La segmentación de redes locales es un área temática de seguridad de la que se habla demasiado poco. La microsegmentación puede percibirse como técnicamente demasiado difícil de implementar. Por otro lado, cuando los servicios se trasladan a la nube, puede percibirse que la organización ya no necesita más que una conexión a internet, entonces ¿por qué es importante hablar aún de la microsegmentación de red? El ‘consigliere’ de Above IT Oy Matias Haapaniemi se adentró en esta área temática demasiado silenciada en su blog de esta ocasión. ¡Así que siga leyendo!
Cuando el cortafuegos por sí solo ya no es suficiente
Tradicionalmente, las redes empresariales se han protegido con un cortafuegos ubicado en el perímetro de la red, que funciona como una puerta fuerte en un castillo. Solo permite que el tráfico autorizado entre y salga. Pero ¿qué sucede si el enemigo logra de alguna manera entrar dentro de las murallas del castillo? Imaginemos una situación en la que un empleado hace clic en el enlace de un mensaje fraudulento e instala accidentalmente malware en su equipo. El atacante está ahora dentro de la red, detrás del cortafuegos. Sin ninguna restricción interna, este malware puede propagarse rápidamente por toda la red local. La situación es como en un edificio de oficinas donde solo la puerta exterior está cerrada con llave. Una vez que se entra, todas las habitaciones y espacios son libremente transitables sin ninguna restricción.
¿Qué es la microsegmentación?
Segmentación de Capa 2 mediante VLANs
La segmentación de red puede implementarse en diferentes niveles. La segmentación de nivel de Capa 2 significa segmentación en la capa de enlace de datos, es decir, prácticamente el aislamiento de dispositivos en sus propias redes locales a nivel de switch y dirección MAC. Mediante VLANs (Virtual Local Area Network), los dispositivos conectados físicamente al mismo switch pueden dividirse lógicamente en diferentes segmentos de red, como si estuvieran en switches diferentes. Por ejemplo, todas las impresoras de la oficina pueden colocarse en VLAN 10 y los ordenadores de los empleados en VLAN 20. Aunque se conecten físicamente al mismo dispositivo de red, no pertenecen a la misma «red local» y no pueden comunicarse directamente entre sí sin un cortafuegos.
¿Qué tipos de VLANs debería tener una empresa?
Depende mucho de las organizaciones, pero con estas se puede al menos empezar:
- Red de estaciones de trabajo
- Red de servidores
- Red de gestión para servicios IT
- Red de invitados
- Red de dispositivos IoT
En las redes Cisco Meraki, la microsegmentación basada en VLAN se logra mejor con políticas adaptativas, que con su funcionalidad dinámica llevan la arquitectura del nivel tradicional de definición de VLAN al siguiente nivel.
Productos ZTNA como ayuda para la microsegmentación
La segmentación de Capa 2 (VLANs) hace una buena «división de habitaciones» en la red interna, pero la limitación del acceso de usuarios y dispositivos basada en identificación personal y de dispositivo se facilita con soluciones Zero Trust Network Access (ZTNA). Piense en ZTNA como una red superpuesta cifrada basada en identidad, cuyo tráfico fluye solo cuando y hacia donde se ha otorgado acceso por separado. «No confíe, verifique siempre» describe fuertemente ZTNA.
Con los productos ZTNA se puede abstraer la red local del conjunto y se puede centralizar la división con mayor precisión. Una regla ZTNA puede ser «Permitir que Matias se conecte al servidor HyperV con RDP», mientras que una regla de red local es «Permitir que 10.0.20.2 se conecte a la dirección IP 10.0.10.3 en el puerto 3389». En los productos ZTNA no se consideran las direcciones IP, sino que se basa completamente en la identidad del usuario o dispositivo. ZTNA ofrece una ayuda considerable para la microsegmentación hoy en día, cuando la ubicación de red del usuario puede ser durante el mismo día: Starbucks, oficina en casa, restaurante de almuerzo, oficina y hotel. Con soluciones tradicionales es difícil crear restricciones precisas para dispositivos, pero con ZTNA esto ni siquiera es un desafío.
¿Necesita ayuda o asesoramiento sobre cómo debería abordar su organización específicamente las microsegmentaciones o la arquitectura Zero Trust en general? Como socio especialista en redes especializado en sostenibilidad ambiental de Cisco Meraki, así como socio especializado en soluciones de seguridad de Microsoft, tenemos la ayuda para las necesidades de soluciones de su departamento de IT también. ¡Póngase en contacto desde abajo para hablar más!