¿Qué es la microsegmentación?

La seguridad del perímetro o de la red y la microsegmentación son dos estrategias de seguridad diferentes que atienden a aspectos distintos de la seguridad de la red. La seguridad periférica proporciona una primera línea de defensa contra las amenazas externas protegiendo el perímetro exterior de una red (generalmente en la periférica) y limitando el acceso a la red desde fuentes externas. Inspecciona el tráfico «norte-sur» (de cliente a servidor) que intenta atravesar el perímetro de seguridad y detiene el tráfico malintencionado. La seguridad del perímetro suele lograrse mediante tecnologías como cortafuegos, sistemas de detección y prevención de intrusiones y VPN.

La microsegmentación se centra en la seguridad interna de una red dividiéndola en segmentos o zonas más pequeños y aplicando controles de seguridad granulares a cada segmento. Esto permite a las organizaciones controlar el tráfico lateral «este-oeste» dentro de la red y a nivel de aplicación o carga de trabajo para reducir la superficie potencial de ataque.

La microsegmentación puede plantear problemas de rendimiento y seguridad de la red si no se planifica y aplica correctamente.

• Degradación del rendimiento. Con la microsegmentación puede resultar más complejo supervisar y gestionar la red, y segmentar la red de forma demasiado limitada o aplicar demasiadas políticas de seguridad puede afectar a los patrones de tráfico de la red y limitar su rendimiento. Aplicar políticas de seguridad a cada segmento crea una sobrecarga adicional en la red, lo que puede provocar latencia y un rendimiento más lento de la red.
• Lagunas de seguridad. Aunque la microsegmentación es una potente técnica de seguridad, las políticas deben configurarse correctamente para garantizar que todo el tráfico se filtra y se permite/deniega adecuadamente. Los errores de configuración y la aplicación incoherente de las políticas pueden dar lugar a brechas de seguridad, tráfico legítimo bloqueado y vulnerabilidades potenciales.

Las organizaciones deben planificar cuidadosamente su estrategia de microsegmentación, incluido el número y el tamaño de los segmentos, las políticas de seguridad que deben aplicarse y el impacto en los patrones de tráfico de la red. Deben realizarse pruebas y supervisiones adecuadas para garantizar que la microsegmentación no repercute negativamente en el rendimiento de la red ni introduce brechas de seguridad.

La microsegmentación permite a las organizaciones crear zonas o segmentos seguros dentro de sus redes, con lo que se proporciona un control granular sobre el tráfico de la red y se minimiza la superficie de ataque. A continuación, cada segmento se asegura mediante políticas y controles que permiten que solo el tráfico autorizado fluya entre los segmentos.

Habitualmente, la microsegmentación se implementa utilizando redes definidas por software (SDN), que permiten crear redes virtuales independientes de la infraestructura de red física. Cada uno de los segmentos de la red se asegura mediante políticas que definen los tipos de tráfico que pueden entrar y salir del segmento. Por ejemplo, se pueden utilizar listas de control de acceso (ACL) para controlar qué usuarios o dispositivos pueden acceder a cada segmento. De igual modo, se pueden utilizar sistemas de detección y prevención de intrusiones (IDPS) para detectar y bloquear actividades malintencionadas dentro de cada segmento. El cifrado puede utilizarse para proteger los datos mientras se mueven entre los segmentos.

La microsegmentación proporciona una visibilidad y un control granulares sobre el tráfico de la red, lo que facilita la identificación del tráfico no autorizado y las posibles brechas de seguridad, así como una respuesta rápida a los incidentes de seguridad.

Existen tres tipos principales de controles de microsegmentación.

Los controles de microsegmentación basados en agentes utilizan agentes de software instalados en endpoints, como servidores, estaciones de trabajo u otros dispositivos de red, para hacer cumplir las políticas de segmentación de la red. El agente supervisa y aplica continuamente las políticas específicas de ese punto final, y puede gestionarse de forma centralizada a través de una consola de gestión, lo que simplifica las políticas de configuración y despliegue en toda la red de una organización.

Los controles de microsegmentación basados en la red utilizan la SDN para crear segmentos de red virtuales, cada uno con su propio conjunto de políticas y controles de seguridad. Estos segmentos virtuales están aislados entre sí, lo que limita el potencial de movimiento lateral de los atacantes. Las políticas y los controles se aplican en la capa de red, en lugar de en el nivel de punto final. Esto permite segmentar el tráfico de red en función de una gran variedad de factores, como la identidad del usuario, el tipo de aplicación y la ubicación de la red.

Los controles de microsegmentación nativos de la nube están diseñados específicamente para entornos de nube. Utilizan funciones de seguridad nativas de la nube, como grupos de seguridad de red y nubes privadas virtuales para crear segmentos de red virtuales y aplicar políticas de seguridad. Estos controles se sirven de las funciones de seguridad nativas de la plataforma en nube para proporcionar políticas de seguridad granulares que se aplican automáticamente en todas las instancias en nube.

