¿Qué es la segmentación de la red?
La segmentación de la red es una estrategia que sirve para segregar y aislar los segmentos de la red corporativa para reducir la superficie de ataque.
Sin embargo, en los datacenters actuales, con la proliferación de usuarios y la dinámica de aplicaciones y recursos, las estrategias de seguridad implican desplazar el perímetro más cerca del recurso que en el modelo del castillo.
La segmentación de la red es, junto a las identidades, uno de los conceptos básicos de una estrategia de seguridad Zero Trust basada en el marco Zero Trust 800-207 de la NIST.
Macro/microsegmentación de la red
Normalmente, la segmentación tradicional de la red, también conocida como macrosegmentación, se consigue utilizando firewalls internos y VLAN. En la microsegmentación, los controles del perímetro y la seguridad están más cerca del recurso (por ejemplo, la carga de trabajo o una aplicación de tres capas) para crear una zona protegida. La macro/microsegmentación de la red se utiliza principalmente para limitar el tráfico lateral entre los datacenters y evitar o ralentizar el movimiento lateral de los ciberdelincuentes.
La macro/microsegmentación de la red se puede conseguir con:
- Firewall físicos (por ejemplo, firewalls de segmentación internos): el tráfico se dirige a las zonas o segmentos que se rigen por reglas de firewall
- VLAN y listas de control de acceso (ACL): filtran el acceso a las redes/subredes
- Perímetro definido por software (SDP): acerca el perímetro al host para crear un límite virtual; permite utilizar controles con directivas precisas en las cargas de trabajo
Guía completa para diseñar una estrategia de protección de la identidad
Da el primer paso hacia una posición de seguridad de la identidad y descarga la Guía completa para diseñar una estrategia de protección de la identidad y defender así el panorama de la identidad digital de tu empresa desde hoy mismo.
Descargar ahoraEstrategia de macrosegmentación de la red: pros y contras
Las directivas de acceso a los recursos definidas con reglas de firewall, VLAN/ACL y VPN son estáticas y se centran únicamente en el tráfico de entrada y de salida. Estas limitaciones son rígidas y no se pueden escalar ni adaptar a entornos híbridos dinámicos y utilizar requisitos de acceso seguro dinámico fuera de los perímetros estáticos.
| Pros | Contras |
|---|---|
| Es uno de los métodos de segmentación más antiguos y generalizados; es anterior al modelo Zero Trust | Con las VLAN y los firewalls se crean múltiples cuellos de botella en la red que perjudican su rendimiento y la productividad del negocio (alta fricción) |
| Utiliza firewalls físicos habituales para controlar tanto el tráfico este-oeste como norte-sur. | El uso de miles de reglas de firewall y VLAN/ACL se convierte rápidamente en una pesadilla para la administración y la seguridad (complejidad, propensión al error humano). |
| Su ampliación es cara por los costes de hardware y personal | |
| Lograr visibilidad centralizada local y en las nubes resulta complejo | |
| Lo que funciona para sistemas locales no vale para las nubes (lagunas de visibilidad y seguridad que generan una mayor superficie de ataque) | |
| Es complicado lograr directivas precisas: falta contexto de seguridad | |
| Las directivas son rígidas y no se adaptan a entornos dinámicos o cambios repentinos en los modelos de negocio (por ejemplo trabajo en remoto, fusiones y adquisiciones, desinversiones, desarrollo ágil) | |
| La dependencia de los proveedores se convierte en un gasto adicional |
Estrategia de microsegmentación de la red: pros y contras
El perímetro se acerca al recurso y los controles de seguridad se aplican en cada host.
| Pros | Contras |
|---|---|
| Es independiente de la plataforma y la infraestructura | Necesita agentes en cada endpoint, carga de trabajo o hipervisor/máquina virtual |
| Controles de seguridad basados en el contexto con directivas precisas | Aunque las directivas precisas son una ventaja, hay que crear y gestionar un número abrumador de ellas en miles de recursos, grupos de usuarios, zonas (microsegmentos) y aplicaciones |
| Una plataforma unificada. | El 90 % del tráfico está cifrado y se precisa descifrado SSL/TLS para tener plena visibilidad. Dicho descifrado consume muchos recursos e incrementa drásticamente la capacidad de procesamiento necesaria y, por lo tanto, el coste de implementación y funcionamiento de la segmentación. |
| Para poder elaborar directivas que no perjudiquen la productividad de la empresa, es necesario saber qué ocurre en toda la arquitectura del datacenter: qué cambia, qué es nuevo y dónde están las lagunas. Por ejemplo, en situaciones como el cambio súbito al trabajo en remoto y el regreso de los empleados tras la pandemia: ¿cómo se verán afectadas las directivas y cuáles serán las "nuevas" lagunas? | |
| No hay detección y prevención de amenazas o es muy escasa. ¿Hay que utilizar e integrar herramientas independientes de detección, prevención e inteligencia sobre amenazas? |
La estrategia de segmentación centrada en la red, ya se trate de macro o de microsegmentación, tiene claramente sus pros y sus contras. En la segmentación de la red hay muchos elementos variables: firewalls físicos, parámetros definidos por software, controles y herramientas adicionales para infraestructuras multinube, así como varias directivas de acceso a los recursos que es preciso administrar y actualizar para adaptarlas a los ataques y a un panorama de amenazas en continua evolución.
Cambio de paradigma: de la segmentación de la red a la segmentación de identidades
Aunque la segmentación de la red reduce la superficie de ataque, esta estrategia no protege frente a las técnicas y las tácticas de los ciberdelincuentes en las fases de la cadena de ataque relacionadas con la identidad. El método de segmentación que reduce más riesgos con menor coste y complejidad operativa es la segmentación de identidades.
La protección de identidades reduce considerablemente el riesgo de sufrir brechas con los ataques modernos, como el ransomware y las amenazas contra la cadena de suministro, en los que la vulneración de credenciales desempeña un factor fundamental. Según el informe Cost of a Data Breach 2021 Report de IBM y el Ponemon Institute, en 2021 la vulneración o el robo de credenciales fueron las causas más habituales de las brechas de seguridad y también las que más tiempo se tardaron en identificar: una media de 250 días
Aquí es donde la segmentación de identidades de CrowdStrike ayuda a limitar considerablemente la superficie de ataque aislando y separando las identidades, una estrategia que permite obtener resultados inmediatos porque la mayoría de las brechas están basadas en el uso de credenciales de usuario.
¿No estás familiarizado con la segmentación de identidades?
Conoce qué es la segmentación de identidades y qué no es, y descarga el documento técnico siguiente para saber en qué difiere la segmentación de identidades de la de red.
Narendran es Director of Product Marketing para la protección de identidades y Zero Trust en CrowdStrike. Cuenta con más de 17 años de experiencia en la promoción de estrategias de marketing de productos y GTM en startups y empresas grandes de ciberseguridad como HP y SolarWinds. Anteriormente, fue Director of Product Marketing en Preempt Security, que fue adquirida por CrowdStrike. Narendran obtuvo un máster de ciencias en informática en la Universidad de Kiel (Alemania).
