Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Segmentación de confianza cero

Cómo garantizar el éxito de los proyectos de microsegmentación: 3 principios estratégicos

Trevor Dearing
Director de Marketing de Soluciones Industriales
Illumio Editorial
13de junio de 2022
23 min. leer

La microsegmentación importa. Si lo hace bien, reducirá significativamente su vulnerabilidad a ataques como el ransomware mientras logra y mantiene el cumplimiento.

En este serial, le brindamos un enfoque práctico y detallado de la microsegmentación que ofrece proyectos exitosos de manera confiable, rápida y eficiente.

En la primera parte, exploramos por qué las organizaciones ahora necesitan microsegmentación y las tres razones principales por las que los proyectos de microsegmentación pueden fallar.

En este segundo artículo, lo guiaremos a través de los tres principios estratégicos que guían los proyectos exitosos de microsegmentación.

Estos tres principios estratégicos son:

  1. No tiene que ser perfecto al principio (si es que alguna vez lo es)
  2. No puedes segmentar lo que no puedes ver
  3. Centrar en simplificar la gestión de políticas

Si sigues estos principios y los integras en tu proyecto, aumentarás significativamente tus posibilidades de éxito.

Ahora, veamos cada uno con mayor profundidad. Para cada principio, discutiremos el principio "incorrecto" que siguen algunas organizaciones al implementar proyectos de microsegmentación, y luego describiremos un principio más efectivo a considerar.

Principio 1: No tiene que ser perfecto de la noche a la mañana (si es que alguna vez lo hace)

A menudo, los proyectos de microsegmentación se piensan en términos "perfectos". Se abordan como un gran esfuerzo que debe bloquear completamente la red interna de una organización, cerrar todas las conexiones y flujos de comunicación innecesarios entre todos los sistemas y crear un entorno prístino donde los atacantes no puedan propagar ni un centímetro.

Este nivel de perfección no es posible. Seguirlo lleva a las organizaciones a crear planes de proyectos plurianuales que:

  • A menudo nunca pasan de la fase de planeación.
  • Se abandonan rápidamente una vez que la complejidad y el esfuerzo involucrados se vuelven claros.
  • Lanza, pero se prolonga durante meses y años sin un progreso significativo.

Por el contrario, la mayoría de los proyectos de microsegmentación exitosos no persiguen la perfección. En cambio, se enfocan en alcanzar algunos objetivos pequeños que mejorarán significativamente la seguridad de una organización al lograr un conjunto de objetivos pequeños, simples y claramente definidos.

Por ejemplo, construir una defensa contra ransomware es un buen objetivo del proyecto de microsegmentación. Para lograr este objetivo, el proyecto solo necesita hacer tres cosas.

  • Establezca visibilidad en tiempo real de las comunicaciones de las aplicaciones.
  • Bloquee el ransomware cerrando los puertos de alto riesgo comúnmente empleados por el ransomware.
  • Construya un "interruptor de contención" que la organización pueda activar para evitar que se propague un incidente en curso.

Con las herramientas adecuadas, una organización puede completar un proyecto de microsegmentación como este, y mejorar significativamente sus defensas contra ransomware , en aproximadamente una semana. A partir de ahí, la organización puede elegir su próximo objetivo de microsegmentación pequeño, de alta prioridad y rápidamente alcanzable para lograr (como alcanzar el cumplimiento de un activo crítico).

Al seguir un enfoque ágil e incremental de la microsegmentación, mejorará inmediatamente la seguridad de su organización, generará confianza en toda la organización de que la microsegmentación es algo que puede lograr y sentará las bases para sus esfuerzos de microsegmentación más amplios.

Principio 2: No se puede segmentar lo que no se puede ver

A menudo, las organizaciones intentan microsegmentar su entorno sin una imagen precisa, completa y en tiempo real del mismo. No pueden ver cómo se comunican sus aplicaciones entre sí, qué conexiones están abiertas entre ellas y otra información fundamental sobre los flujos de tráfico a través de su infraestructura de TI.

Al mismo tiempo, las organizaciones a menudo carecen de un repositorio de metadatos limpio y actualizado (como una base de datos de administración de configuración o CMDB). Sin estos metadatos, a menudo no saben cuáles de sus aplicaciones se ejecutan en qué servidores, qué rol o función realizan sus aplicaciones, dónde se encuentran sus aplicaciones o si sus aplicaciones se emplean en entornos de desarrollo o producción.

Como resultado, las organizaciones a menudo intentan crear microsegmentación sin la visibilidad para escribir políticas efectivas que cierren las rutas solo al tráfico autorizado, y nada más (sin dañar la disponibilidad o el rendimiento de la aplicación).

Por el contrario, la mayoría de los proyectos de microsegmentación exitosos comienzan estableciendo visibilidad en tiempo real basada en el riesgo y metadatos limpios en todas las aplicaciones del entorno.

En términos prácticos, la mayoría de los proyectos de microsegmentación exitosos se basan en:

  • Un mapa de dependencias de aplicaciones que le proporciona una imagen en tiempo real de las aplicaciones de su entorno, cómo interactúan entre sí y cuáles son sus dependencias internas y externas. Este mapa debe abarcar toda la compañía y ofrecer una única fuente de verdad compartida por los equipos de operaciones de TI, red, seguridad y riesgo involucrados en su proyecto de microsegmentación.
     
  • Un repositorio único y de alta calidad donde almacena todos los metadatos que le indican cuáles de sus servidores pertenecen a cada una de sus aplicaciones. Además, dado que estos metadatos cambian de manera regular durante las operaciones normales, necesita un proceso continuo, realizado por los propietarios de la aplicación o por un administrador o equipo central, para mantener actualizados estos metadatos.

