Tiempo de lectura:5 minutos

La segmentación de la red es un modelo arquitectónico que divide una red en varios segmentos o subredes, cada uno de los cuales funciona como una pequeña red propia. Esto permite a los administradores de red aplicar políticas detalladas para controlar el flujo de tráfico entre las distintas subredes. Las organizaciones utilizan la segmentación para aumentar la supervisión, optimizar el rendimiento, localizar problemas técnicos y, lo que es más importante, mejorar la seguridad.

Para el personal de seguridad de la red, la segmentación de la red es una forma eficaz de impedir que los usuarios no autorizados —ya sean empleados internos curiosos o atacantes maliciosos— accedan a activos valiosos, como la información de carácter personal de los clientes, los registros contables de la empresa y documentos de propiedad intelectual confidenciales, las llamadas «joyas de la corona» de la empresa. Hoy, estos activos suelen estar dispersos por los entornos híbridos y de varias nubes —nubes públicas, nubes privadas y redes definidas por software (SDN, por sus siglas en inglés)—, a los que, por tanto, habrá que proteger de los ataques. Para comprender el uso de la segmentación de la red en el campo de la seguridad, hay que tener claro el concepto de confianza en la seguridad de la red.

La presunción de confianza

Antes, los arquitectos de redes dirigían sus estrategias de seguridad al perímetro de la red, esa línea invisible que separa el mundo exterior de los datos vitales para una empresa. Se daba por hecho que los individuos que se encontraban dentro del perímetro eran de fiar y no suponían amenaza alguna, por lo que su acceso a la información estaba sujeto a muy pocas restricciones.

Las brechas más sonadas en los últimos años han puesto en tela de juicio la presunción de confianza. Por un lado, el personal interno puede ser, de hecho, el origen de las brechas, unas veces de forma inadvertida y otras, deliberada. Además, cuando las amenazas penetran en el perímetro, pueden moverse lateralmente por la red para acceder prácticamente a cualquier dato, aplicación, activo o servicio (DAAS). Con un acceso casi despejado, los atacantes pueden exfiltrar fácilmente una amplia gama de activos valiosos, a menudo antes incluso de que la brecha se haya detectado (véase la figura 1).



Figura 1: Movimiento lateral dentro del perímetro cuando hay presunción de confianza

La respuesta Zero Trust (confianza cero)
Dados los puntos débiles inherentes a la presunción de confianza, muchas organizaciones han empezado a adoptar la estrategia Zero Trust (confianza cero). Zero Trust asume que, por omisión, nadie es de fiar, incluso quienes están en el interior del perímetro de la red. Esta estrategia se basa en el principio de una «superficie de protección» conformada en torno a los DAAS más cruciales y valiosos de la organización. Como, además, solo se incluyen los componentes cruciales para las operaciones de la empresa, la superficie que hay que proteger es varias órdenes de magnitud más pequeña que la superficie de ataque de todo el perímetro de la red.

Y aquí es donde entra en juego la segmentación de la red. Mediante la segmentación, los arquitectos de redes pueden construir un microperímetro alrededor de la superficie de protección, que en esencia forma una segunda línea de defensa. En algunos casos, los cortafuegos virtuales pueden automatizar el aprovisionamiento de la seguridad para simplificar las tareas de segmentación. Se implemente como se implemente, este método permite a los usuarios autorizados acceder a los activos que hay en el interior de la superficie de protección, mientras que todos los demás quedan excluidos de forma predeterminada.

Para los atacantes, la segmentación es una mala noticia, ya que estar dentro del perímetro no es suficiente para acceder a la información confidencial, como sí ocurría en los tiempos de la presunción de confianza. Los microperímetros, ya sean físicos o virtuales, impiden que las amenazas se muevan lateralmente por la red, y lo hacen, básicamente, invalidando una gran parte del trabajo que se invirtió en crear la brecha inicial (véase la figura 2).

Figura 2: Movimiento limitado en el interior del perímetro con Zero Trust y la segmentación de la red

Casos de uso
Las organizaciones pueden utilizar la segmentación de la red para una gran variedad de aplicaciones, como las siguientes:

