What Is Microsegmentation?

Microsegmentation is a cybersecurity technique that allows organizations to better govern network access between resources (e.g., server-to-server/east-west traffic). By uniquely identifying each resource (e.g., server, application, host, user), your organization can configure permissions that provide fine-grained control of data traffic. When implemented using zero trust principles, microsegmentation enables you to stop lateral movement of threats, prevent workload compromise, and stop data breaches.

Microsegmentation vs. Network Segmentation

Microsegmentation Network Segmentation Microsegmentation, on the other hand, is best used for east-west traffic, or traffic that moves across the data center or cloud network—server-to-server, application-to-server, and so on. Simply put, network segmentation is like a castle’s outer walls and moat, whereas microsegmentation is like the guards standing at each of the castle’s interior doors. Network segmentation is best used for north-south traffic (i.e., the traffic that moves into and out of the network). With network segmentation, an entity, such as a user, is trusted once inside a designated zone of the network.

Microsegmentation Features

Some of the technical benefits of microsegmentation include: Centralized security controls and management across networks Segmentation policies that adapt automatically Gap-free protection

Business Benefits of Microsegmentation

Proactive network and IT security Microsegmentation removes security roadblocks common with traditional segmentation by creating application-aware policies that travel with all apps and services. As a result, potential data breaches are contained to affected assets, not the entire network. Some microsegmentation services even offer functionality that leverages automation to identify all communicating software, recommend zero trust policies, and let you apply them with one click. Reduced vulnerability Instead of static controls that rely on IP addresses, ports, and protocols, teams can cryptographically fingerprint each workload to provide consistent protection to workloads operating in an internal data center or the cloud. Fingerprinting decouples your workload security from IP address constructs to avoid issues with IP-based controls. Continuous risk assessment Microsegmentation lets you quantify risk exposure by automatically measuring the visible network attack surface to understand how many possible application communication pathways are in use. Some services even verify the identities of communicating software each time software requests a communication, which mitigates risk, supports regulatory compliance mandates, and provides visualized risk reports.

What is Zero Trust Segmentation?

A zero trust security model is based on principles of microsegmentation. Policy is applied to workloads, not network segments, allowing you to close off all trust to any resource at any location for which you can’t establish sufficient context. In a zero-trust model, for example - particularly one that's cloud-based - a company could determine that medical devices can only interact with other medical devices.

Recursos > Glosario de términos de seguridad > Qué es la microsegmentación

¿Qué es la microsegmentación?

La microsegmentación se originó como una forma de moderar el tráfico entre servidores (servidor a servidor) en el mismo segmento de red. Ha evolucionado para incluir tráfico dentro del segmento de modo que el servidor A pueda comunicarse con el servidor B o la aplicación A pueda comunicarse con el host B, y así sucesivamente, siempre y cuando la identidad del recurso solicitante (servidor, aplicación, host, usuario) coincida con el permiso configurado para dicho recurso.

Las políticas y los permisos para la microsegmentación pueden basarse en la identidad de los recursos, lo que las hace independientes de la infraestructura subyacente, a diferencia de la segmentación de red, que depende de las direcciones IP de la red. Esto hace que la microsegmentación sea un método ideal para crear agrupaciones inteligentes de cargas de trabajo basadas en las características de las cargas de trabajo individuales que se comunican dentro del centro de datos. La microsegmentación, una parte fundamental del marco de acceso a la red de confianza cero (ZTNA), no depende de las redes que cambian dinámicamente ni de los requisitos comerciales o técnicos que se les imponen, por lo que es una seguridad de red más fuerte y más fiable. También es mucho más sencilla de gestionar: puede proteger un segmento con solo unas pocas políticas basadas en la identidad en lugar de tener cientos de reglas de cortafuegos basadas en la dirección.

¿Por qué la microsegmentación?

Las soluciones de microsegmentación basadas en la red heredadas dependen de los cortafuegos, que utilizan las direcciones de red para aplicar las reglas. Esta dependencia de las direcciones de red es problemática, ya que las redes cambian constantemente, lo que significa que las políticas deben actualizarse continuamente a medida que las aplicaciones y los dispositivos se mueven. Las actualizaciones constantes son un desafío en un centro de datos local y aún más en los entornos multinube y en aquellos lugares en los que las direcciones IP son efímeras.

Los enfoques basados en direcciones de red para la segmentación no pueden identificar qué se está comunicando (por ejemplo, la identidad del software), sino que pueden decirle únicamente cómo se está comunicando, dándole la dirección IP, el puerto o el protocolo desde el que se originó la solicitud. Se permiten las comunicaciones siempre y cuando se consideren seguras, aunque los equipos de TI y de seguridad no sepan exactamente qué está intentando comunicarse. Además, una vez que una entidad está dentro de una "zona segura" en la red, la entidad se considera de confianza. Pero este modelo de confianza puede conducir a infracciones y, en una red plana, el riesgo de movimiento lateral es alto. Por estos importantes motivos la microsegmentación ha evolucionado.

Uno de los beneficios de la microsegmentación es que crea zonas seguras para que las empresas puedan aislar las cargas de trabajo entre sí y protegerlas individualmente. Está diseñada para permitir la partición granular del tráfico a fin de brindar mayor resistencia a los ciberataques .

