Llegamos a ustedes gracias a:



Reportajes y análisis

Cómo difieren las arquitecturas de microsegmentación

[08/06/2020] A pesar de una serie de mejoras en los últimos años, las empresas ya no pueden confiar solo en las defensas perimetrales para mantener fuera a los atacantes de la red. La microsegmentación aborda directamente el desafío de los movimientos laterales no autorizados, dividiendo los entornos informáticos en compartimentos controlables, lo que permite a los adoptantes aislar de forma segura las cargas de trabajo entre sí, mientras hace que la protección de la red sea más granular. A medida que los atacantes cibernéticos siguen buscando nuevas formas de esquivar las medidas de seguridad y de desplazarse por los entornos de TI, la microsegmentación se está convirtiendo en tendencia.

Cómo funciona la microsegmentación

No deje que el nombre lo engañe. La microsegmentación representa más que un progreso gradual desde la segmentación de la red centrada en el rendimiento y la gestión. La microsegmentación está diseñada específicamente para abordar los problemas críticos de protección de la red, reduciendo así el riesgo y adaptando la seguridad a las demandas de los entornos de TI cada vez más dinámicos.

Los expertos en seguridad de la información han analizado la aplicación de diversos tipos de tecnologías de confianza cero durante casi dos décadas. "La microsegmentación es la implementación más completa/que resuelve la vida, con herramientas de automatización y orquestación, así como interfaces de usuario sofisticadas que ofrecen informes y gráficos detallados, señala Trevor Pott, jefe de seguridad técnica de Juniper Networks. "Ya no hay ninguna excusa para no hacer lo que todos deberíamos haber hecho hace 20 años", añade.

La microsegmentación distribuye la aplicación de la seguridad a cada sistema individual con una política única y central. "Este avance permite la aplicación de políticas granulares en toda la red de una organización, no solo en el perímetro", explica Tom Cross, CTO del proveedor de seguridad de redes OPAQ. "Este [enfoque] es necesario porque la seguridad del perímetro a veces falla, y porque la adopción de la nube está causando que los perímetros de la red se vuelvan más porosos".

La microsegmentación sigue basándose en las técnicas tradicionales de ciberseguridad, tales como las redes de control de acceso. "Lo que diferencia a la microsegmentación es que estos enfoques de seguridad son aplicados a las cargas de trabajo individuales dentro de la red", anota Brad Willman, director de TI y experto en seguridad de redes del proveedor de servicios de TI, Entrust Solutions.

Muchas organizaciones se sienten atraídas por la microsegmentación debido a su estructura compartimentada. "La microsegmentación es una estrategia que puede no solo prevenir las violaciones de los datos, sino también reducir significativamente el daño si se produce una, limitándola a un segmento muy pequeño de la red", indica Andrew Tyler, ingeniero consultor senior de la empresa de consultoría de TI, Kelser.

Diferentes enfoques de microsegmentación

Los atacantes sofisticados siguen un proceso de múltiples pasos cuando intentan comprometer los recursos de una organización, razón por la cual los defensores de la infraestructura deberían pensar en instituir controles en cada paso, señala Cross. "La lateralización interna entre los sistemas ha desempeñado un papel clave en los últimos incidentes, con herramientas como Mimikatz y Bloodhound que proporcionan capacidades sofisticadas a los atacantes", indica. "La microsegmentación puede permitir a los defensores interrumpir estas técnicas bloqueando las vías innecesarias para que los ataques se propaguen dentro de las redes internas".

Es importante recordar que la microsegmentación no es solo una tecnología orientada al centro de datos. "Muchos incidentes de seguridad comienzan en las estaciones de trabajo de los usuarios finales, porque los empleados hacen clic en los enlaces de phishing o sus sistemas se ven comprometidos por otros medios", indica Cross. Desde ese punto inicial de infección, los atacantes pueden propagarse a través de la red de una organización. "Una plataforma de microsegmentación debería ser capaz de ejecutar las políticas en el centro de datos, en las cargas de trabajo en la nube y en las estaciones de trabajo de los usuarios finales desde una única consola", explica. "También debería ser capaz de detener la propagación de los ataques en cualquiera de estos entornos".

Al igual que con muchas tecnologías emergentes, los proveedores se están acercando a la microsegmentación desde varias direcciones. Tres tipos tradicionales de microsegmentación son la host-agent, la de hipervisor y la de red.

Segmentación host-agent. Este tipo de microsegmentación se basa en agentes posicionados en los puntos finales. Todos los flujos de datos son visibles y son transmitidos a un gestor central, un enfoque que puede ayudar a reducir el dolor de descubrir protocolos desafiantes o tráfico cifrado. La tecnología de host-agent es considerada generalmente como un enfoque de microsegmentación muy eficaz. "Como los dispositivos infectados son hosts, una buena estrategia de host puede impedir que los problemas entren a la red", señala David Johnson, CTO de Mulytic Labs, una empresa de desarrollo de software y startup de servicios de TI. Sin embargo, requiere que todos los hosts instalen el software, "abriendo las preocupaciones del sistema operativo heredado y de los sistemas más antiguos".

