La microsegmentación crea zonas de seguridad pequeñas y específicas en una red, con lo que se limita el acceso a los recursos y se mejora la seguridad.
La microsegmentación es una estrategia de seguridad que consiste en dividir una red en segmentos pequeños y distintos para mejorar la seguridad. Cada segmento o carga de trabajo se aísla de los demás, creando zonas seguras cada vez más granulares en centros de datos y despliegues en la nube que pueden protegerse individualmente.
Al aislar las cargas de trabajo y las aplicaciones, la microsegmentación puede reducir la superficie potencial de ataque y limitar el impacto de las brechas de seguridad. Gracias a la microsegmentación, los administradores también pueden gestionar políticas de seguridad que limitan el tráfico basándose en el principio del mínimo privilegio y la confianza cero. Además, la microsegmentación puede proporcionar una mayor visibilidad del tráfico de red y permitir un mejor control del flujo de tráfico de red.
La microsegmentación ofrece numerosas ventajas a las organizaciones, entre ellas:
La microsegmentación puede plantear problemas de rendimiento y seguridad de la red si no se planifica y aplica correctamente.
Las organizaciones deben planificar cuidadosamente su estrategia de microsegmentación, incluido el número y el tamaño de los segmentos, las políticas de seguridad que deben aplicarse y el impacto en los patrones de tráfico de la red. Deben realizarse pruebas y supervisiones adecuadas para garantizar que la microsegmentación no repercute negativamente en el rendimiento de la red ni introduce brechas de seguridad.
La microsegmentación permite a las organizaciones crear zonas o segmentos seguros dentro de sus redes, con lo que se proporciona un control granular sobre el tráfico de la red y se minimiza la superficie de ataque. A continuación, cada segmento se asegura mediante políticas y controles que permiten que solo el tráfico autorizado fluya entre los segmentos.
Habitualmente, la microsegmentación se implementa utilizando redes definidas por software (SDN), que permiten crear redes virtuales independientes de la infraestructura de red física. Cada uno de los segmentos de la red se asegura mediante políticas que definen los tipos de tráfico que pueden entrar y salir del segmento. Por ejemplo, se pueden utilizar listas de control de acceso (ACL) para controlar qué usuarios o dispositivos pueden acceder a cada segmento. De igual modo, se pueden utilizar sistemas de detección y prevención de intrusiones (IDPS) para detectar y bloquear actividades malintencionadas dentro de cada segmento. El cifrado puede utilizarse para proteger los datos mientras se mueven entre los segmentos.
La microsegmentación proporciona una visibilidad y un control granulares sobre el tráfico de la red, lo que facilita la identificación del tráfico no autorizado y las posibles brechas de seguridad, así como una respuesta rápida a los incidentes de seguridad.
Existen tres tipos principales de controles de microsegmentación.
Los controles de microsegmentación basados en agentes utilizan agentes de software instalados en puntos finales, como servidores, estaciones de trabajo u otros dispositivos de red, para aplicar políticas de segmentación de red. El agente supervisa y aplica continuamente las políticas específicas de ese punto final, y puede administrarse de forma central a través de una consola de administración, lo que simplifica las políticas de configuración e implementación en toda la red de una organización.
Los controles de microsegmentación basados en red utilizan SDN para crear segmentos de red virtuales, cada uno con su propio conjunto de políticas y controles de seguridad. Estos segmentos virtuales están aislados entre sí, lo que limita el potencial de movimiento lateral por parte de los atacantes. Las políticas y los controles se aplican en la capa de red, en lugar de en el nivel de punto final. Esto permite segmentar el tráfico de red en función de una amplia gama de factores, incluida la identidad del usuario, el tipo de aplicação y la ubicación de la red.
Los controles de microsegmentación de nube nativa están diseñados específicamente para entornos de nube. Utilizan funciones de seguridad nativas de la nube, como grupos de seguridad de red y nubes privadas virtuales, para crear segmentos de red virtuales y aplicar políticas de seguridad. Estos controles aprovechan las características de seguridad nativas de la plataforma en la nube para proporcionar políticas de seguridad granulares que se aplican automáticamente en todas las instancias de la nube.
Las organizaciones pueden optar por implantar uno o varios tipos de microsegmentación en función de sus necesidades y objetivos específicos. A continuación se enumeran los tipos más comunes de microsegmentación.
Segmentación de aplicaciones
La segmentación de aplicaciones protege las aplicaciones individuales mediante la creación de políticas de seguridad que controlan el acceso a recursos específicos de la aplicación, como bases de datos, API y servidores web. Esto ayuda a evitar accesos no autorizados y violaciones de datos. Además, permite a las organizaciones aplicar controles de acceso de mínimo privilegio, garantizando que los usuarios y las aplicaciones tengan acceso solo a los recursos que necesitan para realizar sus funciones específicas.
Segmentación de niveles
La segmentación de niveles asegura diferentes niveles o capas de una pila de aplicaciones, como el nivel web, el nivel de aplicación y el nivel de base de datos, para evitar que los atacantes se desplacen lateralmente dentro de la pila de aplicaciones y accedan a datos o recursos sensibles.
Segmentación del entorno
Al proteger diferentes entornos o zonas dentro de una red, como los entornos de desarrollo, pruebas y producción, las organizaciones pueden aplicar estrictos controles de acceso a estos entornos y garantizar que los datos y recursos confidenciales solo sean accesibles para los usuarios y aplicaciones autorizados.
