¿Qué es la microsegmentación?
La microsegmentación es un método de seguridad para gestionar el acceso a la red entre cargas de trabajo. Con la microsegmentación, los administradores pueden gestionar políticas de seguridad que limitan el tráfico basándose en el principio del mínimo privilegio y la Confianza Cero. Las organizaciones utilizan la microsegmentación para reducir la superficie de ataque, mejorar la contención de las vulneraciones y reforzar el cumplimiento regulatorio.
Explicación de la microsegmentación
La microsegmentación es un enfoque de la seguridad que consiste en dividir una red en segmentos y aplicar controles de seguridad a cada segmento en función de sus necesidades.
El software de microsegmentación con tecnología de virtualización de red se utiliza para crear zonas en las implementaciones en la nube. Estas zonas seguras granulares aíslan las cargas de trabajo y las protegen individualmente mediante políticas personalizadas y específicas para cada carga de trabajo. Del mismo modo, cada máquina virtual (VM) de una red puede protegerse, hasta el nivel de aplicación, con controles de seguridad exactos.
Los controles de seguridad granulares que la microsegmentación aporta a las cargas de trabajo o las aplicaciones son de un valor incalculable para el entorno moderno de la nube, donde varias aplicaciones se ejecutan en el mismo servidor o máquina virtual. Las organizaciones pueden aplicar controles de seguridad a cargas de trabajo y aplicaciones individuales, en lugar de tener una única política de seguridad para el servidor.
Figura 1: La microsegmentación divide las redes en segmentos para limitar el tráfico en función de la Confianza Cero.
¿Qué es una carga de trabajo?
Una carga de trabajo puede definirse en términos generales como los recursos y los procesos necesarios para ejecutar una aplicación. Los hosts, las máquinas virtuales y los contenedores son algunos ejemplos de cargas de trabajo.
Las empresas pueden ejecutar cargas de trabajo en centros de datos, nubes híbridas y entornos multinube. Las aplicaciones de la mayoría de las organizaciones se distribuyen cada vez más en diferentes arquitecturas informáticas nativas de la nube en función de las necesidades de negocios.
Más allá de la seguridad perimetral
La seguridad perimetral constituye una parte importante de los controles de seguridad de la red de la mayoría de las organizaciones. Los dispositivos de seguridad de red, como los firewalls de red, inspeccionan el tráfico "norte-sur" (de cliente a servidor) que cruza el perímetro de seguridad y detienen el tráfico perjudicial. Los activos dentro del perímetro son de confianza implícita, lo que significa que el tráfico "este-oeste" (carga de trabajo a carga de trabajo) puede pasar sin inspección.
Figura 2: Tráfico "norte-sur" (de cliente a servidor) frente a "este-oeste" (de carga de trabajo a carga de trabajo)
Para la mayoría de las organizaciones, las comunicaciones este-oeste constituyen la mayor parte de los patrones de tráfico del centro de datos y la nube, y las defensas centradas en el perímetro no cuentan con visibilidad del tráfico este-oeste. Teniendo en cuenta estos factores, los actores maliciosos aprovechan esta oportunidad para moverse lateralmente a través de las cargas de trabajo.
La red crea rutas confiables entre las cargas de trabajo y determina si dos endpoints pueden o no acceder el uno al otro. La microsegmentación crea aislamiento y determina si dos endpoints deben acceder el uno al otro. La aplicación de la segmentación con el acceso con privilegios mínimos reduce el alcance de los movimientos laterales y contiene las vulneraciones de datos.
Figura 3: La microsegmentación puede ayudarle a aislar el ataque.
Desafíos de la segmentación de redes
La segmentación de la red es un enfoque que divide una red en múltiples segmentos más pequeños. Esto beneficia el rendimiento y la seguridad:
- Rendimiento: Subdividir la red en subredes y VLAN más pequeñas reduce el alcance de los paquetes de difusión y mejora el rendimiento de la red.
- Seguridad: Los equipos de seguridad de la red pueden aplicar listas de control de acceso (ACL) a VLAN y subredes para aislar máquinas en distintos segmentos de red. En caso de una vulneración de datos, las ACL pueden impedir que la amenaza se propague a otros segmentos de la red.
Aprovechar la segmentación de la red con fines de seguridad conlleva ciertos desafíos. Las necesidades de segmentación no siempre coinciden con la arquitectura de la red. Reestructurar las redes o reconfigurar las VLAN y subredes para cumplir con los requisitos de segmentación es difícil y consume mucho tiempo.
Figura 4: La segmentación de la red (mediante VLAN y subredes) es un método que ha demostrado ofrecer un rendimiento óptimo al dividir los dominios de difusión de la red.
