Recursos > Glosario de términos de seguridad > ¿Qué es el enclave en la nube?

¿Qué es el enclave en la nube?

Definición de enclave en la nube

El enclave en la nube es un método para segmentar las cargas de trabajo en un entorno de nube a fin de evitar el acceso excesivamente privilegiado a los recursos internos de una organización, así como para proteger la infraestructura de nube, las aplicaciones y los datos confidenciales contra el malware autopropagado, las infracciones de datos y otros ciberataques.

Los enclaves en la nube utilizan un perímetro definido por software (SDP) para crear una infraestructura como servicio (IaaS) protegida en la que las organizaciones pueden implementar control de acceso basado en roles, evaluación de confianza, gestión de certificados y otras funciones esenciales de seguridad en la nube.

El enclave en la nube también se denomina segmentación de carga de trabajo en la nube o microsegmentación en la nube.

 

¿Qué es un enclave?

Un enclave es una parte de una red separada del resto y regulada por políticas de seguridad granulares. El propósito de un enclave seguro es imponer un acceso con privilegios mínimos a los recursos críticos como parte de una estrategia de seguridad de defensa en profundidad.

¿En qué se diferencian los enclaves en la nube de la ciberseguridad tradicional?

Las soluciones de seguridad heredadas no están diseñadas igual que los enclaves en la nube para satisfacer las necesidades de la empresa digital moderna. Pongamos esto en un contexto histórico para entender por qué.

Hace años, cuando las aplicaciones y los datos residían en el centro de datos local de una organización (y los empleados trabajaban principalmente desde esas mismas instalaciones), la seguridad de red tradicional basada en el perímetro ofrecía un nivel de seguridad razonable. Hoy en día, la globalización y el trabajo híbrido han hecho que la computación en la nube pase al primer plano, lo que ha hecho que los modelos más antiguos no sean efectivos.

En la nube, las diferentes cargas de trabajo críticas de una sola organización pueden encontrarse en varios proveedores de servicios en la nube (por ejemplo, Amazon Web Service [AWS], Microsoft Azure) y los usuarios acceden a ellas a través de Internet. En términos prácticos, esto significa que ya no hay un perímetro de red, lo que abre muchas más vías para posibles ataques. El enclave en la nube contrarresta esta situación dando cabida a políticas de seguridad personalizadas que limitan el tráfico hacia y desde cargas de trabajo específicas solo a lo que está explícitamente permitido.

La segmentación de la red frente al enclave en la nube

La segmentación de la red es más útil para el tráfico norte-sur (entre su entorno y las ubicaciones fuera de él), mientras que el enclave en la nube añade una capa de protección para el tráfico este-oeste (de servidor a servidor, de aplicación a servidor, de web a servidor, etc. dentro de su entorno). Veamos ambos con un poco más de detalle.

Segmentación de la red
En comparación con un modelo basado en el perímetro que exclusivamente protege una red del exterior, la segmentación de la red es un enfoque más matizado. Es decir, divide una red en subredes y aplica protocolos de seguridad y cumplimiento a cada una. Por lo general, el tráfico entre segmentos se separa utilizando una VLAN antes de pasar por un cortafuegos.

Desafortunadamente, dado que este enfoque se basa en las direcciones IP, solo puede identificar cómo llegó una solicitud (es decir, su dirección IP de origen, el puerto o el protocolo), no el contexto o la identidad de la entidad que realiza la solicitud. Se permiten las comunicaciones consideradas seguras, incluso si el departamento de TI no sabe exactamente cuáles son. Así, se confía en la entidad una vez que está dentro de un segmento, incluso si se trata de un actor malicioso que busca moverse lateralmente dentro del entorno.

La segmentación de la red crea una red plana y deja vías desprotegidas que permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Además, el coste, la complejidad y el tiempo necesarios para administrar la segmentación de red mediante cortafuegos heredados o máquinas virtuales (VM) tienden a superar los beneficios de seguridad.

Enclave en la nube
El enclave en la nube, es decir, la microsegmentación basada en la nube, permite un control de tráfico más granular mientras minimiza la superficie de ataque de una organización. De esta forma, logra la segmentación de una manera que es operativamente más simple y segura que la segmentación de red. Va más allá de examinar las direcciones IP, los puertos y los protocolos para autenticar las solicitudes por identidad y contexto. Además, ofrece una protección granular a nivel de las cargas de trabajo individuales para controlar más eficazmente las comunicaciones entre ellas.

El enclave en la nube no solo minimiza las amenazas internas al brindar protección mucho más cerca de las cargas de trabajo, sino que también evita la propagación de amenazas externas después de que se haya infringido el perímetro.

En qué se diferencia la microsegmentación de la segmentación de red

Leer el blog
En qué se diferencia la microsegmentación de la segmentación de red

Confianza Cero con un solo clic

Leer la hoja de datos
Confianza Cero con un solo clic

Guía de mercado de Gartner para el acceso a red de confianza cero 2020

Leer la guía
Guía de mercado de Gartner para el acceso a red de confianza cero 2020

Guía del arquitecto de redes sobre el acceso a red de confianza cero

Leer la documentación técnica
Guía del arquitecto de redes sobre el acceso a red de confianza cero

Aplicación de la segmentación por fases

Leer el documento
Tecnologías ZTNA: cuáles son y cómo escogerlas

¿Cuáles son los beneficios del enclave en la nube?

