Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Learn More
Zpedia / ¿Qué es la microsegmentación?

¿Qué es la microsegmentación?

La microsegmentación es una técnica de ciberseguridad que permite a las organizaciones gobernar mejor el acceso a la red entre recursos (por ejemplo, el tráfico de servidor a servidor/este-oeste). Al identificar de forma exclusiva cada recurso (por ejemplo, un servidor, una aplicación, un host, un usuario), su organización puede configurar permisos que proporcionen un control detallado del tráfico de datos. Combinada con un enfoque de confianza cero, la microsegmentación ayuda a prevenir el movimiento lateral de amenazas, el compromiso de la carga de trabajo y las filtraciones de datos.

Lea "Microsegmentación 101"

Por qué es importante la microsegmentación

La microsegmentación permite a TI basar las políticas y los permisos en la identidad de los recursos, lo que la convierte en el método ideal para crear agrupaciones inteligentes de cargas de trabajo basadas en las características de las cargas de trabajo individuales que se comunican dentro del centro de datos. En combinación con controles de acceso basados en el principio de privilegios mínimos, la microsegmentación protege mejor las aplicaciones y los datos esenciales de una organización al tiempo que refuerza significativamente la postura general de seguridad.

Asimismo, la microsegmentación no depende de redes que cambian dinámicamente o de los requisitos comerciales o técnicos que se les impongan, por lo que es más potente y más fiable para la seguridad de la red. De hecho, es una parte fundamental de un marco de acceso a la red de confianza cero (ZTNA), que ha demostrado simplificar el control de acceso.

También es mucho más sencilla de gestionar: puede proteger un segmento con solo unas pocas políticas basadas en la identidad en lugar de tener cientos de políticas de cortafuegos basadas en la dirección.

Microsegmentación frente a segmentación de red

Aunque la segmentación de la red y la microsegmentación se utilizan a menudo indistintamente, son conceptos completamente diferentes.

La segmentación de red se utiliza mejor para el tráfico norte-sur (dentro y fuera de una red). Las organizaciones suelen crear segmentos de red a través de VLAN o cortafuegos; dichos segmentos (zonas) se basan en la región geográfica o los niveles de red existentes: datos, aplicaciones o red. Con la segmentación de red, se confía en una entidad (como por ejemplo un usuario) una vez que se encuentra dentro de una zona determinada.

La microsegmentación se utiliza mejor para el tráfico de este a oeste (a través del centro de datos o la red de la nube: de servidor a servidor, de aplicación a servidor, etc.). En pocas palabras, la segmentación de la red es como las murallas exteriores y el foso de un castillo, mientras que la microsegmentación serían los guardias que se encuentran en cada una de las puertas interiores del castillo.

Cómo funciona la microsegmentación

Las soluciones de microsegmentación crean zonas seguras que permiten a las empresas aislar las cargas de trabajo o las máquinas virtuales entre sí y protegerlas individualmente. Están diseñadas para permitir la partición granular del tráfico de red a fin de brindar mayor resistencia a los ciberataques.

En nuestro mundo hiperconectado, la microsegmentación se ha convertido en un elemento fundamental de cualquier estrategia de seguridad moderna y eficaz. Con un enfoque que incluya políticas de microsegmentación, los equipos de TI y de seguridad pueden adaptar las configuraciones a los diferentes tipos de tráfico, creando controles que limiten los flujos de red y de aplicaciones entre las cargas de trabajo a los que están explícitamente permitidos.

La aplicación de reglas de segmentación hasta el nivel de la carga de trabajo o la aplicación permite a TI reducir la superficie de ataque, lo que disminuye el riesgo de que un atacante se mueva de una carga de trabajo o aplicación comprometida a otra.

Casos de uso de microsegmentación

La microsegmentación es esencial para el éxito de varios casos de uso empresarial comunes, que incluyen:

  • Migración a la nube: la microsegmentación puede acelerar y simplificar la adopción de la nube al permitir una conectividad directa segura para cargas de trabajo en la nube y garantizar comunicaciones protegidas de las cargas de trabajo en toda la infraestructura multinube.
  • Fusiones y adquisiciones: la microsegmentación agiliza los esfuerzos de integración posteriores al proceso de fusión y adquisición al permitir el acceso a aplicaciones entre redes sin redes de conexión. Los administradores pueden aplicar una postura de seguridad universal para proteger las cargas de trabajo en varias VPC, regiones y nubes públicas.
  • Infraestructura de escritorio virtual: la microsegmentación ayuda a proteger la VDI proporcionada desde la infraestructura de la nube al permitir la aplicación de políticas de control de acceso precisas para sitios y aplicaciones privadas con autorización explícita.
  • Segmentación de cargas de trabajo: la microsegmentación brinda a las organizaciones un control granular sobre la conectividad para cargas de trabajo en la nube ubicadas en diferentes VPC/VNet, regiones o nubes públicas.