Cómo funciona la microsegmentación
La microsegmentación, también denominada Confianza Cero o segmentación basada en identidades, cumple con los requisitos de segmentación sin necesidad de modificar la arquitectura. Los equipos de seguridad pueden aislar las cargas de trabajo en una red para limitar el efecto de los movimientos laterales malintencionados. Los controles de microsegmentación pueden asimilarse en tres categorías:
- Las soluciones basadas en agentes utilizan un agente de software en la carga de trabajo y aplican un aislamiento granular a hosts y contenedores individuales. Las soluciones basadas en agentes pueden aprovechar el firewall integrado basado en host o derivar capacidades de aislamiento basadas en la identidad o los atributos de la carga de trabajo.
- Los controles de segmentación basados en la red dependen de la infraestructura de red. Este estilo aprovecha los dispositivos físicos y virtuales, como equilibradores de carga, conmutadores, redes definidas por software (SDN) y redes superpuestas para aplicar las políticas.
- Los controles nativos de la nube aprovechan las capacidades integradas en el proveedor de servicios en la nube (por ejemplo, el grupo de seguridad de Amazon, el firewall de Azure o el firewall de Google Cloud).
La microsegmentación ayuda a ofrecer seguridad sistemática tanto en nubes privadas como públicas en virtud de tres principios clave: visibilidad, seguridad granular y adaptación dinámica.
Una solución de microsegmentación debe ofrecer visibilidad de todo el tráfico de red dentro y a través de los centros de datos y las nubes. Aunque existen muchas formas de supervisar el tráfico, la medida más eficaz es ver el tráfico junto con el contexto de la carga de trabajo (por ejemplo, nube, aplicación, orquestadores), a diferencia de los registros que solo contienen direcciones IP y puertos.
La seguridad granular hace referencia a que los administradores de red pueden reforzar y precisar la seguridad creando políticas específicas para las aplicaciones críticas. El objetivo consiste en evitar el movimiento lateral de las amenazas con políticas que controlen con precisión el tráfico de entrada y salida de cargas de trabajo específicas, como las nóminas semanales o las actualizaciones de las bases de datos de recursos humanos.
La microsegmentación ofrece protección para entornos dinámicos. Por ejemplo, las arquitecturas nativas de la nube, como los contenedores y Kubernetes, pueden activarse y desactivarse en cuestión de segundos. Las direcciones IP asignadas a las cargas de trabajo en la nube son efímeras, lo que imposibilita la gestión de reglas basada en IP. Con la microsegmentación, las políticas de seguridad se expresan en términos de identidades o atributos (env=prod, app=hrm, etc.) en lugar de construcciones de red (por ejemplo, 10.100.0.10 tcp/80). Los cambios en la aplicación o la infraestructura activan revisiones automáticas de las políticas de seguridad en tiempo real, sin necesidad de intervención humana.
Tipos de microsegmentación
La microsegmentación ofrece protección para entornos dinámicos. Por ejemplo, las arquitecturas nativas de la nube, como los contenedores y Kubernetes, pueden activarse y desactivarse en cuestión de segundos. Las direcciones IP asignadas a las cargas de trabajo en la nube son efímeras, lo que imposibilita la gestión de reglas basada en IP. Con la microsegmentación, las políticas de seguridad se expresan en términos de identidades o atributos (env=prod, app=hrm, etc.) en lugar de construcciones de red (por ejemplo, 10.100.0.10 tcp/80). Los cambios en la aplicación o la infraestructura activan revisiones automáticas de las políticas de seguridad en tiempo real, sin necesidad de intervención humana.
Segmentación de contenedores
La segmentación de contenedores consiste en aislar unos contenedores de otros y del sistema host para mejorar la seguridad y reducir la superficie de ataque. La creación de contenedores es una tecnología ampliamente utilizada que permite ejecutar múltiples aplicaciones o servicios en contenedores separados en un único sistema host. Sin embargo, sin una segmentación adecuada, los contenedores pueden acceder potencialmente a los datos y archivos de configuración de los demás, lo que puede generar vulnerabilidades de seguridad.
Mejores prácticas de segmentación de contenedores
- Aislamiento de contenedores: Cada contenedor debe estar aislado de otros contenedores que se ejecuten en el mismo sistema host para evitar accesos no autorizados. Esto puede lograrse utilizando tecnologías de contenedores como Docker y Kubernetes, que ofrecen mecanismos de aislamiento integrados.
- Segmentación de redes: Los contenedores pueden segmentarse entre sí utilizando técnicas de segmentación de red. Esto supone crear redes separadas para cada contenedor y configurar reglas de firewall para permitir o denegar el tráfico entre contenedores.