  • Red inalámbrica para invitados: una empresa puede utilizar la segmentación de la red para ofrecer un servicio de conexión inalámbrica a sus visitantes y subcontratistas con un riesgo relativamente bajo. Cuando alguien se conecta con credenciales de invitado, entra en un microsegmento que únicamente proporciona acceso a Internet.
  • Acceso a grupos de usuarios: para protegerse de las brechas originadas por el propio personal, las empresas segmentan la red por departamentos internos y crean subredes formadas por los miembros autorizados de un grupo y los DAAS que necesitan para desempeñar su trabajo. El acceso entre subredes está muy controlado. Por ejemplo, si un miembro del equipo de ingeniería intenta acceder a la subred de recursos humanos, se activará una alarma y su investigación.
  • Seguridad en la nube pública: los proveedores de servicios en la nube suelen ser responsables de la seguridad de la infraestructura de la nube, pero al cliente le corresponde proteger los sistemas operativos, las plataformas, los controles de acceso, los datos, la propiedad intelectual, el código fuente y el contenido dirigido a sus propios clientes, elementos que también hacen uso de esa misma infraestructura. La segmentación es un método efectivo para aislar las aplicaciones en entornos de nube pública e híbrida.
  • Cumplimiento de la norma PCI DSS: los administradores de red pueden utilizar la segmentación para aislar toda la información de tarjetas de pago en una zona de seguridad —básicamente, una superficie de protección— y crear reglas que solo permitan el menor tráfico legítimo posible en la zona mientras deniegan todo lo demás. Estas zonas aisladas suelen ser redes de área extensa definidas por software (SDN) virtualizadas en las que, para segmentar la red y asegurar el cumplimiento de la norma de seguridad de datos para el sector de las tarjetas de pago (PCI DSS), se utilizan cortafuegos virtuales.

Aspectos prácticos
La segmentación de la red puede implementarse de manera física o lógica.

Como su propio nombre indica, la segmentación física consiste en dividir una red más grande en una serie de subredes más pequeñas. Un cortafuegos físico o virtual hace las veces de puerta de enlace de la subred, controlando el tráfico que entra y sale. La segmentación física es relativamente fácil de administrar porque la topología está fijada en la arquitectura.

La segmentación lógica crea subredes utilizando uno de estos dos métodos: redes de área local virtuales (VLAN, por sus siglas en inglés) o esquemas de direccionamiento de red. Los modelos basados en redes VLAN son bastante sencillos de implementar porque las etiquetas de VLAN dirigen el tráfico automáticamente a la subred adecuada. Los esquemas de direccionamiento de red son igual de efectivos, pero requieren una comprensión más detallada de la teoría de redes. La segmentación lógica es más flexible que la física porque no requiere el cableado ni el movimiento físico de los componentes. El aprovisionamiento automatizado puede simplificar la configuración de las subredes de manera significativa.

Pasarse a una arquitectura de segmentación permite simplificar la gestión de las políticas de cortafuegos. Una práctica recomendada que cada vez tiene más adeptos aconseja utilizar una sola política consolidada para el control de acceso a la subred, así como la detección y mitigación de amenazas, en lugar de realizar estas funciones en distintas partes de la red. Este enfoque reduce la superficie de ataque y refuerza la estrategia de seguridad de la organización.

Haga clic aquí para obtener más información sobre la segmentación de la red.

Ficha técnica

Ficha técnica de la serie PA-3200 Series

La serie PA-3200 Series protege todo el tráfico, incluido el tráfico cifrado, mediante procesamiento y memoria dedicados para redes, seguridad, gestión y prevención de amenazas.

  • 7617

Recurso

¿Qué es SASE?

El servidor perimetral de acceso seguro, o SASE, es un concepto de ciberseguridad emergente, fruto de la convergencia de las redes de área extensa.

Tiempo de lectura:2 minutos
  • 4903

Ficha técnica

Prisma Cloud: información general

Prisma™ Cloud es la plataforma de seguridad nativa en la nube (CNSP) más completa del sector por la cobertura que ofrece. Con ella, conseguirá que los usuarios, las aplicaciones, los datos y todas las tecnologías nativas en la nube cuenten con la debida protección y cumplan la normativa, a lo largo de todo el ciclo de vida de desarrollo y en entornos de nube híbrida o de varias nubes.

  • 3769

Artículo

¿Qué es la capa 7?

La capa 7 se encuentra en el nivel más alto del modelo de interconexión de sistemas abiertos (OSI) y se encarga de gestionar la comunicación entre las aplicaciones. Esta capa también constituye un vector de ataque.

  • 161

Otro

Cortex XSIAM Solution Brief

Cortex XSIAM mejora radicalmente el nivel de seguridad y transforma el modelo de operaciones de seguridad manuales gracias a la inteligencia artificial y a la automatización. XSIAM centraliza, automatiza y amplía las operaciones de seguridad, de la empresa a la nube, para proteger las organizaciones de los ataques avanzados.

  • 944

Artículo

¿Qué es SD-WAN?

Una red de área extensa definida por software (SD-WAN) es un servicio configurado virtualmente que conecta los centros de datos con las sucursales y la nube.

  • 342

Reciba las últimas novedades, invitaciones a eventos y alertas de amenazas