La microsegmentación va más allá de la segmentación tradicional

La microsegmentación ofrece un enfoque dinámico y consciente del contexto para la seguridad de la red. Mientras que la segmentación de red tradicional se basa en reglas de cortafuegos estáticas basadas en direcciones IP, la microsegmentación se centra en la capa de aplicación, la identidad del usuario y los atributos del dispositivo. Debido a que las políticas de microsegmentación no están vinculadas a direcciones IP específicas, son más adaptables a las redes modernas, ya sea en centros de datos locales o entornos multinube.

La segmentación tradicional requiere actualizaciones constantes de las reglas, mientras que la microsegmentación puede adaptarse dinámicamente a los cambios en la configuración de la red, los dispositivos y usuarios móviles, y las amenazas en evolución. La microsegmentación, que tiene en cuenta el comportamiento del usuario, el contexto de la aplicación y más, proporciona un marco de seguridad más potente, flexible y eficaz para los entornos de TI actuales.

Por qué los enfoques de segmentación heredados no funcionan

Los enfoques de segmentación basados en direcciones de red no pueden identificar lo que se está comunicando, por ejemplo, no pueden identificar la identidad del software. Sólo pueden informarle de cómo se está comunicando, por ejemplo, con la dirección IP, el puerto o el protocolo desde el que se originó la solicitud. Esto significa que, siempre que se consideren "seguras", las comunicaciones están permitidas, aunque los equipos de TI y de seguridad no sepan exactamente lo que se intenta comunicar.

Lo que es más, una vez que una entidad está dentro de una zona segura en la red, la entidad es de confianza, lo que puede conducir a infracciones y, en una red plana, a movimiento lateral.

Características y ventajas de la microsegmentación

Algunas de las ventajas y características técnicas de la microsegmentación son:

  • Gestión y controles de seguridad centralizados en todas las redes: dado que la microsegmentación gestiona el tráfico de este a oeste en lugar del tráfico de norte a sur, sus políticas resisten cualquier tráfico que se mueva a través de los segmentos que gobiernan. Y, puesto que la política está más definida, se obtiene una visibilidad mucho mayor de la actividad de la red que con la segmentación de la misma.
  • Políticas de segmentación que se adaptan automáticamente: las políticas se aplican a las cargas de trabajo en lugar de al hardware, por lo que permanecen intactas independientemente de los cambios en la infraestructura. Esto significa que los equipos de seguridad de TI pueden extender un conjunto de controles en cualquier lugar, sin necesidad de que haya tiempo fuera de servicio.
  • Protección sin brechas: las políticas de seguridad abarcan nubes públicas y privadas, contenedores, centros de datos locales, entornos de nube híbrida y sistemas operativos porque la política depende de la carga de trabajo, no del segmento de la red.
  • Auditorías simplificadas: debido a que la microsegmentación identifica de forma única cada recurso, ofrece una visibilidad significativamente mejor que otros enfoques, lo que hace que las auditorías regulatorias sean mucho más rápidas y fáciles de realizar.

Algunos proveedores se centran exclusivamente en la microsegmentación. En todos los casos, la solución debe ser compatible con el creciente requisito de "microsegmentación" basada en la identidad (una segmentación más granular y definida por software, también denominada segmentación de red de confianza cero) del tráfico este/oeste en los centros de datos.

Neil MacDonald y Tom Croll, Gartner Market Guide to Cloud Workload Protection (Guía de mercado para la protección de cargas de trabajo en la nube), abril de 2020

Ventajas comerciales de la microsegmentación

Seguridad proactiva de la red y de TI

La microsegmentación elimina los obstáculos de seguridad comunes en la segmentación tradicional mediante la creación de políticas basadas en aplicaciones que viajan con todas las aplicaciones y servicios. Como resultado, las posibles infracciones de datos quedan contenidas en los activos afectados, sin pasar a toda la red. Algunos servicios de microsegmentación eficaces ofrecen una funcionalidad que aprovecha la automatización para identificar todo el software que se comunica, recomendar políticas de confianza cero y permitirle aplicarlas con un solo clic.