- Control de acceso basado en funciones: El control de acceso basado en funciones (RBAC) puede utilizarse para definir políticas de acceso para diferentes contenedores según las funciones y los permisos de los usuarios. Esto puede ayudar a garantizar que solo accedan a los contenedores los usuarios y procesos autorizados.
- Firma de imágenes: Las imágenes de los contenedores pueden firmarse digitalmente para garantizar que solo se implementen en la producción imágenes de confianza. Esto puede ayudar a evitar que las imágenes de los contenedores sean manipuladas o alteradas, lo que reduce el riesgo de vulnerabilidades de seguridad.
- Protección en tiempo de ejecución: Las herramientas de protección en tiempo de ejecución pueden utilizarse para supervisar la actividad de los contenedores y detectar anomalías que puedan indicar una vulneración de la seguridad. Estas herramientas pueden ayudar a detectar y prevenir ataques en tiempo real, lo que mejora la postura de seguridad de los entornos en contenedores.
La segmentación de contenedores ayuda a garantizar la seguridad de las aplicaciones y los servicios en contenedores. Al aislar los contenedores y aplicar políticas de control de acceso, las organizaciones pueden reducir la superficie de ataque y evitar el acceso no autorizado a datos y recursos sensibles. La segmentación de contenedores debe implementarse como parte de una estrategia de seguridad global que incluya seguridad de red, control de acceso y protección en tiempo de ejecución.
Segmentación de usuarios en la seguridad de la nube
La segmentación de usuarios en la seguridad en la nube implica dividir el acceso de los usuarios en función de las diferentes funciones y responsabilidades dentro de una organización para garantizar que los usuarios solo tengan acceso a los recursos que necesiten para realizar sus funciones laborales. La segmentación de usuarios reduce la superficie de ataque al limitar la exposición de datos y recursos sensibles únicamente a los usuarios autorizados.
Dado que los entornos de nube son dinámicos y cambian con rapidez, la segmentación de usuarios resulta un componente fundamental de una estrategia integral de seguridad en la nube. A continuación, se brindan algunas consideraciones clave para la segmentación de usuarios en la seguridad en la nube:
- Control de acceso basado en funciones (RBAC): El RBAC supone la creación y la definición de permisos para funciones, y luego la asignación de usuarios a las funciones apropiadas de acuerdo con las funciones laborales. Este enfoque garantiza que los usuarios solo tengan acceso a los recursos que necesiten para desempeñar sus funciones laborales, lo que reduce el riesgo de vulneraciones de datos accidentales o intencionales.
- Autenticación de varios factores (MFA): La MFA requiere que los usuarios proporcionen más de una forma de autenticación para acceder a un recurso. Esto puede incluir una contraseña, un token de seguridad o datos biométricos. La MFA es una forma eficaz de impedir el acceso no autorizado a los recursos de la nube, especialmente cuando se combina con RBAC.
- Supervisión continua: La supervisión continua de la actividad de los usuarios resulta fundamental para detectar y responder a los incidentes de seguridad en tiempo real. Esto implica analizar los datos de registro y el comportamiento de los usuarios para identificar amenazas y vulnerabilidades.
- Separación de obligaciones: La separación de obligaciones implica dividir las responsabilidades entre varios usuarios para evitar que uno solo tenga demasiado control sobre un sistema o proceso. Esto reduce el riesgo de fraude o errores y garantiza que varios usuarios realicen las operaciones sensibles.
- Revisiones periódicas de acceso: Las revisiones periódicas de acceso suponen revisar rutinariamente los derechos y los permisos de acceso de los usuarios para asegurarse de que sigan siendo esenciales. Las revisiones de acceso pueden ayudar a identificar y eliminar derechos de acceso innecesarios, lo que reduce el riesgo de acceso no autorizado.
Mediante la implementación del RBAC, la MFA, la supervisión continua, la separación de obligaciones y las revisiones periódicas de acceso, las organizaciones pueden mejorar su postura de seguridad en la nube y protegerse frente a las amenazas en evolución y reducir la superficie de ataque y evitar el acceso no autorizado a datos y recursos sensibles.
Beneficios de la microsegmentación
Las organizaciones que adoptan la microsegmentación obtienen beneficios tangibles. Más específicamente:
- Superficie de ataque reducida: La microsegmentación aporta visibilidad de todo el entorno de red sin reducir el desarrollo ni la innovación. Los desarrolladores de aplicaciones pueden integrar la definición de políticas de seguridad en una fase temprana del ciclo de desarrollo y garantizar que ni las implementaciones ni las actualizaciones de las aplicaciones generen nuevos vectores de ataque. Esto resulta especialmente importante en el cambiante mundo de DevOps.
