o anular las reglas de segmentación anteriores, un enfoque de política estructurado puede comenzar bloqueando todo el tráfico de forma predeterminada para cualquier sistema o entorno. Luego, trabajando a partir de un mapa de visualización que muestra todo el tráfico legítimo en la organización, los equipos de TI y seguridad pueden escribir políticas para permitir solo el tráfico que requiere la aplicación, la base de datos o el servicio.
  
  Al no confiar en nada de forma predeterminada, los proveedores de control de políticas estructurados brindan la rigurosa seguridad Zero Trust recomendada por el Instituto Nacional de Estándares y Tecnologías (NIST), la Casa Blanca de EE. UU. en su Orden Ejecutiva sobre la Mejora de la Ciberseguridad de la Nación y otras autoridades de seguridad de TI.
   
• Debido a que la elaboración de reglas está centralizada, los equipos de TI y seguridad pueden probar y mapear reglas antes de aplicarlas.
  Otro beneficio de un enfoque centralizado para la elaboración de reglas es que, debido a que existe un modelo coherente para las reglas, todo el modelo puede ejecutar en modo de prueba. Además, las rutas de comunicación entre cargas de trabajo se pueden mapear visualmente antes de que se implementen las reglas, alertando a los equipos sobre posibles problemas. Esto les da a los equipos de TI y seguridad la oportunidad de solucionar problemas y ajustar las reglas antes de aplicarlas.

Conclusión: Flexibilidad vs. escalabilidad

La elección entre estos dos enfoques se vuelve dura cuando se implementan reglas a escala.

Incluso en organizaciones más pequeñas, el enfoque altamente flexible se vuelve rápidamente insostenible. Las brechas de seguridad persisten inevitablemente en medio de una maraña de conjuntos de reglas desarrollados de forma independiente. Los ataques se filtran o una regla de seguridad bien intencionada bloquea accidentalmente el tráfico de misión crítica porque no hay una coordinación unificada.

Por el contrario, al aplicar una disciplina de diseño por adelantado, el enfoque de control de políticas estructurado para la segmentación ayuda a los equipos de TI y seguridad a proteger de manera simple y eficiente cualquier tipo de entorno de TI, desde las compañías emergentes hasta las redes globales más grandes y complejas.

Para obtener más información sobre la solución Illumio para la segmentación de confianza cero:

• Obtenga el Reporte de impacto de Zero Trust para conocer la investigación de ESG sobre cómo las organizaciones se están acercando a Zero Trust.
• Descargue nuestra guía detallada Cómo construir una estrategia de microsegmentación en 5 pasos.
• Obtenga una copia gratis de Forrester New Wave: Microsegmentation, Q1 2022 en el que Illumio es nombrado líder.
• Programe una demostración y una consulta sin compromiso con nuestros expertos en segmentación de confianza cero.