Reducción de la vulnerabilidad

En lugar de los controles estáticos que se basan en las direcciones IP, los puertos y los protocolos, los equipos pueden tomar una huella digital criptográfica de cada carga de trabajo para proporcionar una protección uniforme a las cargas de trabajo que operan en un centro de datos interno o en la nube. La toma de huella digital desvincula la seguridad de su carga de trabajo de las construcciones de direcciones IP para evitar problemas con los controles basados en IP.

Evaluación continua de riesgos

La microsegmentación le permite cuantificar la exposición al riesgo midiendo automáticamente la superficie visible de ataque de red para comprender cuántas vías de comunicación de aplicaciones posibles están en uso. Algunos servicios incluso verifican las identidades del software que se comunica cada vez que el software solicita una comunicación, lo que mitiga el riesgo, respalda los mandatos de cumplimiento normativo y proporciona informes de riesgo visualizados.

Recomendaciones para una microsegmentación correcta

Entonces, ¿cómo se obtienen esos beneficios? Los detalles variarán dependiendo de su sector, obligaciones regulatorias, etc., pero hay determinadas prácticas generales que deberían formar parte de cualquier plan de microsegmentación adecuado:

  • Cree políticas de acceso detalladas y granulares con privilegios mínimos basadas en el conocimiento a nivel de aplicación, las identidades de los usuarios y los atributos del dispositivo, limitando el acceso a los recursos exclusivamente a lo que cada usuario o entidad necesita para realizar su trabajo.
  • Integre con sistemas de gestión de identidades y accesos (IAM) para garantizar que sus políticas se alineen con los roles y permisos de los usuarios.
  • Implemente supervisión y auditoría continuos en tiempo real del tráfico de red y la aplicación de políticas para detectar anomalías o infracciones de políticas.
  • Utilice herramientas automatizadas para implementar y ajustar políticas en respuesta a cambios en la configuración de su red o en su postura de seguridad.
  • Realice auditorías de seguridad y pruebas de penetración periódicas, y mantenga una documentación exhaustiva para garantizar que sus políticas sigan siendo efectivas, así como para respaldar los informes de cumplimiento y la resolución de problemas.

Segmentación de confianza cero

Un modelo de seguridad de confianza cero se basa en principios de microsegmentación. La política se aplica a las cargas de trabajo, no a los segmentos de red, lo que le permite controlar granularmente el acceso a cualquier recurso en cualquier ubicación si no se puede establecer un contexto suficiente para alguna conexión.

Por ejemplo, con un modelo de confianza cero (especialmente uno basado en la nube), una empresa podría establecer una política que establezca que los dispositivos médicos solo pueden interactuar con otros dispositivos médicos. Si un dispositivo de punto final o una carga de trabajo se movieran, las políticas de seguridad y los atributos se moverían con ellos en tiempo real.

Muchos proveedores de seguridad en la nube prometen una confianza cero basada en la nube que no pueden mantener. Sólo un proveedor ofrece seguridad de confianza cero integral desde la nube que puede proteger su red, aplicaciones y datos confidenciales de las sofisticadas amenazas cibernéticas de la actualidad.

Cómo puede ayudar Zscaler

Zscaler Workload Communications es el enfoque moderno para proteger sus aplicaciones y cargas de trabajo en la nube. Con conectividad segura de confianza cero en la nube para cargas de trabajo, puede eliminar la superficie de ataque de su red, detener el movimiento lateral de amenazas, evitar la vulneración de la carga de trabajo y prevenir la pérdida de datos confidenciales.

Workload Communications utiliza la plataforma Zscaler Zero Trust Exchange™ para proteger las cargas de trabajo en la nube, lo que permite a su organización detener el acceso malicioso con seguridad explícita basada en la confianza que aprovecha la identidad, los perfiles de riesgo, la ubicación y el análisis de comportamiento.

La prevención de amenazas con inspección SSL profunda refuerza aún más sus defensas cibernéticas. Con la protección cibernética siendo provista desde la nube, las políticas de seguridad son fáciles de configurar, administrar y mantener. Nunca ha sido tan sencillo eliminar la superficie de ataque de su red y adoptar una protección eficaz de confianza cero.

¿Quiere ver de primera mano cómo funciona Zscaler Workload Communications? Visite nuestra página de producto para solicitar una demostración personalizada.

Recursos sugeridos

FAQs

¿Qué es una carga de trabajo?