Las organizaciones pueden optar por implantar uno o varios tipos de microsegmentación en función de sus necesidades y objetivos específicos. A continuación se enumeran los tipos más comunes de microsegmentación.

Segmentación de aplicaciones

La segmentación de aplicaciones protege las aplicaciones individuales mediante la creación de políticas de seguridad que controlan el acceso a recursos específicos de la aplicación, como bases de datos, API y servidores web. Esto ayuda a evitar accesos no autorizados y violaciones de datos. Además, permite a las organizaciones aplicar controles de acceso de mínimo privilegio, garantizando que los usuarios y las aplicaciones tengan acceso solo a los recursos que necesitan para realizar sus funciones específicas.

Segmentación de niveles

La segmentación de niveles asegura diferentes niveles o capas de una pila de aplicaciones, como el nivel web, el nivel de aplicación y el nivel de base de datos, para evitar que los atacantes se desplacen lateralmente dentro de la pila de aplicaciones y accedan a datos o recursos sensibles.

Segmentación del entorno

Al proteger diferentes entornos o zonas dentro de una red, como los entornos de desarrollo, pruebas y producción, las organizaciones pueden aplicar estrictos controles de acceso a estos entornos y garantizar que los datos y recursos confidenciales solo sean accesibles para los usuarios y aplicaciones autorizados.

Segmentación de contenedores

La segmentación de contenedores protege contenedores individuales o grupos de contenedores dentro de un entorno contenerizado. De este modo se reduce la superficie de ataque y se ayuda a impedir que los atacantes se desplacen lateralmente dentro del entorno de contenedores. Sin una segmentación adecuada, los contenedores pueden acceder potencialmente a los datos y archivos de configuración de los demás, lo que puede dar lugar a vulnerabilidades de seguridad.

Prácticas recomendadas para la segmentación de contenedores

• Aislamiento de contenedores. Utilice tecnologías como Docker o Kubernetes para garantizar que los contenedores estén aislados del sistema anfitrión y de otros contenedores en el mismo sistema. Esto impide que los contenedores accedan a recursos fuera de su ámbito designado.
• Segmentación de la red. Utilice la segmentación de la red para limitar la comunicación entre los contenedores y otros recursos de la red. Esto consiste en crear redes separadas para cada contenedor y configurar reglas de cortafuegos para permitir o denegar el tráfico entre contenedores y garantizar que solo se permite la comunicación autorizada.
• Control de acceso basado en roles. Implante el control de acceso basado en roles (RBAC) para garantizar que solo los usuarios autorizados puedan acceder y modificar los contenedores y los recursos relacionados. Para definir y hacer cumplir los roles y permisos de los usuarios, puede recurrir a marcos RBAC como Kubernetes RBAC.
• Firma de imágenes. Utilice la firma de imágenes para asegurarse de que solo se utilizan imágenes de confianza para crear contenedores. Las firmas digitales pueden ayudar a evitar que las imágenes de los contenedores sean manipuladas o alteradas.
• Protección en tiempo de ejecución. Utilice la protección en tiempo de ejecución para detectar y responder a las amenazas a la seguridad durante el tiempo de ejecución de los contenedores. Herramientas como los agentes de seguridad en tiempo de ejecución y los escáneres de vulnerabilidades pueden supervisar los contenedores en busca de signos de compromiso y tomar las medidas adecuadas para mitigar los riesgos.

Segmentación de usuarios en la seguridad de la nube

• RBAC asigna usuarios a roles o grupos específicos en función de sus responsabilidades y necesidades de acceso. Cada función está asociada a un conjunto de permisos y controles de acceso apropiados para esa función. RBAC garantiza que los usuarios solo puedan acceder a los recursos y datos que necesitan para realizar su trabajo.
• La autenticación multifactor (AMF) requiere que los usuarios proporcionen dos o más formas de autenticación antes de que se les conceda acceso a un sistema o aplicación. Puede incluir una contraseña, un token de seguridad, un código de acceso de un solo uso o datos biométricos. La MFA es una forma eficaz de impedir el acceso no autorizado a los recursos de la nube, sobre todo cuando se combina con la RBAC.
• La supervisión continua consiste en analizar periódicamente la actividad de los usuarios y los registros del sistema para detectar comportamientos sospechosos o posibles amenazas a la seguridad. Puede ayudar a identificar comportamientos anómalos alertando a los equipos de seguridad de actividades que se salen de los patrones de acceso o comportamientos normales de un usuario.
• La separación de funciones garantiza que ningún usuario tenga el control total de un proceso o sistema crítico. Segmentar a los usuarios en diferentes funciones y responsabilidades reduce el riesgo de fraude o errores y garantiza que las operaciones sensibles sean realizadas por varios empleados.
• La revisión periódica de los accesos implica la evaluación rutinaria del acceso de los usuarios a los sistemas y aplicaciones para garantizar que solo tienen acceso a los recursos que necesitan. Las revisiones de los accesos pueden ayudar a identificar y eliminar los derechos de acceso innecesarios, reduciendo el riesgo de accesos no autorizados.

