Cómo lograr la segmentación correcta con el control estructurado de políticas

En última instancia, Segmentación de confianza cero se trata de crear y hacer cumplir reglas de seguridad.

Al establecer políticas de acceso cuidadosamente definidas, la Segmentación de Confianza Cero evita que las brechas se propaguen a través de los sistemas y entornos de TI.

En cualquier organización, es inevitable que al menos un dispositivo de punto final sea violado por atacantes. Pero si la organización cuenta con la seguridad de Segmentación de Confianza Cero, la violación puede ser confinada a ese punto final inicial, independientemente de si ese endpoint es una computadora portátil, una computadora de escritorio, un servidor o incluso una máquina virtual.

Las políticas de segmentación evitarán que el malware acceda a los puertos de red y protocolos que necesita para copiarse a otros servidores y centros de datos de misión crítica o explorar la red en busca de datos valiosos. La segmentación atrapa el ataque en su lugar, como una mosca debajo de un vaso.

Segmentación de confianza cero: dos enfoques

A motor de reglas es un software que define la sintaxis para reglas de segmentación. También hace cumplir esas reglas una vez definidas. En general, los proveedores de software de segmentación adoptan dos enfoques diferentes al diseñar motores de reglas para los clientes.

El primer enfoque es ofrecer a los clientes la máxima flexibilidad, permitiendo a las partes interesadas de toda la organización definir reglas con las categorías o etiquetas que deseen.

El otro enfoque es adoptar una filosofía de diseño conocida como control estructurado de políticas. Este enfoque limita el número de etiquetas disponibles para las reglas de segmentación. También pone la elaboración de reglas bajo el control de un equipo centralizado de expertos en seguridad de TI. Los proveedores que adoptan este enfoque creen que, al final, la simplicidad será más efectiva para reducir los ataques que la complejidad abierta.

Ahora examinaremos estos enfoques y compararemos sus ventajas y desafíos para las implementaciones de la vida real.

El enfoque de máxima flexibilidad para la segmentación

En cualquier organización, requerimientos de seguridad variará de un departamento a otro y de un caso de uso a otro. Las diferentes aplicaciones requerirán reglas diferentes. Incluso la misma aplicación podría tener reglas diferentes dependiendo del centro de datos en el que se esté ejecutando, la versión de software en la que se esté ejecutando, los recursos en los que depende, etc.

Muchos proveedores de segmentación abordan esta necesidad de flexibilidad al permitir que diferentes usuarios y propietarios de aplicaciones establezcan sus propias reglas para su área de especialización o responsabilidad.

Por lo general, estos proveedores soportan tres tipos de reglas:

• Reglas de “bloqueo” para prevenir el movimiento del tráfico a lo largo de ciertas vías
• “Permitir” reglas para otorgar permiso para que ciertos tipos de tráfico recorran una ruta
• “Anular” reglas para evitar otras reglas para bloquear o permitir el tráfico en situaciones particulares

A un alto nivel, este enfoque distribuido para la formulación flexible de reglas suena prometedor. Después de todo, los propietarios de activos de TI deben tener el conocimiento de dominio que necesitan para establecer las reglas de segmentación más adecuadas para un activo de TI en particular o grupo de activos relacionados. Y proporcionar tres tipos de reglas (bloquear, permitir y anular) parece ofrecer a los equipos de seguridad de TI y a las partes interesadas del negocio la precisión necesaria para definir las políticas de seguridad adecuadas para proteger los activos de TI.

Desafortunadamente, en la mayoría de las organizaciones, especialmente grandes organizaciones con decenas o cientos de miles de cargas de trabajo distribuido en entornos de nube, locales y de punto final: lo que pronto resulta de este enfoque es “el Salvaje Oeste”.

Claro, las partes interesadas de toda la organización han definido reglas para proteger los valiosos activos de TI. Pero esto en última instancia conduce al caos porque hay demasiadas reglas de demasiados tipos diferentes para administrarse de manera efectiva.

Debido a que la elaboración de reglas está distribuida y descoordinada, el conjunto de reglas termina teniendo conflictos y omisiones, creando oportunidades para que los atacantes se deslice. El gobierno central y consistente es prácticamente imposible.

