Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Reenfoque en la seguridad en la nube: cómo la segmentación de confianza cero protege la nube

Illumio Editorial
,
October 21, 2022
5 min. lectura

Continuamos nuestra serie Mes de Concientización sobre Ciberseguridad dirigiendo nuestra atención a la nube pública.

A primera vista, proteger los activos en la nube conceptualmente no es diferente de asegurarlos en el data center. Identidad, control de acceso, conexiones seguras: todo eso es lo mismo.

Pero cuando no posee la capa de infraestructura, y muchos de los servicios son solo una llamada API a una dirección DNS, termina por no ser en absoluto lo mismo.

Es difícil saber exactamente qué conexiones se necesitan a qué direcciones IP. Los firewalls nativos de la nube tienen interfaces básicas basadas en texto que dependen completamente de direcciones IP y procesos manuales.

Se pueden automatizar seguro, pero ¿quién escribe ese código? ¿El ya ocupado equipo de DevOps? ¿No es eso otro esfuerzo manual? Y ese esfuerzo termina desacoplado de las políticas de acceso en el data center, lo que requiere otra capa de traducción y esfuerzo manual.

Afortunadamente, hay una mejor manera de proteger la nube: Segmentación de confianza cero.

Hay 4 formas principales en que la Segmentación de Confianza Cero asegura la nube de la propagación de ciberataques.

Obtenga lo más destacado de Nathanael Iversen, el principal evangelista de Illumio, en su video:

 
Y sigue leyendo para aprender más.

1. Visibilidad total de los flujos de comunicación de red

Cuando muchos de los servicios, aplicaciones y almacenes de datos utilizados en la nube están a solo una llamada de la API, el análisis de flujo de red tradicional a menudo no produce una comprensión utilizable de la conectividad en la nube.

La segmentación de confianza cero comienza con una conexión directa al inventario del sistema en la nube y a las tablas de conexión. Esto significa que cualquier cosa con una interfaz de red elástica (ENI) se descubre automáticamente, sus metadatos se ingieren y se utilizan para nombrar, y se coloca en un mapa de dependencia de aplicaciones.

Como resultado, el mapa de dependencia de aplicaciones no se basa en el cambio constante de direcciones IP, sino en las convenciones sobre nombres y objetos que su organización ya ha invertido tiempo y esfuerzo en crear.

Este mapa proporciona una cobertura integral desde instancias EC2 hasta Kubernetes y objetos en contenedores, servicios SaaS, aplicaciones en la nube y corredores de servicio, casi todos los flujos de comunicación.

La información está perfectamente organizada por aplicación y servicio y se nombra para que todos en la nube, infraestructura y equipos de seguridad puedan leer el mapa. Esta vista muestra la topología de conexión verdadera, independiente de las VPC, subredes y zonas.

2. Política de segmentación automatizada y optimizada

Una vez que entendemos claramente cómo se conectan las cosas con el mapa de dependencia de aplicaciones, es natural preguntar qué tan bien están protegidas las conexiones. ¿Cuál es el riesgo de que alguno de estos servicios pueda ser accedido indebidamente o interrumpido?

La Segmentación de Confianza Cero incluye la automatización y optimización de políticas, de modo que verdadero resultado de confianza cero, mínimo privilegio es fácil de lograr y mantener.

El mismo mapa de dependencia de aplicaciones que informa al equipo de seguridad sobre los flujos de comunicación también puede informar al código de automatización de políticas que:

  • Analiza las conexiones necesarias
  • Compara esas conexiones con la política actual de VPC
  • Luego hace recomendaciones sobre cómo optimizar y endurecer la política de seguridad para que se permitan las conexiones necesarias y se deniegue todo lo demás.

La recomendación de políticas resultante se puede implementar directamente en los firewalls nativos de la nube, sin ningún agente.

Debido a que la Segmentación de Confianza Cero escribe en el firewall nativo, puede controlar el tráfico, independientemente del destino. EC2 a EC2? Sí. ¿EC2 a cluster de Kubernetes? Claro. ¿Servicio SaaS a función Lamba? Por supuesto.

La Segmentación de Confianza Cero proporciona una segmentación automatizada y sin agente, totalmente impulsada por API y accesible a las API. Debido a que utiliza metadatos de la nube, significa que ahora está disponible la segmentación como servicio.

CloudOps y los equipos de automatización pueden acceder a una capa de abstracción confiable, basada en metadatos, que maneja toda la traducción a direcciones IP y políticas de firewall, e incluso se mantiene al día con los cambios de topología de aplicaciones automáticamente.

3. Visibilidad y control todo en uno para entornos de nube, data center y endpoint

Acabamos de explorar algunas de las capacidades nativas de la nube que ofrece Zero Trust Segmentation, pero la mejor noticia es que estas capacidades aún incluyen visibilidad y control completos para entornos de data center y endpoint, también.

