Zpedia 

/ ¿Qué es el enclave en la nube?

¿Qué es el enclave en la nube?

El enclave en la nube es un método para segmentar las cargas de trabajo en un entorno de nube para controlar el acceso, así como para proteger la infraestructura de la nube, las aplicaciones y los datos confidenciales contra malware autopropagante, infracciones de datos y otros ataques. Los enclaves en la nube utilizan un perímetro definido por software (SDP) para crear una infraestructura protegida en la que implementar el control de acceso, la evaluación de confianza, la gestión de certificados, etc. El enclave en la nube también se denomina segmentación de carga de trabajo en la nube o microsegmentación en la nube.
Confianza ceroSeguridad en la nube
  1. Enclave en la nube frente a tradicional
  2. Ventajas
  3. Zscaler y el enclave en la nube
  4. Recursos sugeridos
  5. Temas relacionados

¿En qué se diferencian los enclaves en la nube de la ciberseguridad tradicional?

Las soluciones de seguridad heredadas no están diseñadas igual que los enclaves en la nube para satisfacer las necesidades de la empresa digital moderna. Pongamos esto en un contexto histórico para entender por qué.

Hace años, cuando las aplicaciones y los datos residían en el centro de datos local de una organización (y los empleados trabajaban principalmente desde esas mismas instalaciones), la seguridad de red tradicional basada en el perímetro ofrecía un nivel de seguridad razonable. Hoy en día, la globalización y el trabajo híbrido han hecho que la computación en la nube pase al primer plano, lo que ha hecho que los modelos más antiguos no sean efectivos.

En la nube, las diferentes cargas de trabajo críticas de una sola organización pueden encontrarse en varios proveedores de servicios en la nube (por ejemplo, Amazon Web Service [AWS], Microsoft Azure) y los usuarios acceden a ellas a través de Internet. En términos prácticos, esto significa que ya no hay un perímetro de red, lo que abre muchas más vías para posibles ataques. El enclave en la nube contrarresta esta situación dando cabida a políticas de seguridad personalizadas que limitan el tráfico hacia y desde cargas de trabajo específicas solo a lo que está explícitamente permitido.

¿Qué es un enclave?

Un enclave es una parte de una red separada del resto y regulada por políticas de seguridad granulares. El propósito de un enclave seguro es imponer el acceso con mínimo privilegio a recursos críticos como parte de una estrategia de seguridad de defensa en profundidad.

La segmentación de la red frente al enclave en la nube

La segmentación de la red es más útil para el tráfico norte-sur (entre su entorno y las ubicaciones fuera de él), mientras que el enclave en la nube añade una capa de protección para el tráfico este-oeste (de servidor a servidor, de aplicación a servidor, de web a servidor, etc. dentro de su entorno). Veamos ambos con un poco más de detalle.

Segmentación de la red

En comparación con un modelo basado en perímetro que sólo protege una red desde el exterior, la segmentación de red es un enfoque más matizado. Es decir, divide una red en subredes y aplica protocolos de seguridad y cumplimiento a cada una. Por lo general, el tráfico entre segmentos se separa utilizando una VLAN antes de pasar por un cortafuegos.

Desafortunadamente, dado que este enfoque se basa en las direcciones IP, solo puede identificar cómo llegó una solicitud (es decir, su dirección IP de origen, el puerto o el protocolo), no el contexto o la identidad de la entidad que realiza la solicitud. Se permiten las comunicaciones consideradas seguras, incluso si el departamento de TI no sabe exactamente cuáles son. Así, se confía en la entidad una vez que está dentro de un segmento, incluso si se trata de un actor malicioso que busca moverse lateralmente dentro del entorno.

La segmentación de la red crea una red plana y deja vías desprotegidas que permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Además, el coste, la complejidad y el tiempo necesarios para administrar la segmentación de red mediante cortafuegos heredados o máquinas virtuales (VM) tienden a superar los beneficios de seguridad.

Enclave en la nube

La enclave en la nube, es decir, la microsegmentación basada en la nube, permite un control de tráfico más granular al tiempo que minimiza la superficie de ataque de una organización, logrando una segmentación de una manera que es operativamente más simple y más segura que la segmentación de red. Va más allá de examinar las direcciones IP, los puertos y los protocolos para autenticar las solicitudes por identidad y contexto. Además, ofrece una protección granular a nivel de las cargas de trabajo individuales para controlar más eficazmente las comunicaciones entre ellas.

El enclave en la nube no solo minimiza las amenazas internas al brindar protección mucho más cerca de las cargas de trabajo, sino que también evita la propagación de amenazas externas después de que se haya infringido el perímetro.

¿Cuáles son los beneficios del enclave en la nube?

Igual que la segmentación de la red, el enclave en la nube existe para reforzar la seguridad de la red y de los datos frente a un panorama de ciberamenazas creciente y en evolución. Las organizaciones están amenazadas en todas las regiones y sectores, ya que los ciberdelincuentes desarrollan técnicas cada vez más sofisticadas para evadir las medidas de seguridad. Para mantenerse al día, las organizaciones y su seguridad deben adaptarse.