Esto es lo que crea estas condiciones del “Salvaje Oeste”:

• Los dominios de responsabilidad a menudo se superponen.
  Por ejemplo, una persona podría estar a cargo de una aplicación comercial y otra persona podría estar a cargo de una base de datos. La aplicación puede depender de la base de datos, pero las reglas de acceso definidas para la aplicación y la base de datos se desarrollan de forma independiente. Como resultado, los dos conjuntos de reglas pueden ser inconsistentes, especialmente si otras aplicaciones también utilizan la base de datos.
  
  Otro ejemplo: una persona está a cargo de la aplicación de gestión de relaciones con los clientes (CRM) de la compañía. Otra persona está a cargo del data center de la compañía en Nueva York, donde resulta que se está ejecutando la aplicación CRM. Incluso si estas dos personas están de acuerdo en las filosofías de seguridad, es muy poco probable que sus implementaciones independientes de reglas de segmentación funcionen juntas a la perfección. Hay demasiada complejidad que involucra direcciones IP, puertos y protocolos como para crear decenas o cientos de reglas de manera independiente y efectiva.
  
• El control de segmentación se distribuye en lugar de centralizar, por lo que rara vez se realizan pruebas.
  Debido a que el control se distribuye entre tantas partes interesadas, es difícil para la organización de TI probar todas las reglas de segmentación antes de activarlas. La falta de pruebas aumenta el riesgo de errores y desinformación. Incluso puede provocar que el tráfico crítico para el negocio se bloquee inadvertidamente.
  
• El soporte para un número ilimitado o alto de etiquetas genera confusión.
  Los productos de segmentación que distribuyen el control de esta manera generalmente permiten a los clientes definir sus propias categorías o etiquetas para la segmentación.
  
  Aprovechando esta flexibilidad, los clientes pronto tendrán veinte, treinta o más etiquetas para sus políticas de segmentación. Por ejemplo, un cliente podría etiquetar todos los activos de TI involucrados PCI cumplimiento de una etiqueta de “PCI Compliance”. También pueden etiquetar todos los activos en una ubicación específica con el nombre de la ubicación o tener etiquetas para unidades de negocios, aplicaciones, entornos (por ejemplo, prueba frente a producción), regulaciones gubernamentales adicionales (como GDPR), etc.
  
  En teoría, esta proliferación de etiquetas proporciona precisión y visibilidad. En la práctica, conduce a modelos de seguridad que son demasiado complejos para administrarlos de manera efectiva.
  
  Los equipos pueden intentar reducir este caos mediante el ordenamiento de reglas, por ejemplo, estructurando conjuntos de reglas para hacer cumplir primero las reglas del centro de datos, luego hacer cumplir las reglas de la aplicación y, en último lugar, hacer cumplir las reglas sobre regulaciones o unidades de negocio. En la práctica, sin embargo, este tipo de estructuración conduce a políticas laberínticas, haciendo muy difícil saber qué reglas están vigentes en ciertas condiciones.
  
• Las reglas descentralizadas son más difíciles de administrar cuando los empleados cambian de trabajo.
  Otro problema con la elaboración de reglas distribuidas es que dificulta que los equipos de TI y seguridad de una organización puedan realizar un seguimiento de las reglas que se han creado y por qué.
  
  Es posible que un autor de reglas, como el propietario de una aplicación, no haya documentado el pensamiento que se empleó en las reglas de segmentación. Si ese empleado deja la empresa, se pierde la seguridad vital y el conocimiento operativo.

¿El mayor problema con este enfoque altamente flexible? Deja huecos para que los atacantes exploten. El ransomware aún entra, a pesar de todo el tiempo, dinero y esfuerzo que una organización ha invertido en segmentar sus redes.

El enfoque estructurado de control de políticas para la segmentación

En contraste con el enfoque de “máxima flexibilidad” para crear reglas de segmentación, un proveedor de segmentación podría restringir número de etiquetas que se puede crear.

El número de etiquetas permitidas puede ser tan bajo como cuatro, cubriendo solo roles, aplicaciones, entornos y ubicaciones. O el número podría ser un poco más alto, pero no tan alto como el número permitido en el enfoque de máxima flexibilidad discutido anteriormente.

Resulta que restringir las etiquetas funciona bien en la práctica. De hecho, el implementaciones exitosas más grandes de la Segmentación de Confianza Cero todos adoptan este enfoque, limitando las etiquetas a diez o menos, a pesar de que estas políticas protegen entornos de TI híbridos muy complejos.