Ninguna nube es una isla.

Los usuarios y administradores acceden a la nube, y la nube habla con los sistemas en centros de datos e instalaciones de ubicación conjunta. A menudo, la comunicación entre los proveedores de nube fluye constantemente.

La Segmentación de Confianza Cero proporciona un único modelo de políticas, visualización y capa de distribución de políticas para unir todos estos diferentes entornos en un flujo de trabajo colaborativo y fluido. Los sistemas visualizados desde las API de la nube aparecen en la misma pantalla con los sistemas descubiertos en el data center o instancias VDI o endpoints de usuario.

Cuando se implementa con endpoints, Zero Trust Segmentation proporciona segmentación basada en identidad y control de acceso para cargas de trabajo en la nube.

4. Mejore la resiliencia operacional

Tener un centro universal para la política de segmentación significa que es fácil incluir todos los sistemas en una política común.

Muchas organizaciones desean reforzar la respuesta ante incidentes mediante el aprovisionamiento previo de políticas de segmentación proactivas y reactivas. La idea es simple y se basa en lo que todos saben que necesitan hacer en el instante en que descubren una brecha: apretar controles de segmentación.

¿Qué políticas de emergencia le gustaría implementar de inmediato en caso de un ciberataque para proteger los sistemas más críticos?

La Segmentación de Confianza Cero le permite crear e implementar esas políticas con anticipación, para que estén listas para activarse en cualquier momento. Lo mejor de todo es que estas políticas se extenderán a entornos de nube, data center y endpoint.

La segmentación de confianza cero facilita tener una política base a la que todos los sistemas deben adherirse y luego hacer cumplir esa política en todas partes, desde implementaciones de contenedores basadas en la nube hasta máquinas virtuales en el centro de datos.

Refiera su postura de seguridad en la nube con la Segmentación de Confianza Cero

Las organizaciones se trasladan a la nube para obtener disponibilidad, agilidad, automatizar implementaciones globales y más.

La Segmentación de Confianza Cero proporciona la visibilidad, la automatización y la cobertura necesarias para proporcionar segmentación como servicio. Comienza con la visibilidad automatizada y el mapeo de conexiones, con información que se transmite directamente desde las API de los proveedores de nube. Luego, estos datos alimentan un poderoso código de automatización y optimización que sugiere cómo optimizar y ajustar la política de segmentación.

Cuando estas políticas se implementan, pueden ser empujadas a la nube, data center y sistemas de punto final según sea necesario. Si bien la nube tiene sus diferencias con el centro de datos, resulta que aprovechar los metadatos de la nube, la información de conexión y las API significa que las organizaciones pueden impulsar políticas de segmentación automatizada en sus implementaciones en la nube.

Finalmente, existe una segmentación en la nube totalmente automatizada que optimiza Principios de confianza cero.

El Mes de Concientización sobre Ciberseguridad brinda una gran oportunidad para dar un paso atrás y considerar capacidades como la Segmentación de Confianza Cero que más impactaría su postura de seguridad en la nube.

La próxima semana, continuaremos nuestra serie sobre temas en los que reenfocarnos durante el Mes de Concientización sobre Ciberseguridad.

¿Quieres saber más sobre la seguridad en la nube? Lea nuestro ebook: 5 cosas que quizás no sepa sobre la seguridad en la nube

Temas relacionados

Seguridad en la nube

Artículos relacionados

Actualizaciones de seguridad de HIPAA 2025: lo que las organizaciones de atención médica necesitan saber
Segmentación de confianza cero

Actualizaciones de seguridad de HIPAA 2025: lo que las organizaciones de atención médica necesitan saber

Descubra cómo las actualizaciones propuestas de la regla de seguridad HIPAA 2025 tienen como objetivo transformar la ciberseguridad de la atención médica y cómo puede prepararse.

Leer más
Ciberseguridad federal, sistemas de TI heredados y reconocimiento de Illumio CloudSecure
Segmentación de confianza cero

Ciberseguridad federal, sistemas de TI heredados y reconocimiento de Illumio CloudSecure

Su organización tiene medidas de ciberseguridad implementadas, pero ¿qué edad tienen? La cobertura de noticias de este mes se centró en la edad y efectividad de la estrategia de ciberseguridad de su organización.

Leer más
Preguntas y respuestas de expertos: ¿Cómo puede prepararse la atención médica para el aumento de las amenazas cibernéticas?
Segmentación de confianza cero

Preguntas y respuestas de expertos: ¿Cómo puede prepararse la atención médica para el aumento de las amenazas cibernéticas?

Obtenga información sobre los pasos que su organización de atención médica puede tomar para ser ciberresiliente a partir de esta Preguntas y Respuestas con Trevor Dearing de Illumio.

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información