¿Qué es microsegmentación?

La microsegmentación es una técnica para dividir una red en segmentos separados en la capa de aplicación, con el fin de aumentar la seguridad y reducir el impacto de una filtración.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Defina la microsegmentación
  • Explique cómo la microsegmentación mejora la seguridad
  • Describa cómo encaja la microsegmentación en una arquitectura de Zero Trust

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es microsegmentación?

La microsegmentación divide una red en secciones pequeñas y discretas, cada una de las cuales tiene sus propias políticas de seguridad y a las que se accede por separado. El objetivo de la microsegmentación es aumentar la seguridad de la red confirmando amenazas y entradas en el segmento comprometido, sin afectar al resto de la red.

Los grandes barcos suelen estar divididos en compartimentos bajo la cubierta, cada uno de los cuales es estanco y pueden sellarse con respecto a los demás. De esta forma, aunque una fuga llene de agua un compartimento, el resto permanece seco y el barco se mantiene a flote. El concepto de microsegmentación de la red es similar: un segmento de la red puede verse comprometido, pero se puede aislar fácilmente del resto de la red.

La microsegmentación es un componente clave de una arquitectura Zero Trust. Una arquitectura de este tipo supone que cualquier tráfico que entre, salga o esté dentro de una red puede ser una amenaza. La microsegmentación permite aislar esas amenazas antes de que se propaguen, evitando el movimiento lateral.

¿Dónde ocurre la microsegmentación?

Las organizaciones pueden microsegmentar, tanto los centros de datos locales como los despliegues de informática en la nube — cualquier lugar donde se ejecuten las cargas de trabajo. Los servidores, las máquinas virtuales, los contenedores y los microservicios pueden segmentarse de este modo, cada uno con su propia política de seguridad.

La microsegmentación puede producirse a niveles extremadamente granulares en una red, hasta aislar cargas de trabajo individuales (en lugar de aislar aplicaciones, dispositivos o redes), siendo una "carga de trabajo" cualquier programa o aplicación que utilice cierta cantidad de memoria y CPU.

¿Cómo funciona la microsegmentación?

Las técnicas para microsegmentar una red cambian ligeramente. Sin embargo, casi siempre aplican algunos principios clave:

Visibilidad de la capa de aplicación

Las soluciones de microsegmentación conocen las aplicaciones que envían el tráfico a la red. La microsegmentación ofrece contexto sobre qué aplicaciones se comunican entre sí y cómo fluye el tráfico de red entre ellas. Este es uno de los aspectos que distinguen la microsegmentación de la división de una red mediante redes de área local (VLAN) u otro método de capa de red.

Basado en software, no en hardware

La microsegmentación se configura mediante el software. La segmentación es virtual, por lo que los administradores no necesitan ajustar enrutadores, conmutadores u otros equipos de red para implantarla.

Uso de firewalls de nueva generación (NGFW)

La mayoría de las soluciones de microsegmentación utilizan firewalls de nueva generación (NGFW) para separar sus segmentos. Los NGFW, a diferencia de los firewalls tradicionales, tienen conocimiento de la aplicación, lo que les permite analizar el tráfico de red en la capa de aplicación, no solo en las capas de red y transporte.

Además, los firewalls basados en la nube se pueden utilizar para microsegmentar los despliegues de computación en nube. Algunos proveedores de alojamiento en la nube ofrecen esta posibilidad al usar sus servicios de firewalls integrados.

Las políticas de seguridad difieren entre los segmentos

Si lo prefiere, los administradores pueden personalizar las políticas de seguridad para cada carga de trabajo. Una carga de trabajo puede permitir un acceso amplio, mientras que otra puede estar muy restringida, dependiendo de la importancia de la carga de trabajo en cuestión y de los datos que se procesen. Una carga de trabajo puede aceptar consultas de la API de una serie de puntos finales; otra solo posiblemente solo se comunique con un servidor específico.

Visibilidad de todo el tráfico de red

El registro de red típico proporciona información de la capa de red y transporte, tales como puertos y direcciones IP. La microsegmentación también proporciona contexto de la aplicación y carga de trabajo. Al supervisar todo el tráfico de red y añadir el contexto de las aplicaciones, las organizaciones pueden aplicar de forma coherente políticas de segmentación y seguridad en todas sus redes. Esto también proporciona la información necesaria para adaptar las políticas de seguridad según sea necesario.

¿Cómo la microsegmentación mejora la seguridad?

La microsegmentación impide que las amenazas se propaguen por toda la red, lo que limita los daños de un ciberataque. El acceso de los atacantes es limitado y no pueden alcanzar los datos confidenciales.

Por ejemplo, una red con cargas de trabajo que se ejecutan en un centro de datos microsegmentado puede contener docenas de zonas seguras independientes. Un usuario con acceso a una zona necesita autorización por separado para cada una de las demás zonas. Esto minimiza los riesgos de escalada de privilegios (cuando un usuario tiene demasiado acceso) y las amenazas internas (cuando los usuarios, a sabiendas o no, ponen en riesgo la seguridad de los datos confidenciales).

Como otro ejemplo, suponga que un contenedor tiene una vulnerabilidad. El atacante aprovecha esta vulnerabilidad mediante código malicioso y puede alterar los datos dentro del contenedor. En una red protegida solo en el perímetro, el atacante podría desplazarse lateralmente a otras partes de la red, escalar privilegios y, finalmente, extraer o alterar datos muy valiosos. En una red microsegmentada, es más que probable que el atacante no lo pueda hacer sin encontrar un punto de entrada independiente.

¿Cuáles son los otros componentes de una red Zero Trust?

Zero Trust es una filosofía y un enfoque de la seguridad de la red que asume que las amenazas ya están presentes, tanto dentro como fuera de un entorno seguro. Muchas organizaciones están adoptando una arquitectura Zero Trust, tanto para prevenir ataques como para minimizar los daños de los ataques exitosos.

Aunque la microsegmentación es un componente clave de una estrategia Zero Trust, no es el único. Otros principios de Zero Trust incluyen:

  • Supervisión y validación continuas: no se confía automáticamente en ningún dispositivo o usuario, ni siquiera en los que ya han sido autenticados. Los inicios de sesión y las conexiones se agotan periódicamente, verificando de nuevo a los usuarios y los dispositivos de manera constante.
  • Principio del privilegio mínimo: los usuarios solo tienen acceso a los sistemas y datos que son absolutamente necesarios.
  • Control de acceso a los dispositivos: el acceso a los dispositivos se controla y restringe igual que el acceso de los usuarios.
  • Autenticación multifactor (MFA): la autenticación se realiza utilizando al menos dos factores de identidad, en lugar de basarse únicamente en contraseñas, preguntas de seguridad u otros métodos basados en el conocimiento.

Para saber cómo Cloudflare ayuda a las organizaciones a implementar estos componentes, lea sobre la plataforma Cloudflare Zero Trust.