Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Segmentación de confianza cero

Segmentación de la red frente a la seguridad

Illumio Editorial
,
April 5, 2017
23 min. lectura

La necesidad de segmentación como estrategia de seguridad ha evolucionado bastante. Desde los primeros días de las redes hasta los complejos entornos de centros de datos y nube de hoy, el enfoque que las organizaciones adoptan para la segmentación no ha seguido el ritmo. Cualquier persona que intente utilizar enfoques tradicionales de segmentación para enfrentar los nuevos desafíos de seguridad descubrirá rápidamente que no cumple tanto las expectativas como los requerimientos de seguridad.

Sin embargo, esto no ha impedido que los vendedores y algunas organizaciones intenten encajar la proverbial clavijero de red cuadrada en el agujero de seguridad redondo. Alerta de spoiler: simplemente no encajará.

Lo que realmente necesitas es Segmentación de seguridad.

ill_blog_hero_img_network_vs_security_seg_v3.jpg


En esta publicación, exploraré la diferencia entre segmentación de red y seguridad, concentrarme en el centro de datos y cómo segmentación de red ha sido mal dirigido para hacer frente a los requerimientos de seguridad.

Control de tierra para aplicaciones principales

Cuando me metí por primera vez en la creación de redes, un segmento era una hebra de RG-58 COAX. ¿Estoy saliendo conmigo mismo? Sí.

A medida que avanzaba mi carrera, trabajé en Xylan, pionera en “emerger” VLAN tecnología. En ese momento, el desafío consistía en interconectar cualquier medio (Token Ring, FDDI, ATM, Ethernet) a cualquier medio y extender las VLAN, no principalmente por razones de seguridad, sino más bien para reducir los dominios de difusión, para mantener el rendimiento de la red y permitir que las redes escalaran. No había switches de capa 3 y los elementos más caros de la red eran los routers basados en software. ¬†Básicamente, un segmento había evolucionado hasta ser un dominio de difusión lógico (no físico), y prácticamente se mantuvo así hasta que las VLAN se entremezclaron con la seguridad.

Hoy en día, a pesar de cuánto dinero gasta una organización en tecnologías ‚” detección‚”, la mayoría de las organizaciones creen que una violación de alguna forma es inevitable.

Ante la inevitabilidad de una brecha, la única protección realista es construir más muros alrededor de las aplicaciones críticas, o “controlar el terreno” para que los malos actores no puedan moverse libremente dentro de su centro de datos y nube.

Controlar el terreno requiere una nueva forma de segmentación.

Esto es algo a lo que me refiero como Segmentación de seguridad, por lo que una organización debe filtrar el tráfico para evitar que un mal actor pueda moverse lateralmente (este/oeste) dentro de un centro de datos. Esto es mucho mejor que la “segmentación retro” a través de la red, que requiere nuevas IPs, nuevas VLAN y nuevos equipos.

¿Puede o debe? Es un gran problema

La segmentación de seguridad no se trata del reenvío de paquetes, ya que se refiere a las redes de capa 2 y capa 3. La segmentación de seguridad se trata de filtrado de paquetes : hacer cumplir lo que debería y no debería permitirse entre dos puntos de la red.

Siempre digo que esta es la diferencia entre puede (reenvío de paquetes) y debería (filtrado de paquetes). Todos los protocolos y el trabajo que se ha realizado en las redes de capa 2 y capa 3 han sido sobre la entrega confiable de paquetes.

  • Redes de capa 2/3 puede encontrar una ruta para reenviar un paquete entre dos ubicaciones, si existe una.
  • Las redes de capa 2/3 no saben si debería reenviar el paquete. No fue construido para funcionar de esa manera.

De hecho, pedirle a un dispositivo de capa 2/3 que averique qué debería pasar es como pedir Ron Burgundy no leerá cada palabra en un teleprompter.

La segmentación de seguridad, por otro lado, entiende lo que debería suceder y promulga filtros de paquetes para garantizar que lo que no debería suceder nunca lo hace, como la propagación de una brecha.

De hecho, la entrega confiable de paquetes -algo en lo que hemos trabajado durante 30 años- y la segmentación de seguridad son como primos hermanos: están relacionados, pero no deberían casarse.

BESO: Quieres mantenerlo simple, estúpido (y filtrar todos los días)

Una de las cosas que puso en primer plano la necesidad de Segmentación de Seguridad fue la aparición de lo que me gusta llamar el problema del “firewall en un stick”. Hace diez años, no veíamos que se trombara mucho tráfico a un firewall (o firewalls) en los centros de datos porque creaba sobrecarga de tráfico, complejidad de configuración y problemas de escala. Sin embargo, con el tiempo, ha habido un aumento en esos diseños de “firewall en un stick”.

PROTIP: Cualquier vez que veas una tecnología en un palo, cansa. Se va a interponer en el camino.

En la empresa, Redes definidas por software (SDN) los proveedores están tratando de atacar la complejidad del firewall en un stick mediante la creación de una superposición de redes que canalizará los paquetes a través de un conjunto distribuido de firewalls. SDN se basa en capas subyacentes, superposiciones y túneles para que funcione. Esto ha creado un nivel completamente nuevo de complejidad que podemos guardar para otra publicación. Pero basta decir que atacar la complejidad con más complejidad no es una proposición ganadora.

La complejidad es enemiga de muchas cosas, y la seguridad es una de ellas.

A diferencia de SDN, la Segmentación de Seguridad (también conocido como filtrado de paquetes) se basa en el principio KISS de redes: Keep It Simple Stupid. Haga algo demasiado complejo y la probabilidad de error aumente al igual que la probabilidad de que las personas busquen formas de tomar atajo, lo último que desea como parte de su estrategia de seguridad. La simplicidad, por otro lado, tiene una mayor probabilidad de producir confiabilidad y la confiabilidad es crítica en seguridad.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Illumio está dando impulso al mercado hacia la conferencia RSA
Segmentación de confianza cero

Illumio está dando impulso al mercado hacia la conferencia RSA

La Conferencia RSA 2022 está a la vuelta de la esquina, e Illumino se dirige a ella con un creciente impulso del mercado a medida que la industria de la seguridad reconoce la necesidad esencial de la Segmentación de Confianza Cero.

Leer más
Operacionalización de la confianza cero: Paso 1: Identificar qué proteger
Segmentación de confianza cero

Operacionalización de la confianza cero: Paso 1: Identificar qué proteger

A medida que la tecnología se implementaba a pequeña escala, las soluciones ad hoc eran manejables y más productivas que tratar de lograr economías de escala o buscar diseñar soluciones estratégicas que pudieran ser relevantes en todos los ámbitos.

Leer más
Forrester nombra a Illumino líder en The Forrester Wave™: Soluciones de microsegmentación, tercer trimestre de 2024
Segmentación de confianza cero

Forrester nombra a Illumino líder en The Forrester Wave™: Soluciones de microsegmentación, tercer trimestre de 2024

Obtenga las principales claves de John Kindervag de Forrester Wave para Soluciones de Microsegmentación.

Leer más
5 conclusiones de Zero Trust del CSO de educación superior George Finney
Segmentación de confianza cero

5 conclusiones de Zero Trust del CSO de educación superior George Finney

Los desafíos de ciberseguridad de las OSC de educación superior son únicos. El CSO de SMU, George Finney, analiza la implementación de la segmentación Zero Trust en el entorno universitario.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información