La microsegmentación ofrece numerosas ventajas a las organizaciones, entre ellas:

• Reducción de la superficie de ataque: al dividir la red en segmentos más pequeños, la microsegmentación reduce la superficie de ataque y dificulta el acceso de los atacantes a los activos críticos.
• Contención de brechas mejorada: si se produce una brecha, la microsegmentación puede ayudar a contener el impacto del ataque limitando la capacidad del atacante para moverse por la red. Al aislar las zonas afectadas de la red, con la microsegmentación se puede evitar la propagación de programas maliciosos u otras actividades malintencionadas, reduciendo el daño potencial causado por la brecha.
• Cumplimiento normativo más estricto: muchos marcos normativos exigen que las organizaciones apliquen fuertes controles de acceso y medidas de seguridad para proteger los datos confidenciales. Al garantizar que solo los usuarios y aplicaciones autorizados puedan acceder a los recursos sensibles, la microsegmentación puede ayudar a las organizaciones a demostrar el cumplimiento de las normas reglamentarias.
• Gestión simplificada de políticas: al permitir que las políticas de seguridad se apliquen a segmentos específicos de la red, la microsegmentación puede simplificar la gestión de políticas. Esto puede resultar especialmente útil en redes grandes o complejas, en las que la gestión de las políticas para cada dispositivo o usuario individual puede suponer un reto.

P: ¿En qué se diferencia la segmentación de red de la microsegmentación?

R: Aunque la segmentación de red y la microsegmentación mejoran la seguridad y el rendimiento de la red, son diferentes. La segmentación de red tradicional (a veces denominada macrosegmentación) consiste en dividir una red en segmentos más grandes basados en la función o la ubicación. Normalmente se centra en el tráfico que viaja «norte-sur» (de cliente a servidor) dentro y fuera de la red.

La microsegmentación divide una red en segmentos más pequeños y les aplica políticas de seguridad únicas, proporcionando un nivel de control más granular sobre el acceso a la red de este a oeste, con la capacidad de aplicar controles de acceso de confianza cero. La microsegmentación aplica políticas de seguridad a nivel de carga de trabajo o aplicación individual, en lugar de a nivel de red.

P: ¿Qué es la dependencia de las aplicaciones?

R: La dependencia de las aplicaciones se refiere a las relaciones e interacciones entre diferentes aplicaciones y servicios dentro de un entorno en red. Comprender las dependencias de las aplicaciones es importante para que las estrategias de microsegmentación sean eficaces, ya que los cambios de acceso a una aplicación o servicio pueden repercutir en el rendimiento o la seguridad de otras aplicaciones y servicios. Las dependencias de las aplicaciones deben mapearse antes de implementar la microsegmentación.

P: ¿Qué son las políticas de cortafuegos?

R: Las políticas de cortafuegos son las reglas que definen cómo los cortafuegos de una organización permiten o deniegan el tráfico entre los diferentes segmentos de una red o entre una red e Internet. Las políticas de cortafuegos son las reglas que determinan cómo se permite o deniega el tráfico entre estos segmentos y capas.

P: ¿En qué se diferencian los cortafuegos de la microsegmentación?

R: Los cortafuegos controlan el acceso a una red filtrando el tráfico en función de reglas predefinidas. Mientras que los cortafuegos pueden utilizarse para controlar el acceso entre segmentos, la microsegmentación divide una red en segmentos más pequeños y aplica políticas de seguridad únicas a cada segmento. Esto proporciona un nivel de control más granular sobre el acceso a la red, permitiendo a las organizaciones limitar el acceso a aplicaciones y servicios específicos.

P: ¿Qué es una red virtual?

R: Una red virtual funciona dentro de una infraestructura de red física pero utiliza software para conectar ordenadores, máquinas virtuales y servidores o servidores virtuales a través de una red segura. Esto se diferencia del modelo de red física tradicional, en el que el hardware y los cables conectan los sistemas de red. Las redes virtuales sirven para crear entornos aislados dentro de una red mayor, lo que permite a las organizaciones microsegmentar aplicaciones o servicios específicos.

Mediante la microsegmentación, las organizaciones pueden proteger mejor las aplicaciones y los datos de sus redes frente a posibles amenazas, ya que limita la superficie de ataque disponible para un atacante. Además, la microsegmentación puede proporcionar una mayor visibilidad y control sobre el tráfico de la red, lo que facilita la identificación y respuesta a los incidentes de seguridad.

F5 ofrece productos y servicios que pueden ayudar a las organizaciones a implementar y gestionar la microsegmentación y otros controles de seguridad en sus redes. Descubra cómo F5 ofrece una conectividad sencilla y segura en nubes públicas e híbridas, centros de datos y ubicaciones periféricas. Explore cómo F5 proporciona redes seguras en la capa de aplicaciones y aprovisionamiento automatizado de redes en la nube para mejorar el grado de rendimiento operativo.