¿Qué es la segmentación de redes?

La segmentación de redes es la práctica de dividir las redes en secciones más pequeñas y aisladas para ayudar a reducir el movimiento lateral y mejorar el rendimiento de la red.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Define "segmentación de redes
  • Comprender las ventajas de seguridad y rendimiento de la segmentación de redes
  • Contrasta la segmentación de redes frente a la microsegmentación

Copiar el enlace del artículo

¿Qué es la segmentación de redes?

La segmentación de redes es la práctica de dividir una red* en secciones más pequeñas y aisladas. Estas particiones pueden crearse y asegurarse mediante hardware físico o software, cada uno de los cuales conlleva sus propios retos de implementación.

Al acordonar distintos segmentos de una red, las organizaciones pueden evitar más fácilmente el movimiento lateral, ejercer un control granular sobre el tráfico de la red y mejorar su rendimiento. Incluso pueden establecer políticas para cargas de trabajo y aplicaciones individuales, un enfoque conocido como microsegmentación.

*Una red es un grupo de ordenadores conectados entre sí.

¿Cómo funciona la segmentación de redes?

La segmentación de redes divide una red en varias secciones, a las que se pueden aplicar distintos controles. Normalmente, este proceso se realiza utilizando uno de estos dos métodos: la segmentación física y la segmentación lógica.

Segmentación física

La segmentación física requiere aparatos de hardware -como un enrutador, conmutadores y Firewalls - para separar una red en secciones discretas. Estos aparatos controlan el tipo de tráfico que puede entrar y salir de cada sección mediante políticas de segmentación, que pueden configurarse según criterios específicos (por ejemplo. origen del tráfico, destino, etc.).

La segmentación física (también llamada segmentación basada en el perímetro) suele ser cara y laboriosa de configurar y mantener. También funciona bajo el supuesto de que la mayoría de las organizaciones siguen manteniendo un perímetro de red físico.

Sin embargo, con la llegada de la computación en la nube, este perímetro prácticamente ha desaparecido, ya que los usuarios pueden acceder a los datos y a las aplicaciones a través de Internet, en lugar de las redes internas gestionadas por TI. Incluso las organizaciones que utilizan infraestructura local permiten a menudo a los usuarios conectarse a recursos internos desde dispositivos y software externos.

Segmentación lógica

La segmentación lógica, o segmentación de red virtual, utiliza software para dividir una red en secciones más pequeñas. Estos segmentos pueden crearse mediante subredes, redes de área local virtuales (VLAN) y esquemas de direccionamiento de red.

  • Las subredes ayudan a dividir una red en segmentos más pequeños, permitiendo así que el tráfico de red recorra una distancia más corta sin pasar por enrutadores innecesarios para llegar a su destino
  • Las VLAN dividen el tráfico de una única red física en dos redes, sin necesidad de disponer de varias conexiones de enrutador o de Internet para dirigir el tráfico de la red a diferentes destinos
  • Los esquemas de direccionamiento de red crean segmentos de red dividiendo los recursos de red entre varias subredes de capa 3.

Al igual que la segmentación física, la segmentación lógica también utiliza políticas de segmentación para restringir el flujo de tráfico que entra y sale de cada segmento de red.

Puesto que la segmentación lógica no depende de la configuración, mantenimiento y actualización de múltiples dispositivos de hardware, se considera un método más flexible, escalable y rentable de separar y proteger una red.

¿Cuáles son las ventajas de la segmentación de redes?

Cuando se aplica correctamente, la segmentación de redes puede ayudar a las organizaciones a mejorar la seguridad, el rendimiento y el cumplimiento con mayor eficacia. Algunas de las ventajas más significativas son las siguientes:

  • Reducción del movimiento lateral: una vez que los atacantes han penetrado en una red, no pueden moverse libremente por esta, ya que solo han penetrado en un segmento concreto de la red. Esto, a su vez, ayuda a minimizar la superficie de ataque de una organización.
  • Remediar la actividad maliciosa: cuando un ataque o actividad sospechosa se limita a un área específica, los equipos de TI pueden detectarlo y remediarlo con mayor eficacia, sin afectar al resto de la red.
  • Aumentar el rendimiento: restringir ciertos tipos de tráfico a zonas específicas de la red puede ayudar a reducir la congestión general de la red y optimizar el rendimiento.
  • Garantizar el cumplimiento: la segmentación puede aislar áreas de la red que están sujetas a normas de cumplimiento, facilitando su actualización cuando sea necesario.

Segmentación de redes vs. microsegmentación

La segmentación de redes la divide en secciones más pequeñas, a las que se aplican controles y políticas de seguridad diferentes.

La microsegmentación, en cambio, es un subconjunto de la segmentación de red que permite aplicar controles aún más granulares a cargas de trabajo individuales. (Una carga de trabajo es un programa o aplicación -como un servidor, una máquina virtual o una función sin servidor- que utiliza cierta cantidad de memoria y recursos informáticos). Forma parte de un modelo de seguridad Zero Trust, en el que ningún usuario o dispositivo es de confianza por defecto.

Para comprender mejor las ventajas de seguridad de la segmentación de red frente a la microsegmentación, imagine que un rey tiene una gran suma de oro y joyas que quiere proteger. Podría poner todo su tesoro en varias cámaras secretas, cada una de las cuales solo podría abrirse utilizando una llave específica (segmentación de redes). Si un ladrón robara la llave de una cámara acorazada, podría robar el tesoro que hay en su interior, pero no podría acceder a cámaras adicionales sin robar llaves adicionales de esas salas. Del mismo modo, un atacante que vulnere una subred podrá comprometer los datos que contenga, pero no podrá pasar libremente a otra subred.

Alternativamente, el rey podría no solo distribuir su tesoro entre múltiples cámaras acorazadas, sino colocarlo en cofres cerrados con llave dentro de esas salas, y asegurarse de que cada cofre solo pudiera abrirse con su propia llave (microsegmentación). De ese modo, si un ladrón robaba la llave de uno de los cofres del tesoro, no podría abrir los cofres individuales sin procurarse llaves adicionales. Del mismo modo, en una red microsegmentada, incluso si un atacante compromete una carga de trabajo, puede que no sea capaz de comprometer (o incluso acceder) a cargas de trabajo adicionales.

Más información sobre cómo la microsegmentación ayuda a las organizaciones a alcanzar una postura de seguridad Zero Trust.