Igual que la segmentación de la red, el enclave en la nube existe para reforzar la seguridad de la red y de los datos frente a un panorama de ciberamenazas creciente y en evolución. Las organizaciones están amenazadas en todas las regiones y sectores, ya que los ciberdelincuentes desarrollan técnicas cada vez más sofisticadas para evadir las medidas de seguridad. Para mantenerse al día, las organizaciones y su seguridad deben adaptarse.

Un enfoque eficaz de microsegmentación basada en la nube ofrece:

  • Seguridad proactiva de red y TI: el enclave en la nube crea políticas basadas en aplicaciones que se desplazan con todas las aplicaciones y servicios, lo que hace que las posibles infracciones de datos queden restringidas a los activos afectados, no a todo su entorno. Algunos servicios de enclave aprovechan la automatización para identificar todas las comunicaciones, recomendar políticas de confianza cero y permitirle aplicar estas políticas con un solo clic.
  • Menor vulnerabilidad: en lugar de los controles estáticos que dependen de las direcciones IP, los puertos y los protocolos, su equipo de seguridad puede tomar la huella digital de cada carga de trabajo para proporcionar una protección consistente mientras opera en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de la carga de trabajo de las construcciones de direcciones IP, por lo que puede evitar problemas con los controles basados en IP.
  • Evaluación continua del riesgo: los enclaves en la nube le permiten medir automáticamente su superficie de ataque visible para cuantificar el riesgo. Los servicios de enclave más eficaces verifican la identidad de una entidad cada vez que realiza una solicitud, lo que mitiga aún más el riesgo, apoya los mandatos de cumplimiento normativo y proporciona información para los informes de riesgo visualizados.
  • Gestión de políticas más sencilla: dado que las políticas de enclave en la nube se aplican a las cargas de trabajo en lugar de a las direcciones IP, los puertos, los protocolos o el hardware, permanecen intactas incluso si su infraestructura cambia. Esto significa que su equipo de seguridad puede extender un conjunto de controles a cualquier lugar y proteger un segmento con solo unas pocas políticas basadas en identidad en lugar de con cientos de reglas basadas en direcciones.

¿Es una buena práctica el enclave en la nube?

El enclave en la nube aborda numerosos casos de uso de la seguridad en la nube para los que los enfoques tradicionales simplemente no fueron creados. Cuando la segmentación de red se basa en controles pesados que requieren mucha administración, la microsegmentación aplica controles a las cargas de trabajo individuales, que luego siguen las cargas de trabajo en todo su entorno de nube. En nuestro mundo de plantillas híbridas globales, datos distribuidos y ataques cada vez más inteligentes, el enclave en la nube es un medio esencial de conseguir:

Visibilidad en todo su entorno
Los enclaves en la nube ofrecen un mayor contexto en torno al cual su equipo de seguridad puede desarrollar políticas basadas en las aplicaciones, el entorno o el cumplimiento, entre otros, centrándose en la identidad en lugar de solo en el punto de origen. Esto permite a su equipo crear políticas más granulares y reforzar a su vez su postura de seguridad.

Protección en los proveedores e implementaciones
Un enfoque de microsegmentación eficaz protege sus cargas de trabajo de manera consistente en todos los proveedores de nube, liberándole para crear entornos híbridos y multinube que se adapten mejor a sus necesidades de presupuesto e implementación. Una mayor flexibilidad le permite adoptar más fácilmente contenedores, informática sin servidor y mucho más.

Reducción de los costes de Capex y Opex
El enclave en la nube ahorrará trabajo y recursos a largo plazo. El despliegue, la gestión y el mantenimiento de la microsegmentación basada en la nube son mucho menos costosos, requieren menos trabajo y llevan menos tiempo que los cortafuegos y otros equipos.

Zscaler y el enclave en la nube

Zscaler Workload Segmentation™ (ZWS™) es una nueva forma de crear enclaves seguros en la nube. Con un solo clic, puede mejorar la seguridad permitiendo que ZWS revele el riesgo y aplique la protección basada en la identidad a sus cargas de trabajo, sin hacer ningún cambio en la red.

ZWS proporciona una protección sin fisuras con políticas que se adaptan automáticamente a los cambios del entorno, eliminando la superficie de ataque de su red. Además, Zscaler Workload Segmentation se basa en la API, lo que significa que puede integrarse con las herramientas de seguridad existentes y los procesos DevOps y que, por lo tanto, se puede conseguir la segmentación automática con un solo clic.

Basado en la confianza cero, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a filtraciones de datos.

Zscaler Workload Segmentation incluye:

Protección basada en la identidad del software
ZWS va más allá de las direcciones de red para verificar que la identidad del software de la aplicación y las cargas de trabajo en comunicación es segura en nubes públicas o privadas, nubes híbridas, centros de datos locales o entornos de contenedores. 

Motor de automatización de políticas
ZWS utiliza el aprendizaje automático para automatizar todo el ciclo de vida de la política para la microsegmentación y la protección de la carga de trabajo. No es necesario crear políticas manualmente durante la implementación o las operaciones en curso, y ZWS recomendará políticas nuevas o actualizadas cuando se agreguen o cambien aplicaciones.

Visibilidad y medición de la superficie de ataque
ZWS crea automáticamente una topología de aplicación en tiempo real y un mapa de dependencia hasta el nivel del proceso. A continuación, resalta las rutas de aplicación requeridas y las compara con el total de rutas de red disponibles, y recomienda políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

 

Compruébelo usted mismo

Solicite una demostración para ver por sí mismo cómo  Zscaler Workload Segmentation le permite crear enclaves en la nube para mejorar su seguridad.