La microsegmentación es una técnica para dividir una red en segmentos separados en la capa de aplicación, con el fin de aumentar la seguridad y reducir el impacto de una filtración.
Después de leer este artículo podrás:
Contenido relacionado
Seguridad Zero Trust
¿Qué es ZTNA?
Principio de mínimo privilegio
Seguridad perimetral
¿Qué es una amenaza interna?
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La microsegmentación divide una red en secciones pequeñas y discretas, cada una de las cuales tiene sus propias políticas de seguridad y a las que se accede por separado. El objetivo de la microsegmentación es aumentar la seguridad de la red confirmando amenazas y entradas en el segmento comprometido, sin afectar al resto de la red.
Los grandes barcos suelen estar divididos en compartimentos bajo la cubierta, cada uno de los cuales es estanco y pueden sellarse con respecto a los demás. De esta forma, aunque una fuga llene de agua un compartimento, el resto permanece seco y el barco se mantiene a flote. El concepto de microsegmentación de la red es similar: un segmento de la red puede verse comprometido, pero se puede aislar fácilmente del resto de la red.
La microsegmentación es un componente clave de una arquitectura Zero Trust. Una arquitectura de este tipo supone que cualquier tráfico que entre, salga o esté dentro de una red puede ser una amenaza. La microsegmentación permite aislar esas amenazas antes de que se propaguen, evitando el movimiento lateral.
Las organizaciones pueden microsegmentar, tanto los centros de datos locales como los despliegues de informática en la nube — cualquier lugar donde se ejecuten las cargas de trabajo. Los servidores, las máquinas virtuales, los contenedores y los microservicios pueden segmentarse de este modo, cada uno con su propia política de seguridad.
La microsegmentación puede producirse a niveles extremadamente granulares en una red, hasta aislar cargas de trabajo individuales (en lugar de aislar aplicaciones, dispositivos o redes), siendo una "carga de trabajo" cualquier programa o aplicación que utilice cierta cantidad de memoria y CPU.
Las técnicas para microsegmentar una red cambian ligeramente. Sin embargo, casi siempre aplican algunos principios clave:
Las soluciones de microsegmentación conocen las aplicaciones que envían el tráfico a la red. La microsegmentación ofrece contexto sobre qué aplicaciones se comunican entre sí y cómo fluye el tráfico de red entre ellas. Este es uno de los aspectos que distinguen la microsegmentación de la división de una red mediante redes de área local (VLAN) u otro método de capa de red.
La microsegmentación se configura mediante el software. La segmentación es virtual, por lo que los administradores no necesitan ajustar enrutadores, conmutadores u otros equipos de red para implantarla.
La mayoría de las soluciones de microsegmentación utilizan firewalls de nueva generación (NGFW) para separar sus segmentos. Los NGFW, a diferencia de los firewalls tradicionales, tienen conocimiento de la aplicación, lo que les permite analizar el tráfico de red en la capa de aplicación, no solo en las capas de red y transporte.
Además, los firewalls basados en la nube se pueden utilizar para microsegmentar los despliegues de computación en nube. Algunos proveedores de alojamiento en la nube ofrecen esta posibilidad al usar sus servicios de firewalls integrados.
Si lo prefiere, los administradores pueden personalizar las políticas de seguridad para cada carga de trabajo. Una carga de trabajo puede permitir un acceso amplio, mientras que otra puede estar muy restringida, dependiendo de la importancia de la carga de trabajo en cuestión y de los datos que se procesen. Una carga de trabajo puede aceptar consultas de la API de una serie de puntos finales; otra solo posiblemente solo se comunique con un servidor específico.
El registro de red típico proporciona información de la capa de red y transporte, tales como puertos y direcciones IP. La microsegmentación también proporciona contexto de la aplicación y carga de trabajo. Al supervisar todo el tráfico de red y añadir el contexto de las aplicaciones, las organizaciones pueden aplicar de forma coherente políticas de segmentación y seguridad en todas sus redes. Esto también proporciona la información necesaria para adaptar las políticas de seguridad según sea necesario.
La microsegmentación impide que las amenazas se propaguen por toda la red, lo que limita los daños de un ciberataque. El acceso de los atacantes es limitado y no pueden alcanzar los datos confidenciales.
Por ejemplo, una red con cargas de trabajo que se ejecutan en un centro de datos microsegmentado puede contener docenas de zonas seguras independientes. Un usuario con acceso a una zona necesita autorización por separado para cada una de las demás zonas. Esto minimiza los riesgos de escalada de privilegios (cuando un usuario tiene demasiado acceso) y las amenazas internas (cuando los usuarios, a sabiendas o no, ponen en riesgo la seguridad de los datos confidenciales).
Como otro ejemplo, suponga que un contenedor tiene una vulnerabilidad. El atacante aprovecha esta vulnerabilidad mediante código malicioso y puede alterar los datos dentro del contenedor. En una red protegida solo en el perímetro, el atacante podría desplazarse lateralmente a otras partes de la red, escalar privilegios y, finalmente, extraer o alterar datos muy valiosos. En una red microsegmentada, es más que probable que el atacante no lo pueda hacer sin encontrar un punto de entrada independiente.
Zero Trust es una filosofía y un enfoque de la seguridad de la red que asume que las amenazas ya están presentes, tanto dentro como fuera de un entorno seguro. Muchas organizaciones están adoptando una arquitectura Zero Trust, tanto para prevenir ataques como para minimizar los daños de los ataques exitosos.
Aunque la microsegmentación es un componente clave de una estrategia Zero Trust, no es el único. Otros principios de Zero Trust incluyen:
Para saber cómo Cloudflare ayuda a las organizaciones a implementar estos componentes, lea sobre la plataforma Cloudflare Zero Trust.