¿Qué es el modelo de seguridad de red perimetral?

El término "perimetral" hace referencia a un modelo de seguridad de red en el que todos los miembros de la red son de confianza por defecto.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir "perimetral" en el contexto de seguridad de redes
  • Describir cómo las redes perimetrales gestionan el acceso y defienden el perímetro de la red
  • Comparar la seguridad perimetral con la seguridad zero trust

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es el modelo de red perimetral?

El modelo perimetral es un modelo de seguridad de red en el que nadie de fuera de la red puede acceder a los datos de dentro, pero sí que pueden todos los que están dentro. Imaginemos que la red de una organización es un castillo, y el perímetro de red un foso. Una vez que se baja el puente levadizo y alguien lo cruza, puede moverse con libertad por el interior del castillo. Del mismo modo, una vez que un usuario se conecta a una red en este modelo, puede acceder a todas las aplicaciones y datos de esa red.

Las organizaciones que usan este modelo dedican muchos recursos a defender el perímetro de su red, al igual que un castillo colocaría el mayor número de guardias cerca del puente levadizo. Implementan firewalls, sistemas de detección de intrusos (IDS), sistemas de prevención de intrusos (IPS) y otros productos de seguridad que bloquean la mayoría de los ataques externos, pero no son tan eficaces para detener los ataques internos, amenazas internas y fugas de datos.

El modelo perimetral no es necesariamente una estrategia elegida deliberadamente. El término empezó a utilizarse para comparar la arquitectura de red tradicional con la arquitectura Zero Trust.

¿Cuáles son los problemas del enfoque perimetral?

En la actualidad, el enfoque perimetral se está quedando obsoleto. En la mayoría de las empresas, los datos están repartidos entre varios proveedores de la nube, en lugar de permanecer detrás de un perímetro de red local. Para seguir con la analogía: no tiene sentido poner todos los recursos defendiendo el castillo, si la reina y su corte están fuera del mismo.

En la actualidad, hay algunas organizaciones que siguen manteniendo sus datos en las redes locales, y otras enrutan todo el tráfico con destino a Internet a través de la red corporativa central para controlar el acceso a los proveedores de la nube. Pero este uso del modelo perimetral sigue teniendo fallos de seguridad inherentes.

El mayor fallo de seguridad es que si un atacante consigue acceder a la red (es decir, si cruza el "foso"), también puede acceder a los datos y sistemas que haya dentro. Pueden penetrar en la red al robar las credenciales de usuario, aprovechar una vulnerabilidad de seguridad, introducir una infección de malware, o llevar a cabo un ataque de ingeniería social, entre otros métodos. Los firewalls y otras herramientas de prevención de intrusiones pueden detener algunos de estos ataques, pero si uno de ellos consigue pasar, el coste es muy alto.

¿En qué se diferencia el modelo perimetral de la seguridad Zero Trust?

La seguridad Zero trust es una filosofía sobre cómo y cuándo se permite a los usuarios acceder a los sistemas y a los datos. A diferencia del modelo perimetral, la seguridad Zero Trust asume que hay riesgos de seguridad tanto dentro como fuera de la red. No hay nada dentro de la red que sea de confianza por defecto, de ahí el nombre "Zero Trust."

La seguridad Zero Trust requiere una verificación estricta de cada usuario y dispositivo de la red antes de concederles acceso a los datos y las aplicaciones.

¿Cómo se gestiona el control de acceso en un modelo perimetral?

Una de las formas en que las organizaciones controlan el acceso cuando utilizan el modelo perimetral son las redes privadas virtuales, o VPN. Las VPN establecen una conexión encriptada entre los usuarios conectados (que suelen trabajar en remoto) y un servidor VPN. Para determinados niveles de acceso, un usuario debe conectarse al menos a una VPN. Una vez conectado, puede acceder a los recursos que necesite.

Ya que los diferentes usuarios de una misma empresa suelen requerir diferentes privilegios de acceso, los equipos de TI configuran varias VPN. Cada VPN puede considerarse como su propio "castillo", lo que proporciona un nivel de acceso diferente.

Este enfoque tiene algunos inconvenientes:

  • Vulnerabilidad a los ataques: una VPN actúa como un único punto de fallo para las aplicaciones y los datos que protege. Solo hace falta una cuenta o un dispositivo en riesgo para que un atacante cruce el perímetro y acceda a los datos protegidos por la VPN.
  • Rendimiento más lento: las VPN encriptan todo el tráfico, lo que puede añadir una ligera latencia a la red, en función del tipo de encriptación utilizado (comparar IPsec vs. SSL). Para los empleados en remoto, una VPN enruta todo el tráfico a través del servidor VPN, que podría estar lejos del empleado, ralentizando todavía más el tráfico de la red.
  • Escalabilidad: si el uso de la VPN excede la capacidad del servidor VPN para gestionar el tráfico, se tiene que actualizar el servidor, un proceso que requiere mucho trabajo.
  • Mantenimiento: las VPN requieren mucho tiempo y recursos para su mantenimiento. Los equipos de TI deben instalar el cliente VPN adecuado en el ordenador de cada empleado en remoto, asegurarse de que los empleados mantienen ese software actualizado, y actualizar o sustituir el hardware de la VPN con regularidad.

¿Cómo funciona el control de acceso en una arquitectura Zero Trust?

Hay algunos principios básicos que subyacen a una arquitectura Zero Trust:

  • Acceso con mínimos privilegios: los usuarios solo tienen un acceso mínimo
  • Microsegmentación: las redes se dividen en zonas de seguridad mucho más pequeñas
  • Autenticación multifactor (MFA): los usuarios deben proporcionar más de un factor para verificar su identidad (por ejemplo, una contraseña más la posesión de un token)
  • Supervisión de los dispositivos: se rastrea cuidadosamente cada dispositivo que se conecta a una red

Estos principios se desglosan en ¿Qué es una red Zero Trust?

Pasar del modelo perimetral al modelo Zero Trust: "SASE

Conscientes de las deficiencias del modelo perimetral, muchas organizaciones están adoptando una arquitectura Zero Trust. Aunque al principio esta medida era bastante compleja, en la actualidad muchos proveedores ofrecen soluciones simplificadas Zero Trust que pueden activarse con rapidez. Cloudflare Zero Trust es una de estas soluciones de seguridad de redes.

Pero en lugar de adoptar una solución separada de gestión de acceso, muchas organizaciones quieren que la seguridad Zero Trust esté incorporada a la red, y no solo en capas. Gartner, una empresa global de investigación y asesoría, ha acuñado el término "perímetro de servicio de acceso seguro" (SASE). Cloudflare One es un ejemplo de red con seguridad Zero Trust incorporada.