• La segmentación de red divide una red más grande en segmentos más pequeños y aislados para mejorar la seguridad y reducir la superficie de ataque.
  • Mejora el rendimiento al limitar el tráfico de difusión y permitir políticas de seguridad personalizadas para diferentes segmentos.
  • Una implementación adecuada puede ayudar a cumplir con las regulaciones y mejorar los tiempos de respuesta ante incidentes durante las brechas de seguridad.

Las empresas se enfrentan a crecientes amenazas de ciberseguridad que pueden comprometer datos confidenciales e interrumpir las operaciones en este mundo cada vez más interconectado. Una estrategia eficaz para mitigar estos riesgos es la segmentación de red, que consiste en dividir una red más grande en partes más pequeñas y manejables.

Este enfoque no solo mejora la seguridad, sino que también mejora el rendimiento de la red al aislar problemas y controlar el flujo de datos. A medida que las organizaciones buscan soluciones sólidas para proteger sus activos digitales, comprender los principios y beneficios de la segmentación de red se vuelve esencial.

Definición de segmentación de red

La segmentación de red es un enfoque arquitectónico que divide una red en múltiples segmentos o subredes, cada una actuando como su propia red pequeña. Esto permite a los administradores de red controlar el flujo del tráfico de red entre subredes basándose en políticas granulares. Las organizaciones utilizan la segmentación para mejorar la monitorización, aumentar el rendimiento, localizar problemas técnicos y mejorar la seguridad.

También lea: Datos clave sobre una NIC (tarjeta de interfaz de red)

También lea: Red DMZ: definición, principios de funcionamiento y beneficios

El supuesto de confianza

En el pasado, los arquitectos de red orientaban sus estrategias de seguridad hacia el perímetro interno de la red, la línea invisible que separa el mundo exterior de los datos vitales para el negocio de una empresa. Se suponía que las personas dentro del perímetro eran confiables y, por lo tanto, no representaban una amenaza. Por lo tanto, estaban sujetas a pocas restricciones en su capacidad para acceder a la información.

Sin embargo, las infraestructuras de seguridad heredadas son generalmente arquitecturas de red planas que dependen de un firewall perimetral como su único punto de inspección y control del tráfico. Dado que los límites de la red ya no existen como antes, y la mayor parte del tráfico del centro de datos es este-oeste, los firewalls tradicionales basados en puertos ofrecen un valor limitado en un mundo de nube y movilidad.

Las recientes violaciones de alto perfil han puesto en duda el supuesto de confianza. Por un lado, los internos pueden ser efectivamente la fuente de las violaciones, a menudo de manera involuntaria pero a veces deliberadamente. Además, cuando las amenazas penetran el perímetro, pueden moverse lateralmente en la red para acceder a prácticamente cualquier dato, aplicación, activo o servicio (DAAS). Con un acceso prácticamente sin obstáculos, los atacantes pueden extraer fácilmente una gama completa de activos valiosos, a menudo antes de que se haya detectado la violación.

La respuesta de zero trust

Debido a las debilidades inherentes del supuesto de confianza, muchas organizaciones han comenzado a adoptar la estrategia de Zero trust. Zero trust asume que nadie es confiable por defecto, incluso aquellos que ya están dentro del perímetro de la red. Zero trust funciona según el principio de una "superficie de protección" construida alrededor de los DAAS más críticos y valiosos de la organización. Debido a que contiene solo lo más crítico para las operaciones comerciales, la superficie de protección es órdenes de magnitud más pequeña que la superficie de ataque del perímetro de red completo.

Aquí es donde entra en juego la segmentación de red. Utilizando la segmentación, los arquitectos de red pueden construir un microperímetro alrededor de la superficie de protección, formando esencialmente una segunda línea de defensa. En algunos casos, los firewalls virtuales pueden automatizar el aprovisionamiento de seguridad para simplificar las tareas de segmentación. Independientemente de cómo se logre, los usuarios autorizados pueden acceder a los activos dentro de la superficie de protección mientras que todos los demás son denegados por defecto.

La segmentación es una mala noticia para los atacantes porque, a diferencia de los días del supuesto de confianza, simplemente penetrar el perímetro no es suficiente para acceder a información confidencial. Los microperímetros, ya sean físicos o virtuales, evitan que las amenazas se muevan lateralmente dentro de la red, anulando esencialmente gran parte del trabajo que se invirtió en crear la violación inicial.

Casos de uso

Las organizaciones pueden utilizar la segmentación de red para una variedad de aplicaciones.

Red inalámbrica para invitados: Utilizando la segmentación de red, una empresa puede ofrecer servicio de Wi-Fi a visitantes y contratistas con relativamente poco riesgo. Cuando alguien inicia sesión con credenciales de invitado, ingresa a un microsegmento que proporciona acceso a Internet y nada más.

Acceso por grupos de usuarios: Para protegerse contra las violaciones internas, muchas empresas segmentan los departamentos internos individuales en subredes separadas que consisten en los miembros autorizados del grupo y los DAAS que necesitan para hacer su trabajo. El acceso entre subredes se controla rigurosamente. Por ejemplo, alguien de ingeniería que intente acceder a la subred de recursos humanos activaría una alerta y una investigación.

Seguridad en la nube pública: Los proveedores de servicios en la nube suelen ser responsables de la seguridad en la infraestructura de la nube, pero el cliente es responsable de la seguridad de los sistemas operativos, plataformas, control de acceso, datos, propiedad intelectual, código fuente y contenido orientado al cliente que normalmente se asientan sobre la infraestructura. La segmentación es un método eficaz para aislar aplicaciones en entornos de nube pública e híbrida.

Cumplimiento de PCI DSS: Los administradores de red pueden utilizar la segmentación para aislar toda la información de tarjetas de crédito en una zona de seguridad – esencialmente una superficie de protección – y crear reglas para permitir solo el tráfico legítimo mínimo absoluto en la zona mientras se deniega automáticamente todo lo demás. Estas zonas aisladas son frecuentemente SDN virtualizadas en las que el cumplimiento de PCI DSS y la segmentación se pueden lograr mediante firewalls virtuales.