Con un enfoque de seguridad en la nube que incluya la microsegmentación, los equipos de TI y de seguridad pueden adaptar la configuración de ciberseguridad a los diferentes tipos de tráfico, creando políticas que limiten los flujos de red y de aplicaciones entre las cargas de trabajo a quienes tengan explícitamente el permiso. En este modelo de seguridad de confianza cero , una empresa podría establecer una política, por ejemplo, que indique que los dispositivos médicos solo pueden comunicarse con otros dispositivos médicos. Y si un dispositivo de punto final o una carga de trabajo se traslada, las políticas de seguridad y los atributos se trasladan con ellos.

Al aplicar reglas de segmentación hasta el nivel de carga de trabajo o la aplicación, TI puede reducir la superficie de ataque, lo que minimiza el riesgo de que un atacante se mueva de una carga de trabajo o aplicación comprometida a otra.

La microsegmentación no es lo mismo que la segmentación de la red

Es bastante común que la segmentación de la red y la microsegmentación se utilicen indistintamente. En realidad, son conceptos completamente diferentes. El mejor uso de la segmentación de la red es para el tráfico norte-sur, es decir, el tráfico que entra y sale de la red. Con la segmentación de la red, una entidad, como un usuario, generalmente se considera de confianza una vez que se encuentra dentro de una zona designada de la red. La microsegmentación es más apropiada para el tráfico este-oeste o para el tráfico que se mueve a través del centro de datos o de la red en la nube: de servidor a servidor, de aplicación a servidor, etc. En pocas palabras, la segmentación de la red se asemeja a los muros exteriores de un castillo, mientras que la microsegmentación representa a los guardas que se encuentran en cada una de las puertas interiores del castillo.

Ventajas de la microsegmentación

Menos políticas que gestionar
Controles y gestión de políticas centralizados en todas las redes
Políticas de segmentación que se adaptan automáticamente independientemente de los cambios de infraestructura
Protección sin fisuras en la nube, contenedores, centros de datos locales y entornos de nube híbrida

Algunos proveedores se centran exclusivamente en la microsegmentación. En todos los casos, la solución debe ser compatible con el creciente requisito de "microsegmentación" basada en la identidad (una segmentación más granular y definida por software, también denominada segmentación de red de confianza cero) del tráfico este/oeste en los centros de datos.

Neil MacDonald y Tom Croll, Guía de mercado de Gartner sobre protección de la carga de trabajo en la nube, abril de 2020

Cómo se ha convertido la microsegmentación en un facilitador empresarial

Soporte para iniciativas empresariales clave

La microsegmentación elimina los obstáculos de seguridad que causan los enfoques tradicionales o "heredados". Cualquier amenaza para la confidencialidad, integridad o disponibilidad de datos o sistemas es un riesgo comercial que se debe mitigar. La microsegmentación crea políticas basadas en aplicaciones que viajan con todas las aplicaciones y servicios, lo que significa que los posibles compromisos se incluirán en el activo afectado, no en toda la red. Además, algunos servicios de microsegmentación ofrecen una funcionalidad que identifica automáticamente todo el software que se comunica, recomienda políticas de confianza cero y las aplica con un solo clic.

Protección sin fisuras

Las herramientas de ciberseguridad , como los cortafuegos, que se basan en direcciones IP, puertos y protocolos, no son adecuadas para proteger los entornos en la nube. La naturaleza dinámica de la nube hace que estos controles estáticos de seguridad y acceso sean poco fiables, ya que pueden cambiar en cualquier momento o varias veces en un día determinado. Incluso en un entorno de centro de datos local, los atacantes pueden suplantar fácilmente los controles de seguridad de red tradicionales, lo que los hace menos eficaces para la protección frente a las infracciones.
En lugar de controles estáticos, los equipos pueden tomar huellas digitales criptográficas de cada carga de trabajo para brindar una protección sistemática a las cargas de trabajo que operan en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de su carga de trabajo de las construcciones de direcciones IP y, por lo tanto, evita problemas con los controles basados en IP. Los equipos de seguridad pueden estar seguros de que solo se puede comunicar el software verificado por huella digital, independientemente de la ubicación de la red.

Evaluar el riesgo de forma continua

Con la microsegmentación, puede medir automáticamente la superficie de ataque de red visible para comprender cuántas vías de comunicación de aplicaciones posibles están en uso y cuantificar la exposición al riesgo. Los servicios también utilizan el aprendizaje automático para recomendar políticas de seguridad de confianza cero que reduzcan la posibilidad de movimiento lateral y la probabilidad de una filtración de datos.
Basada en el principio de acceso con privilegios mínimos, la microsegmentación reduce el acceso que se concede a aplicaciones, hosts y procesos dentro de la red. Algunos servicios también pueden verificar las identidades del software que se comunica cada vez que el software solicita una comunicación. Este enfoque centrado en el software mitiga el riesgo, apoya los mandatos de cumplimiento normativo y proporciona informes de riesgo visualizados que simplifican la evaluación del riesgo y permiten a los equipos filtrar fácilmente por aplicación o host.

Acelere su transformación

Líder del Cuadrante Mágico de Gartner

Haga posible el trabajo híbrido

La protección contra ransomware más eficaz del mundo

Haga posible la agilidad de la sucursal

Asegure su implementación de ServiceNow

Biblioteca de contenidos de confianza cero

Biblioteca de contenidos de confianza cero

Biblioteca de contenidos de confianza cero

Zscaler Empleos

Zscaler Empleos

Zscaler Empleos

¿Qué es la microsegmentación?