Un enfoque eficaz de microsegmentación basada en la nube ofrece:

  • Seguridad proactiva de red y TI: el enclave en la nube crea políticas basadas en aplicaciones que se desplazan con todas las aplicaciones y servicios, lo que hace que las posibles infracciones de datos queden restringidas a los activos afectados, no a todo su entorno. Algunos servicios de enclave aprovechan la automatización para identificar todas las comunicaciones, recomendar políticas de confianza cero y permitirle aplicar estas políticas con un solo clic.
  • Menor vulnerabilidad: en lugar de los controles estáticos que dependen de las direcciones IP, los puertos y los protocolos, su equipo de seguridad puede tomar la huella digital de cada carga de trabajo para proporcionar una protección consistente mientras opera en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de la carga de trabajo de las construcciones de direcciones IP, por lo que puede evitar problemas con los controles basados en IP.
  • Evaluación continua de riesgos: los enclaves en la nube le permiten medir automáticamente su superficie de ataque visible para cuantificar el riesgo. Los servicios de enclave más eficaces verifican la identidad de una entidad cada vez que realiza una solicitud, lo que mitiga aún más el riesgo, apoya los mandatos de cumplimiento normativo y proporciona información para los informes de riesgo visualizados.
  • Gestión de políticas más sencilla: dado que las políticas de enclave en la nube se aplican a las cargas de trabajo en lugar de a las direcciones IP, los puertos, los protocolos o el hardware, permanecen intactas incluso si su infraestructura cambia. Esto significa que su equipo de seguridad puede extender un conjunto de controles a cualquier lugar y proteger un segmento con solo unas pocas políticas basadas en identidad en lugar de con cientos de reglas basadas en direcciones.

¿Es una buena práctica el enclave en la nube?

El enclave en la nube aborda numerosos casos de uso de la seguridad en la nube para los que los enfoques tradicionales simplemente no fueron creados. Mientras que la segmentación de red se basa en controles pesados que requieren mucha administración, la microsegmentación aplica controles a las cargas de trabajo individuales, que se usan para realizar un seguimiento en todo su entorno en la nube. En nuestro mundo de plantillas híbridas globales, datos distribuidos y ataques cada vez más inteligentes, el enclave en la nube es un medio esencial de conseguir:

Visibilidad en todo su entorno

Los enclaves en la nube ofrecen un mayor contexto en torno al cual su equipo de seguridad puede crear políticas basadas en la aplicación, el entorno, el cumplimiento y más, centrándose en la identidad en lugar de único en el punto de origen. Esto permite a su equipo crear políticas más granulares y reforzar a su vez su postura de seguridad.

Protección entre proveedores e implementaciones

Un enfoque de microsegmentación eficaz protege sus cargas de trabajo de manera consistente entre los proveedores de nube, lo que le permite crear entornos híbridos y multinube que se adapten mejor a su presupuesto y necesidades de implementación. Una mayor flexibilidad le permite adoptar más fácilmente contenedores, informática sin servidor, etc.

Reducción de los gastos de capital y gastos operativos

El enclave en la nube ahorrará mano de obra y recursos a largo plazo. El despliegue, la gestión y el mantenimiento de la microsegmentación basada en la nube son mucho menos costosos, requieren menos trabajo y llevan menos tiempo que los cortafuegos y otros equipos.

Zscaler y el enclave en la nube

Zscaler Workload Communications es una nueva manera de crear enclaves seguros en la nube. Con un solo clic, puede mejorar la seguridad permitiendo que ZWS revele el riesgo y aplique la protección basada en la identidad a sus cargas de trabajo, sin hacer ningún cambio en la red.

Workload Communications proporciona una protección sin fisuras con políticas que se adaptan automáticamente a los cambios del entorno, eliminando la superficie de ataque de su red. Además, Zscaler Workload Communications se basa en API, lo que significa que puede integrarse con las herramientas de seguridad existentes y los procesos de DevOps y que, por lo tanto, permite conseguir una segmentación automática con un único clic.

Basado en la confianza cero, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a filtraciones de datos.

Workload Communications incluye:

Protección basada en la identidad del software

Busque más allá de las direcciones de red para verificar la identidad segura de las cargas de trabajo y el software de aplicaciones que se comunican, en nubes públicas o privadas, nubes híbridas, centros de datos en las instalaciones o entornos de contenedores.

Motor de automatización de políticas

Utilizando el aprendizaje automático, automatiza todo el ciclo de vida de las políticas de microsegmentación y protección de cargas de trabajo. No es necesario crear políticas manualmente durante la implementación o las operaciones en curso, y Workload Communications recomendará políticas nuevas o actualizadas cuando se agreguen o cambien aplicaciones.

Visibilidad y medición de la superficie de ataque

ZWS crea automáticamente una topología de aplicación en tiempo real y un mapa de dependencia hasta el nivel del proceso. A continuación, resalta las rutas de aplicación requeridas y las compara con el total de rutas de red disponibles, y recomienda políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

Compruébelo usted mismo

Solicite una demostración para ver usted mismo cómo Zscaler Workload Communications le permite crear enclaves en la nube para mejorar su seguridad.

Recursos sugeridos

En qué se diferencia la microsegmentación de la segmentación de red
Leer el blog
Confianza Cero con un solo clic
Leer la hoja de datos
Guía de mercado de Gartner para el acceso a red de confianza cero 2020
Leer la guía
Guía del arquitecto de redes sobre el acceso a red de confianza cero
Leer la documentación técnica
Aplicación de la segmentación por fases
Leer el documento

01 / 03