Recursos > Glosario de términos de seguridad > ¿Qué es la segmentación de cargas de trabajo en la nube?

¿Qué es la segmentación de cargas de trabajo en la nube?

¿Qué es la segmentación de cargas de trabajo en la nube? 

La segmentación de cargas de trabajo en la nube es un proceso basado en la nube que consiste en aplicar la protección basada en la identidad a las cargas de trabajo sin hacer ningún cambio de arquitectura en sus redes.

 

La necesidad de microsegmentación

La microsegmentación se originó como una forma de moderar el tráfico entre servidores en el mismo segmento de red. Ha evolucionado para incluir el tráfico entre segmentos, de modo que el servidor A pueda hablar con el servidor B o la aplicación A pueda comunicarse con el host B, y así sucesivamente, siempre y cuando la identidad del recurso solicitante (servidor/aplicación/host/usuario) coincida con el permiso configurado para ese recurso. 

Las soluciones de microsegmentación heredadas basadas en la red dependen de los cortafuegos, que utilizan las direcciones de red para aplicar las reglas. Esta dependencia de las direcciones de red aumenta la complejidad de las operaciones, porque las redes cambian constantemente, lo que significa que las políticas deben actualizarse continuamente a medida que se mueven las aplicaciones y los dispositivos. Las actualizaciones constantes son un desafío en un centro de datos, y más aún en la nube y donde las direcciones IP son efímeras.

Los enfoques basados en direcciones de red para la segmentación no pueden identificar qué se está comunicando (por ejemplo, la identidad del software), sino que solo pueden decirle cómo se está comunicando, dándole datos como la dirección IP, el puerto o el protocolo desde el que se originó la "solicitud". Mientras se consideren "seguras", las comunicaciones están permitidas, aunque el departamento de TI no sepa exactamente qué es lo que se intenta comunicar. Además, una vez que una entidad está dentro de una zona de red, la entidad es de confianza y esta "confianza" podría ser explotada por actores maliciosos para moverse lateralmente dentro de la nube o el centro de datos. 

Este enfoque heredado crea lo que se conoce como una red plana. Este tipo de estructura permite un acceso excesivo a través de rutas desprotegidas que dan la oportunidad a los atacantes de moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. El coste, la complejidad y el tiempo que implica la segmentación de la red mediante cortafuegos virtuales heredados superan el beneficio de seguridad. 

Este modelo de confianza basado en la red puede conducir a infracciones y esa es una de las principales razones por las que evolucionó la microsegmentación. 

La microsegmentación es una forma de llevar la protección hasta la propia carga de trabajo de la aplicación, de forma que las empresas puedan controlar las comunicaciones entre las cargas de trabajo de forma más eficaz y protegerlas individualmente. Está diseñada para permitir un control granular del tráfico y eliminar la superficie de ataque de la red.

Con la microsegmentación, los equipos de TI pueden adaptar la configuración de seguridad a los diferentes tipos de aplicaciones empresariales, creando políticas que limitan los flujos de red y de aplicaciones entre las cargas de trabajo a las que están explícitamente permitidas. En este modelo de seguridad de confianza cero, una empresa podría establecer una política, por ejemplo, que indique que una aplicación en particular que se ejecuta en un host solo puede hablar con otro software de aplicaciones que se ejecuta en otros hosts. Por ejemplo, todo el software relacionado con PCI se puede microsegmentar para controlar estrechamente el acceso al entorno PCI y reducir el número de sistemas incluidos. Y si un dispositivo o carga de trabajo se traslada, las políticas de seguridad y los atributos se trasladan con él.

Al aplicar reglas de segmentación al nivel de la carga de trabajo o la aplicación, el departamento de TI puede reducir el riesgo de que un atacante pase de una carga de trabajo o aplicación comprometida a otra. 

Usar un enfoque de confianza cero en la nube para proteger las conexiones entre los usuarios y las aplicaciones basado en políticas comerciales, sin conectarlas a la red corporativa, (enfoque conocido como acceso a la red de confianza cero (ZTNA)), ofrece una seguridad más potente en las nubes públicas y los centros de datos.

Al aplicar reglas de segmentación a nivel de la carga de trabajo o la aplicación, el departamento de TI puede reducir el riesgo de que un atacante pase de una carga de trabajo o aplicación comprometida a otra.

Ann Bednarz, Network World

¿Cómo hace Zscaler la segmentación de cargas de trabajo en la nube?

Zscaler Workload Segmentation (ZWS) simplifica la microsegmentación mediante la automatización de la creación y administración de políticas, al tiempo que protege sus aplicaciones y cargas de trabajo en la nube y en el centro de datos.

Con un solo clic, ZWS revela el riesgo de una organización y aplica protección basada en la identidad a las cargas de trabajo, sin hacer ningún cambio en la red. Su tecnología basada en la identidad de software brinda protección sin fisuras con políticas que se adaptan automáticamente a los cambios en el entorno. En resumen, ZWS facilita la eliminación de la superficie de ataque de su red. 

Lo primero que hace ZWS es analizar la topología de comunicación de las aplicaciones mediante el aprendizaje automático, un proceso que dura unas 72 horas (una enorme mejora respecto a los meses que se tarda en realizarlo manualmente). Una vez hecho esto, Zscaler mide el total de rutas de red disponibles y las rutas de aplicación que realmente requieren las aplicaciones empresariales. Normalmente, solo se requiere una fracción de las vías. Se pueden eliminar todas las vías de comunicación innecesarias para reducir la superficie de ataque.

Para habilitar la microsegmentación basada en la identidad, a cada dispositivo y recurso de software se le asigna una identidad inmutable y única basada en docenas de propiedades del propio activo. Las identidades se extienden hasta el nivel de subproceso, de modo que Zscaler puede identificar de forma única incluso secuencias de comandos Java JAR y Python individuales. La creación y gestión de la identidad están totalmente automatizadas para simplificar las operaciones. 

Zscaler verifica las identidades de los programas informáticos que se comunican en tiempo real. Este enfoque de confianza cero impide la comunicación de software no aprobado y malicioso. Los ataques combinados que usan reglas de cortafuegos aprobadas se convierten en algo perteneciente al pasado. La identidad es el secreto para lograr operaciones más sencillas y brindar una protección más sólida en comparación con los controles de seguridad de red tradicionales.

Dado que las identidades del software que se comunica son tan específicas, Zscaler simplifica el número de políticas necesarias para proteger un segmento. Como se ha señalado anteriormente, nuestra plataforma no crea más de siete políticas para cada segmento que establecen exactamente qué aplicaciones y dispositivos pueden comunicarse entre sí. Y, como las políticas de segmentación se construyen utilizando la identidad del software, incluso si la red subyacente cambia, las políticas no se rompen. Si el sistema no puede verificar la identidad única de lo que intenta comunicarse, no se produce ninguna comunicación.

Con Zscaler Workload Segmentation, se pueden lograr la creación de segmentos y políticas asociadas en cuestión de minutos.

 

Véalo usted mismo

Solicite una demostración para ver por usted mismo cómo Zscaler Workload Segmentation puede mejorar su seguridad

Confianza Cero con un solo clic

Leer la hoja de datos
Confianza Cero con un solo clic

En qué se diferencia la microsegmentación de la segmentación de red

Leer el blog
En qué se diferencia la microsegmentación de la segmentación de red

Goulston & Storrs elevan la seguridad de los datos de los clientes con Zscaler Workload Segmentation

Lea el estudio de caso
Goulston & Storrs elevan la seguridad de los datos de los clientes con Zscaler Workload Segmentation