La segmentación de redes es la práctica de dividir las redes en secciones más pequeñas y aisladas para ayudar a reducir el movimiento lateral y mejorar el rendimiento de la red.
Después de leer este artículo podrás:
Copiar el enlace del artículo
La segmentación de redes es la práctica de dividir una red* en secciones más pequeñas y aisladas. Estas particiones pueden crearse y asegurarse mediante hardware físico o software, cada uno de los cuales conlleva sus propios retos de implementación.
Al acordonar distintos segmentos de una red, las organizaciones pueden evitar más fácilmente el movimiento lateral, ejercer un control granular sobre el tráfico de la red y mejorar su rendimiento. Incluso pueden establecer políticas para cargas de trabajo y aplicaciones individuales, un enfoque conocido como microsegmentación.
*Una red es un grupo de ordenadores conectados entre sí.
La segmentación de redes divide una red en varias secciones, a las que se pueden aplicar distintos controles. Normalmente, este proceso se realiza utilizando uno de estos dos métodos: la segmentación física y la segmentación lógica.
La segmentación física requiere aparatos de hardware -como un enrutador, conmutadores y Firewalls - para separar una red en secciones discretas. Estos aparatos controlan el tipo de tráfico que puede entrar y salir de cada sección mediante políticas de segmentación, que pueden configurarse según criterios específicos (por ejemplo. origen del tráfico, destino, etc.).
La segmentación física (también llamada segmentación basada en el perímetro) suele ser cara y laboriosa de configurar y mantener. También funciona bajo el supuesto de que la mayoría de las organizaciones siguen manteniendo un perímetro de red físico.
Sin embargo, con la llegada de la computación en la nube, este perímetro prácticamente ha desaparecido, ya que los usuarios pueden acceder a los datos y a las aplicaciones a través de Internet, en lugar de las redes internas gestionadas por TI. Incluso las organizaciones que utilizan infraestructura local permiten a menudo a los usuarios conectarse a recursos internos desde dispositivos y software externos.
La segmentación lógica, o segmentación de red virtual, utiliza software para dividir una red en secciones más pequeñas. Estos segmentos pueden crearse mediante subredes, redes de área local virtuales (VLAN) y esquemas de direccionamiento de red.
Al igual que la segmentación física, la segmentación lógica también utiliza políticas de segmentación para restringir el flujo de tráfico que entra y sale de cada segmento de red.
Puesto que la segmentación lógica no depende de la configuración, mantenimiento y actualización de múltiples dispositivos de hardware, se considera un método más flexible, escalable y rentable de separar y proteger una red.
Cuando se aplica correctamente, la segmentación de redes puede ayudar a las organizaciones a mejorar la seguridad, el rendimiento y el cumplimiento con mayor eficacia. Algunas de las ventajas más significativas son las siguientes:
La segmentación de redes la divide en secciones más pequeñas, a las que se aplican controles y políticas de seguridad diferentes.
La microsegmentación, en cambio, es un subconjunto de la segmentación de red que permite aplicar controles aún más granulares a cargas de trabajo individuales. (Una carga de trabajo es un programa o aplicación -como un servidor, una máquina virtual o una función sin servidor- que utiliza cierta cantidad de memoria y recursos informáticos). Forma parte de un modelo de seguridad Zero Trust, en el que ningún usuario o dispositivo es de confianza por defecto.
Para comprender mejor las ventajas de seguridad de la segmentación de red frente a la microsegmentación, imagine que un rey tiene una gran suma de oro y joyas que quiere proteger. Podría poner todo su tesoro en varias cámaras secretas, cada una de las cuales solo podría abrirse utilizando una llave específica (segmentación de redes). Si un ladrón robara la llave de una cámara acorazada, podría robar el tesoro que hay en su interior, pero no podría acceder a cámaras adicionales sin robar llaves adicionales de esas salas. Del mismo modo, un atacante que vulnere una subred podrá comprometer los datos que contenga, pero no podrá pasar libremente a otra subred.
Alternativamente, el rey podría no solo distribuir su tesoro entre múltiples cámaras acorazadas, sino colocarlo en cofres cerrados con llave dentro de esas salas, y asegurarse de que cada cofre solo pudiera abrirse con su propia llave (microsegmentación). De ese modo, si un ladrón robaba la llave de uno de los cofres del tesoro, no podría abrir los cofres individuales sin procurarse llaves adicionales. Del mismo modo, en una red microsegmentada, incluso si un atacante compromete una carga de trabajo, puede que no sea capaz de comprometer (o incluso acceder) a cargas de trabajo adicionales.
Más información sobre cómo la microsegmentación ayuda a las organizaciones a alcanzar una postura de seguridad Zero Trust.