Segmentación de la red frente a la seguridad

La necesidad de segmentación como estrategia de seguridad ha evolucionado bastante. Desde los primeros días de las redes hasta los complejos entornos de centros de datos y nube de hoy, el enfoque que las organizaciones adoptan para la segmentación no ha seguido el ritmo. Cualquier persona que intente utilizar enfoques tradicionales de segmentación para enfrentar los nuevos desafíos de seguridad descubrirá rápidamente que no cumple tanto las expectativas como los requerimientos de seguridad.

Sin embargo, esto no ha impedido que los vendedores y algunas organizaciones intenten encajar la proverbial clavijero de red cuadrada en el agujero de seguridad redondo. Alerta de spoiler: simplemente no encajará.

Lo que realmente necesitas es Segmentación de seguridad.

En esta publicación, exploraré la diferencia entre segmentación de red y seguridad, concentrarme en el centro de datos y cómo segmentación de red ha sido mal dirigido para hacer frente a los requerimientos de seguridad.

Control de tierra para aplicaciones principales

Cuando me metí por primera vez en la creación de redes, un segmento era una hebra de RG-58 COAX. ¿Estoy saliendo conmigo mismo? Sí.

A medida que avanzaba mi carrera, trabajé en Xylan, pionera en “emerger” VLAN tecnología. En ese momento, el desafío consistía en interconectar cualquier medio (Token Ring, FDDI, ATM, Ethernet) a cualquier medio y extender las VLAN, no principalmente por razones de seguridad, sino más bien para reducir los dominios de difusión, para mantener el rendimiento de la red y permitir que las redes escalaran. No había switches de capa 3 y los elementos más caros de la red eran los routers basados en software. ¬†Básicamente, un segmento había evolucionado hasta ser un dominio de difusión lógico (no físico), y prácticamente se mantuvo así hasta que las VLAN se entremezclaron con la seguridad.

Hoy en día, a pesar de cuánto dinero gasta una organización en tecnologías ‚” detección‚”, la mayoría de las organizaciones creen que una violación de alguna forma es inevitable.

Ante la inevitabilidad de una brecha, la única protección realista es construir más muros alrededor de las aplicaciones críticas, o “controlar el terreno” para que los malos actores no puedan moverse libremente dentro de su centro de datos y nube.

Controlar el terreno requiere una nueva forma de segmentación.

Esto es algo a lo que me refiero como Segmentación de seguridad, por lo que una organización debe filtrar el tráfico para evitar que un mal actor pueda moverse lateralmente (este/oeste) dentro de un centro de datos. Esto es mucho mejor que la “segmentación retro” a través de la red, que requiere nuevas IPs, nuevas VLAN y nuevos equipos.

¿Puede o debe? Es un gran problema

La segmentación de seguridad no se trata del reenvío de paquetes, ya que se refiere a las redes de capa 2 y capa 3. La segmentación de seguridad se trata de filtrado de paquetes : hacer cumplir lo que debería y no debería permitirse entre dos puntos de la red.

Siempre digo que esta es la diferencia entre puede (reenvío de paquetes) y debería (filtrado de paquetes). Todos los protocolos y el trabajo que se ha realizado en las redes de capa 2 y capa 3 han sido sobre la entrega confiable de paquetes.

• Redes de capa 2/3 puede encontrar una ruta para reenviar un paquete entre dos ubicaciones, si existe una.
• Las redes de capa 2/3 no saben si debería reenviar el paquete. No fue construido para funcionar de esa manera.

De hecho, pedirle a un dispositivo de capa 2/3 que averique qué debería pasar es como pedir Ron Burgundy no leerá cada palabra en un teleprompter.

La segmentación de seguridad, por otro lado, entiende lo que debería suceder y promulga filtros de paquetes para garantizar que lo que no debería suceder nunca lo hace, como la propagación de una brecha.

De hecho, la entrega confiable de paquetes -algo en lo que hemos trabajado durante 30 años- y la segmentación de seguridad son como primos hermanos: están relacionados, pero no deberían casarse.

BESO: Quieres mantenerlo simple, estúpido (y filtrar todos los días)

Una de las cosas que puso en primer plano la necesidad de Segmentación de Seguridad fue la aparición de lo que me gusta llamar el problema del “firewall en un stick”. Hace diez años, no veíamos que se trombara mucho tráfico a un firewall (o firewalls) en los centros de datos porque creaba sobrecarga de tráfico, complejidad de configuración y problemas de escala. Sin embargo, con el tiempo, ha habido un aumento en esos diseños de “firewall en un stick”.

PROTIP: Cualquier vez que veas una tecnología en un palo, cansa. Se va a interponer en el camino.

En la empresa, Redes definidas por software (SDN) los proveedores están tratando de atacar la complejidad del firewall en un stick mediante la creación de una superposición de redes que canalizará los paquetes a través de un conjunto distribuido de firewalls. SDN se basa en capas subyacentes, superposiciones y túneles para que funcione. Esto ha creado un nivel completamente nuevo de complejidad que podemos guardar para otra publicación. Pero basta decir que atacar la complejidad con más complejidad no es una proposición ganadora.

La complejidad es enemiga de muchas cosas, y la seguridad es una de ellas.

A diferencia de SDN, la Segmentación de Seguridad (también conocido como filtrado de paquetes) se basa en el principio KISS de redes: Keep It Simple Stupid. Haga algo demasiado complejo y la probabilidad de error aumente al igual que la probabilidad de que las personas busquen formas de tomar atajo, lo último que desea como parte de su estrategia de seguridad. La simplicidad, por otro lado, tiene una mayor probabilidad de producir confiabilidad y la confiabilidad es crítica en seguridad.