- Mejora de la contención de las vulneraciones: La microsegmentación ofrece a los equipos de seguridad la posibilidad de supervisar el tráfico de red en función de políticas predefinidas, así como de acortar el tiempo de respuesta y reparación de las vulneraciones de datos.
- Cumplimiento regulatorio más sólido: Mediante la microsegmentación, los funcionarios regulatorios pueden elaborar políticas que aíslen los sistemas sujetos a regulación del resto de la infraestructura. El control granular de las comunicaciones con los sistemas regulados reduce el riesgo de un uso que no cumpla con las regulaciones.
- Gestión de políticas simplificada: El traslado a una red microsegmentada o a un modelo de seguridad de Confianza Cero brinda la oportunidad de simplificar la gestión de políticas. Algunas soluciones de microsegmentación ofrecen descubrimiento automatizado de aplicaciones y sugerencias de políticas basadas en el comportamiento aprendido de las aplicaciones.
Casos de uso de microsegmentación
La variedad de casos de uso de la microsegmentación es amplia y sigue creciendo. A continuación, se proporcionan algunos ejemplos representativos:
- Sistemas de desarrollo y producción: En el mejor de los casos, las organizaciones separan cuidadosamente los entornos de desarrollo y pruebas de los sistemas de producción. No obstante, es posible que estas medidas no impidan actividades descuidadas, como que los desarrolladores tomen información de clientes de las bases de datos de producción para realizar pruebas. La microsegmentación puede imponer una separación más disciplinada limitando granularmente las conexiones entre los dos entornos.
- Seguridad para los activos blandos: Las empresas tienen un enorme incentivo financiero y de reputación para proteger los activos "blandos", como la información confidencial de clientes y empleados, la propiedad intelectual y los datos financieros de la empresa. La microsegmentación aporta otro nivel de seguridad para proteger contra la filtración y otras acciones maliciosas que pueden generar tiempos de inactividad e interferir en las operaciones de la empresa.
- Gestión de la nube híbrida: La microsegmentación puede ofrecer protección sin inconvenientes para aplicaciones que abarcan varias nubes e implementar políticas de seguridad uniformes en entornos híbridos compuestos por varios centros de datos y proveedores de servicios en la nube.
- Respuesta ante incidentes: Como ya se ha señalado, la microsegmentación limita el movimiento lateral de las amenazas y el impacto de las vulneraciones. Además, las soluciones de microsegmentación proporcionan información de registro para ayudar a los equipos de respuesta ante incidentes a comprender mejor las tácticas de ataque y la telemetría para ayudar a focalizar las vulneraciones de las políticas en aplicaciones específicas.
Preguntas frecuentes sobre la microsegmentación
¿Son diferentes la segmentación de la red y la microsegmentación?
Aunque tanto la segmentación de la red como la microsegmentación ayudan a mejorar la seguridad y el rendimiento de la red, difieren en aspectos fundamentales. La segmentación de red tradicional se centra en el tráfico norte-sur que entra y sale de la red y se implementa mediante VLAN, firewalls, enrutadores y demás dispositivos. Estos dispositivos pueden configurarse para aplicar políticas de seguridad, como listas de control de acceso (ACL) o reglas de firewall, en el nivel de la red.
La microsegmentación, por su parte, se centra en el tráfico este-oeste y suele implementarse mediante soluciones de seguridad basadas en software, como firewalls basados en hipervisores o plataformas de protección de endpoints (EPP). La microsegmentación aplica políticas de seguridad a nivel de carga de trabajo o aplicación individual, en lugar de en el nivel de red.
¿Qué son las políticas de firewall?
Una política de firewall define cómo los firewalls de una organización deben gestionar el tráfico de red entrante y saliente para determinadas direcciones IP y rangos de direcciones. Las políticas pueden centrarse en la identidad del usuario, la actividad en la red y las aplicaciones, así como en las direcciones IP.
¿Qué es una red virtual?
Una red virtual utiliza software para conectar computadoras, máquinas virtuales (VM) y servidores o servidores virtuales a través de Internet, a diferencia de la red física tradicional anclada a un lugar mediante hardware y cable.
¿Qué es una dependencia de la aplicación?
Una dependencia de la aplicación se produce cuando el software, las aplicaciones, los servidores y demás componentes dependen unos de otros para realizar sus funciones. Para garantizar servicios ininterrumpidos, las dependencias de las aplicaciones deben asignarse antes de migrar a la nube, mover componentes a un nuevo entorno de nube o implementar la microsegmentación.