He aquí por qué el enfoque de control de políticas estructurado funciona tan bien:

• Las etiquetas limitadas fuerzan la centralización y la coordinación por adelantado.
  Para que la administración de políticas de segmentación funcione bien, una organización necesita un equipo central para analizar el tráfico de la red y desarrollar conjuntamente las políticas de segmentación que se deben aplicar.
  
  Los propietarios de aplicaciones se coordinan con los propietarios de bases de datos, quienes a su vez coordinan con los administradores de firewall. Debido a que trabajan a partir de un análisis compartido y una comprensión de los patrones de tráfico autorizados, pueden definir reglas de segmentación coherentes y mutuamente consistentes que brinden la seguridad que necesitan.
  
• Se basa en la visibilidad integral de la red que puede proporcionar el control estructurado de políticas.
  Para coordinar la elaboración de reglas en diferentes aplicaciones, bases de datos y otros recursos, los equipos de TI y seguridad necesitan visibilidad completa en el tráfico de red de su organización. De esa manera, pueden identificar el tráfico legítimo en el que dependen sus aplicaciones y servicios.
  
  Una vez que se identifica ese tráfico esencial, se vuelve más fácil escribir políticas que bloqueen todo lo demás. También se vuelve más fácil para diversos interesados llegar a un acuerdo sobre qué tráfico se debe permitir. Cuando las partes interesadas pueden trabajar a partir de una comprensión compartida del uso de la red, la colaboración se vuelve sencilla.
  
• Proporciona mayor simplicidad al denegar todo el tráfico de forma predeterminada para la seguridad Zero Trust.
  En lugar de dar a las partes interesadas opciones para bloquear el tráfico, permitir el tráfico o anular las reglas de segmentación anteriores, un enfoque de políticas estructuradas puede comenzar bloqueando todo el tráfico de forma predeterminada para cualquier sistema o entorno. Luego, trabajando desde un mapa de visualización que muestra todo el tráfico legítimo en toda la organización, los equipos de TI y seguridad pueden escribir políticas para permitir solo el tráfico que requiere la aplicación, la base de datos o el servicio.
  
  Al no confiar en nada de manera predeterminada, los proveedores de control de políticas estructuradas proporcionan la rigurosa seguridad Zero Trust recomendada por Instituto Nacional de Estándares y Tecnologías (NIST), la Casa Blanca de los Estados Unidos en su Orden Ejecutiva para Mejorar la Ciberseguridad de la Nación, y otras autoridades de seguridad de TI.
  
• Debido a que la elaboración de reglas está centralizada, los equipos de TI y seguridad pueden probar y mapear reglas antes de aplicarlas.
  Otra ventaja de un enfoque centralizado para la elaboración de reglas es que, debido a que hay un modelo coherente para las reglas, todo el modelo puede ejecutarse en modo de prueba. Además, las vías de comunicación entre cargas de trabajo se pueden mapear visualmente antes de que se implementen las reglas, alertando a los equipos sobre posibles problemas. Esto brinda a los equipos de TI y seguridad la oportunidad de solucionar problemas y ajustar las reglas antes de aplicarlas.

Conclusión: Flexibilidad vs. escalabilidad

La elección entre estos dos enfoques se vuelve cruda cuando se implementan reglas a escala.

Incluso en organizaciones más pequeñas, el enfoque altamente flexible se vuelve rápidamente insostenible. Las brechas de seguridad persisten inevitablemente en medio de un matorral de reglas desarrolladas de forma independiente. Los ataques pasan o una regla de seguridad bien intencionada bloquea accidentalmente el tráfico de misión crítica porque no hay una coordinación unificada.

En contraste, al imponer una disciplina de diseño desde el inicio, el enfoque de control de políticas estructurado para la segmentación ayuda a los equipos de TI y seguridad a proteger de manera simple y eficiente cualquier tipo de entorno de TI, desde start-ups hasta las redes globales más grandes y complejas.

Para obtener más información sobre la solución Illumio para la Segmentación de Confianza Cero:

• Obtenga el Informe de impacto de confianza cero para aprender la investigación ESG sobre cómo las organizaciones se acercan a Zero Trust.
• Descargue nuestra guía detallada Cómo construir una estrategia de microsegmentación en 5 pasos.
• Obtenga una copia gratuita del Forrester New Wave: Microsegmentación, primer trimestre 2022 en el que Illumio es nombrado Líder.
• Horario una demostración y consulta sin compromiso con nuestros expertos en Segmentación de Confianza Cero.