Una carga de trabajo es un proceso, recurso o grupo de estos (por ejemplo, comunicaciones, procesamiento, gestión, ejecución) relacionado con una aplicación y su uso. En la nube, las cargas de trabajo también incluyen las propias aplicaciones. Comprender y administrar las cargas de trabajo es una clave para encontrar y resolver vulnerabilidades, proteger datos y puntos de acceso, implementar autenticación y cifrado, y supervisar y mitigar amenazas potenciales.

¿Qué es un ejemplo de microsegmentación?

Como ejemplo sencillo de microsegmentación, supongamos que una empresa microsegmenta su arquitectura de nube híbrida para aislar y proteger activos críticos (por ejemplo, bases de datos, servidores, estaciones de trabajo). Cada segmento tiene sus propios controles de acceso, cortafuegos y sistemas de detección de intrusos, lo que limita el movimiento lateral y reduce el alcance de las infracciones.Un pirata informático que comprometiera el punto final de un usuario tendría acceso únicamente al segmento de ese punto final, no a datos confidenciales ni a infraestructuras esenciales.

¿Cuáles son las desventajas de la microsegmentación?

Implementar y gestionar la microsegmentación puede resultar complejo, especialmente en redes dinámicas y de gran tamaño. Además, la complejidad del enrutamiento y la inspección del tráfico en los límites de los segmentos pueden afectar el rendimiento si su red y su arquitectura de seguridad no pueden escalar lo suficiente. Para superar estos problemas, es fundamental invertir en las herramientas y el proveedor adecuados para sus cargas de trabajo y sus necesidades.

¿Por qué necesitamos la microsegmentación?

Las organizaciones necesitan microsegmentación para proteger los activos críticos en el complejo panorama digital actual. Los microsegmentos aislados en una red y una infraestructura de seguridad más amplias permiten un control granular sobre la comunicación entre los segmentos de la red, lo que ayuda a limitar el movimiento lateral, reducir la superficie de ataque y contener las infracciones. Con la proliferación del trabajo remoto, la IoT y la nube, la microsegmentación ofrece control y una postura de seguridad más potente allí donde la seguridad tradicional basada en perímetros se queda corta.

¿Quién necesita segmentar redes o entornos?

La microsegmentación es especialmente importante para las organizaciones que manejan datos confidenciales u operan infraestructura esenciales, o están sujetas a regulaciones como HIPAA y RGPD (incluidos servicios sanitarios, financieros o gubernamentales, comercio electrónico, etc.), pero se pueden beneficiar organizaciones de cualquier tamaño, en cualquier sector. La microsegmentación les ayuda a fortalecer la seguridad, reforzar la integridad de los datos y minimizar el efecto de las infracciones.

¿La microsegmentación reducirá los costes?

La microsegmentación puede ayudar a las organizaciones a reducir tanto el gasto de capital como el gasto operativo. Al hacer que su infraestructura sea más segura, ayuda a prevenir filtraciones de datos y tiempos de inactividad, lo que en última instancia implica un ahorro en posibles pérdidas financieras asociadas con incidentes de seguridad. Además, puede optimizar la gestión de la red, reducir la necesidad de grandes inversiones en hardware y disminuir los gastos administrativos, lo que se traduce en ahorros de costes operativos.

¿Por qué la microsegmentación es clave para la confianza cero?

Una microsegmentación eficaz le permite imponer un acceso granular con privilegios mínimos (un componente clave de un enfoque de confianza cero), lo que limita el potencial de movimiento lateral de amenazas y reduce la superficie de ataque general. Debido a que cada conexión debe verificarse antes de ser autorizada, es mucho más difícil para los atacantes escalar privilegios. Este enfoque se alinea con la confianza cero, fortaleciendo la seguridad más allá de las capacidades de las tradicionales defensas perimetrales de confianza asumida.

¿Cuál es la diferencia entre cortafuegos y microsegmentación?

Al más alto nivel, los cortafuegos son una tecnología de seguridad perimetral, mientras que la microsegmentación es una estrategia de seguridad interna. Los cortafuegos se centran en controlar el tráfico que entra o sale de una red. La microsegmentación divide la red en segmentos aislados y aplica políticas de seguridad granulares, a menudo a nivel de carga de trabajo o dispositivo individual. La microsegmentación controla el tráfico entre estos segmentos, limitando el movimiento lateral y proporcionando un control detallado sobre el acceso a los recursos, especialmente en entornos complejos centrados en la nube.