Estos son los aspectos más importantes de la visibilidad para cualquier proyecto de microsegmentación exitoso.

illumio-applicatoin-dependency-map
El mapa de dependencia de aplicaciones en tiempo real de Illumio muestra los flujos de comunicación dentro y entre sus entornos.

Principio 3: Centrar en la simplificación de la gestión de políticas

Las políticas de seguridad son los componentes básicos de la microsegmentación. Las políticas definen cómo los sistemas pueden comunicar entre sí, y cuantas más políticas pueda escribir y aplicar, y cuanto más granulares las haga, más estricta será su seguridad.

Desafortunadamente, la mayoría de las organizaciones luchan por redactar, hacer cumplir y mantener políticas de microsegmentación efectivas. Carecen de un proceso claro para definir políticas para impulsar su proyecto de microsegmentación, y siguen procesos manuales de alto esfuerzo y que requieren mucho tiempo para hacer cumplir y mantener las políticas empleando herramientas tradicionales, como firewalls de red.

Estos procesos manuales y ad hoc solo son útiles para aplicar y mantener una amplia separación de entornos grandes y planos entre sí y, por lo general, no logran gestionar las innumerables políticas necesarias para microsegmentar las redes modernas.

Por el contrario, la mayoría de los proyectos de microsegmentación exitosos buscan racionalizar, simplificar y automatizar la mayor parte posible del proceso de gestión de políticas . Por lo general, dividen el proceso de administración de directivas en los siguientes pasos y hacen que cada uno sea lo más manejable posible:

  • Descubrimiento de políticas: Recopilación de datos para comprender cada aplicación relevante
  • Creación de políticas: Escribir las políticas reales que se aplicarán a las aplicaciones
  • Distribución y aplicación de políticas: Aplicar políticas a las aplicaciones y mantenerlas a medida que cambia el entorno.

Específicamente, los proyectos exitosos de microsegmentación prestan mucha atención al proceso de creación de políticas. Examinan las dependencias de las aplicaciones y definen cuidadosamente cómo se permite que interactúen las aplicaciones, los sistemas y los usuarios. Por lo general, siguen algunos pasos clave:

  • Deciden si adoptarán un enfoque estratégico o táctico para la gestión de políticas. Un enfoque estratégico tiene una mentalidad más a largo plazo y sigue rutas de implementación bien planeadas. Un enfoque táctico está diseñado para resolver requisitos urgentes como cerrar vulnerabilidades conocidas o corregir incumplimientos para preparar para auditorías regulatorias. Ambos trabajan en contextos diferentes.
     
  • Revisan los flujos de comunicación existentes entre sus sistemas para ver cómo esos sistemas se conectan normalmente entre sí y qué conexiones necesita cada sistema para permanecer operativo. A continuación, hacen que el propietario de cada sistema revise y confirme qué flujos se pueden cerrar y cuáles deben permanecer abiertos.
     
  • Deciden y escriben la política en lenguaje natural que todos puedan entender, como "La aplicación A consume servicios de la aplicación B". También prueban el impacto de las nuevas políticas en los flujos de comunicación en tiempo real para cerciorar de que sea seguro aplicarlas, y obtener la aprobación del propietario del sistema, antes de finalizarlas y aplicarlas.
illumio-structured-policy-control
Illumio proporciona un control de políticas estructurado para optimizar la creación de políticas en entornos locales y en la nube.

Al seguir un proceso claro para definir políticas y simplificar, optimizar y automatizar la administración de políticas, puede cerciorar de que está escribiendo políticas efectivas que brindarán los beneficios de seguridad que desea y que se pueden aplicar a escala.

Dando los primeros pasos para un proyecto de microsegmentación exitoso

Estos tres principios estratégicos guían la mayoría de los proyectos de microsegmentación exitosos que vimos y en los que participamos. Se cercioran de que adopte el enfoque general correcto y desarrolle las capacidades adecuadas para cualquier proyecto de microsegmentación que pueda emprender.

Sin embargo, si bien estos principios aumentan las posibilidades de entregar un proyecto de microsegmentación exitoso, no son suficientes por sí solos.

En el próximo artículo de este serial, lo guiaremos a través de los riesgos más comunes que conllevan los proyectos de microsegmentación y cómo puede desarmar estos riesgos para garantizar el éxito.

Siga los pasos correctos con la microsegmentación e Illumio:

Temas relacionados

No items found.

Artículos relacionados

Cómo la segmentación de confianza cero detiene el ransomware 4 veces más rápido que la detección y la respuesta por sí solas
Segmentación de confianza cero

Cómo la segmentación de confianza cero detiene el ransomware 4 veces más rápido que la detección y la respuesta por sí solas

Una reciente emulación de ataque de ransomware realizada por Bishop Fox mostró que Zero Trust Segmentation detiene la propagación del ransomware en menos de 10 minutos.

Read more
¿Qué es importante en un modelo de política para la microsegmentación?
Segmentación de confianza cero

¿Qué es importante en un modelo de política para la microsegmentación?

De todas las características a discutir en una solución de microsegmentación, la mayoría de los proveedores no comenzarían con el modelo de política.

Read more
Seguridad de red en la era de los contenedores
Segmentación de confianza cero

Seguridad de red en la era de los contenedores

A medida que los contenedores, las plataformas de orquestación y las mallas de servicios ganan terreno, lea este blog para comprender mejor estos conceptos y más.

Read more
No items found.

Asumir incumplimiento.
Minimizar el impacto.
Aumentar la resiliencia.

¿Listo para obtener más información sobre la segmentación de confianza cero?

Learn more