Segmentación del hipervisor. Con este tipo de microsegmentación, todo el tráfico fluye a través de un hipervisor. "La capacidad de monitorear el tráfico en este significa que se pueden utilizar firewalls preexistentes, y mover las políticas a nuevos hipervisores mientras las instancias se mueven durante las operaciones diarias", explica Johnson. Un inconveniente es que este tipo de segmentación no suele funcionar en entornos de nube o, con contenedores o metal desnudo. "Es útil en pocos casos, pero en aquellos en los que funciona es muy ventajosa," aconseja.

Segmentación de redes. Este enfoque es básicamente una extensión del statu quo, con una segmentación basada en listas de control de acceso (ACL) y otros métodos probados. "Esta es, de lejos, la [ruta] más fácil, ya que la gran mayoría de profesionales de la red están familiarizados con este enfoque", anota Johnson. "Sin embargo, los grandes segmentos de red pueden frustrar el propósito de la microsegmentación y ser complejos y costosos de administrar en grandes centros de datos".

Cuando se compra una herramienta de microsegmentación, es importante recordar que no todas las ofertas encajan perfectamente en ninguna de las tres categorías básicas. Muchos vendedores están explorando métodos nuevos y modificados para proporcionar microsegmentación de red resistente, como el aprendizaje automático (ML, por sus siglas en inglés) y el monitoreo de la inteligencia artificial (IA). Antes de comprometerse con cualquier oferta de microsegmentación, asegúrese de preguntarle al proveedor sobre su enfoque particular a la tecnología, y si hay algún requisito único de compatibilidad u operación que deba considerarse.

También hay aspectos negativos

Por todos sus beneficios, la microsegmentación también presenta varios desafíos operativos y de adopción. Los despliegues iniciales pueden ser particularmente problemáticos. "La implementación de la microsegmentación puede quebrar las cosas", advierte Tyler. "Dependiendo de las aplicaciones en uso, puede encontrarse con funciones comerciales clave que no soportan o no pueden soportar la microsegmentación".

Otro posible obstáculo es la definición de políticas que abordan las necesidades de cada sistema interno. Este puede ser un proceso complicado y trabajoso para algunos adoptantes, ya que pueden surgir batallas internas a medida que se sopesan y definen las políticas y sus implicaciones. "Hay un retroceso constante en la mayoría de las organizaciones en cuanto a las excepciones a cualquier control interno", observa Cross.

Cuando existen activos de alta y baja sensibilidad dentro del mismo límite de seguridad, es importante comprender qué puertos y protocolos se necesitarán para que se produzca una comunicación adecuada en la red, y en qué dirección. La aplicación errónea puede dar lugar a interrupciones involuntarias de la red. "También hay que tener en cuenta que la implementación de los cambios necesarios puede requerir un tiempo de inactividad, por lo que una planificación cuidadosa es vital", sugiere Damon Small, director técnico de NCC Group North America, donde realiza consultorías sobre cuestiones de defensa de infraestructuras críticas.

Los entornos que ejecutan sistemas operativos populares como Linux, Windows y MacOS son ampliamente soportados por la tecnología de microsegmentación. Sin embargo, no ocurre lo mismo con las organizaciones que usan mainframes u otras tecnologías legadas. "[Estas] probablemente descubran que el software de microsegmentación no está disponible para esas plataformas", advierte Cross.

Introducción a la microsegmentación

Para implementar con éxito la microsegmentación, es necesario tener una comprensión detallada de la arquitectura de la red y, de los sistemas y aplicaciones soportados. "Concretamente, la organización debe saber cómo se comunican los sistemas entre sí para funcionar correctamente", explica Small. "Este nivel de detalle podría requerir trabajar estrechamente con los proveedores, o realizar un análisis detallado para determinar dónde deben colocarse los microsegmentos y cómo hacerlo para que no cause interrupciones en la producción".

La mejor manera de comenzar una iniciativa de microsegmentación es con un plan detallado de gestión de activos. "No se pueden tomar decisiones racionales sobre cómo segmentar la red, hasta que se sepa lo que hay en ella y, se hayan ideado algunos medios para clasificar y categorizar esos sistemas", indica Pott.

Una vez que se hayan abordado y resuelto los problemas de gestión de descubrimiento, clasificación y automatización de activos, el entorno de TI estará listo para admitir la microsegmentación. "Este es el momento de ir a comprar a los proveedores, y hacer muchas preguntas puntuales sobre el costo total de la propiedad, las capacidades de integración, la extensibilidad y el escalado", aconseja Pott.

Una plataforma de microsegmentación es tan buena como las políticas que aplica, observa Cross. "Es importante que los usuarios piensen en el proceso que los atacantes seguirán para comprometer su entorno, y que se aseguren de que sus políticas cierren las vías más valiosas", señala. "Unas pocas y simples reglas que limiten la disponibilidad de Windows Networking, los servicios RDP y el protocolo SSH en una red interna específicamente a los usuarios que los necesiten pueden proteger contra las técnicas de ataque populares sin interferir con los procesos de negocio".