Segmentación de contenedores
La segmentación de contenedores protege contenedores individuales o grupos de contenedores dentro de un entorno contenerizado. De este modo se reduce la superficie de ataque y se ayuda a impedir que los atacantes se desplacen lateralmente dentro del entorno de contenedores. Sin una segmentación adecuada, los contenedores pueden acceder potencialmente a los datos y archivos de configuración de los demás, lo que puede dar lugar a vulnerabilidades de seguridad.
Prácticas recomendadas para la segmentación de contenedores
Segmentación de usuarios en la seguridad de la nube
Las cargas de trabajo son un aspecto esencial de la microsegmentación, ya que son las unidades de cálculo o procesamiento que se ejecutan en una red. Las cargas de trabajo pueden ser aplicaciones, servicios o procesos que necesitan comunicarse entre sí para funcionar correctamente. La microsegmentación proporciona un control de seguridad granular a nivel de la carga de trabajo, lo que permite a las organizaciones aislar y proteger cargas de trabajo específicas de posibles amenazas. Al segmentar las cargas de trabajo, una organización puede limitar la superficie de ataque potencial, evitar el movimiento lateral de las amenazas y aplicar políticas de seguridad en función de cada carga de trabajo.
Las cargas de trabajo pueden tener dependencias, lo que significa que tienen relaciones e interacciones con diferentes aplicações y servicios dentro de un entorno de red. Comprender las dependencias es importante para desarrollar estrategias de microsegmentación efectivas, ya que los cambios de acceso a una aplicação o servicio pueden afectar el rendimiento o la seguridad de otras aplicações y servicios. Las dependencias deben mapearse antes de implementar la microsegmentación.
La seguridad del perímetro o de la red y la microsegmentación son dos estrategias de seguridad diferentes que atienden a aspectos distintos de la seguridad de la red. La seguridad periférica proporciona una primera línea de defensa contra las amenazas externas protegiendo el perímetro exterior de una red (generalmente en la periférica) y limitando el acceso a la red desde fuentes externas. Inspecciona el tráfico «norte-sur» (de cliente a servidor) que intenta atravesar el perímetro de seguridad y detiene el tráfico malintencionado. La seguridad del perímetro suele lograrse mediante tecnologías como cortafuegos, sistemas de detección y prevención de intrusiones y VPN.
La microsegmentación se centra en la seguridad interna de una red dividiéndola en segmentos o zonas más pequeños y aplicando controles de seguridad granulares a cada segmento. Esto permite a las organizaciones controlar el tráfico lateral «este-oeste» dentro de la red y a nivel de aplicación o carga de trabajo para reducir la superficie potencial de ataque.
Tanto la segmentación de red como la microsegmentación mejoran la seguridad y el rendimiento de la red, pero son fundamentalmente diferentes. La segmentación de red tradicional (a veces llamada macrosegmentación) implica dividir una red en segmentos más grandes según la función o la ubicación. Generalmente se centra en el tráfico que viaja de norte a sur (de cliente a servidor) dentro y fuera de la red.
La microsegmentación divide una red en segmentos más pequeños y les aplica políticas de seguridad únicas, proporcionando un nivel de control más granular sobre el acceso a la red de este a oeste, con la capacidad de aplicar controles de acceso de confianza cero. La microsegmentación aplica políticas de seguridad a nivel de carga de trabajo o aplicación individual, en lugar de a nivel de red.
Las políticas de firewall son reglas que definen cómo los firewalls de una organización permiten o niegan el tráfico entre diferentes segmentos de una red o entre una red e Internet. Las políticas de firewall son las reglas que determinan cómo se permite o deniega el tráfico entre estos segmentos y capas.
Los firewalls controlan el acceso a una red filtrando el tráfico según reglas predefinidas. Si bien los firewalls se pueden usar para controlar el acceso entre segmentos, la microsegmentación divide una red en segmentos más pequeños y aplica políticas de seguridad únicas a cada segmento. Esto proporciona un nivel de control más granular sobre el acceso a la red, lo que permite a las organizaciones limitar el acceso a aplicações y servicios específicos.
Una red virtual opera dentro de una infraestructura de red física, pero utiliza software para conectar computadoras, máquinas virtuales y servidores o servidores virtuales a través de una red segura. Esto es una distinción respecto del modelo de red física tradicional, donde el hardware y los cables conectan los sistemas de red. Las redes virtuales se pueden utilizar para crear entornos aislados dentro de una red más grande, lo que permite a las organizaciones microsegmentar aplicações o servicios específicos.
Mediante la microsegmentación, las organizaciones pueden proteger mejor las aplicaciones y los datos de sus redes frente a posibles amenazas, ya que limita la superficie de ataque disponible para un atacante. Además, la microsegmentación puede proporcionar una mayor visibilidad y control sobre el tráfico de la red, lo que facilita la identificación y respuesta a los incidentes de seguridad.
F5 ofrece productos y servicios que pueden ayudar a las organizaciones a implementar y gestionar la microsegmentación y otros controles de seguridad en sus redes. Descubra cómo F5 ofrece conectividad simple y segura en nubes públicas e híbridas, centros de datos y sitios perimetrales. Descubra cómo F5 proporciona redes seguras en la capa de aplicación y aprovisionamiento automatizado de redes en la nube para una mayor eficiencia operativa.
PERFIL DE SOLUCIONES
Cortafuegos de red de alto rendimiento para centros de datos ›