Recursos > Glosario de términos de seguridad > Qué es la microsegmentación

¿Qué es la microsegmentación?

¿Qué es la microsegmentación?

La microsegmentación se originó como una forma de moderar el tráfico entre servidores (servidor a servidor) en el mismo segmento de red. Ha evolucionado para incluir tráfico dentro del segmento de modo que el servidor A pueda comunicarse con el servidor B o la aplicación A pueda comunicarse con el host B, y así sucesivamente, siempre y cuando la identidad del recurso solicitante (servidor, aplicación, host, usuario) coincida con el permiso configurado para dicho recurso. 

Las políticas y los permisos para la microsegmentación pueden basarse en la identidad de los recursos, lo que las hace independientes de la infraestructura subyacente, a diferencia de la segmentación de red, que depende de las direcciones IP de la red. Esto hace que la microsegmentación sea un método ideal para crear agrupaciones inteligentes de cargas de trabajo basadas en las características de las cargas de trabajo individuales que se comunican dentro del centro de datos. La microsegmentación, una parte fundamental del marco de acceso a la red de confianza cero (ZTNA), no depende de las redes que cambian dinámicamente ni de los requisitos comerciales o técnicos que se les imponen, por lo que es una seguridad de red más fuerte y más fiable. También es mucho más sencilla de gestionar: puede proteger un segmento con solo unas pocas políticas basadas en la identidad en lugar de tener cientos de reglas de cortafuegos basadas en la dirección.
 

¿Por qué la microsegmentación?

Las soluciones de microsegmentación basadas en la red heredadas dependen de los cortafuegos, que utilizan las direcciones de red para aplicar las reglas. Esta dependencia de las direcciones de red es problemática, ya que las redes cambian constantemente, lo que significa que las políticas deben actualizarse continuamente a medida que las aplicaciones y los dispositivos se mueven. Las actualizaciones constantes son un desafío en un centro de datos local y aún más en los entornos multinube y en aquellos lugares en los que las direcciones IP son efímeras.

Los enfoques basados en direcciones de red para la segmentación no pueden identificar qué se está comunicando (por ejemplo, la identidad del software), sino que pueden decirle únicamente cómo se está comunicando, dándole la dirección IP, el puerto o el protocolo desde el que se originó la solicitud. Se permiten las comunicaciones siempre y cuando se consideren seguras, aunque los equipos de TI y de seguridad no sepan exactamente qué está intentando comunicarse. Además, una vez que una entidad está dentro de una "zona segura" en la red, la entidad se considera de confianza. Pero este modelo de confianza puede conducir a infracciones y, en una red plana, el riesgo de movimiento lateral es alto. Por estos importantes motivos la microsegmentación ha evolucionado.

Uno de los beneficios de la microsegmentación es que crea zonas seguras para que las empresas puedan aislar las cargas de trabajo entre sí y protegerlas individualmente. Está diseñada para permitir la partición granular del tráfico a fin de brindar mayor resistencia a los ciberataques .

Con un enfoque de seguridad en la nube que incluya la microsegmentación, los equipos de TI y de seguridad pueden adaptar la configuración de ciberseguridad a los diferentes tipos de tráfico, creando políticas que limiten los flujos de red y de aplicaciones entre las cargas de trabajo a quienes tengan explícitamente el permiso. En este modelo de seguridad de confianza cero , una empresa podría establecer una política, por ejemplo, que indique que los dispositivos médicos solo pueden comunicarse con otros dispositivos médicos. Y si un dispositivo de punto final o una carga de trabajo se traslada, las políticas de seguridad y los atributos se trasladan con ellos.

Al aplicar reglas de segmentación hasta el nivel de carga de trabajo o la aplicación, TI puede reducir la superficie de ataque, lo que minimiza el riesgo de que un atacante se mueva de una carga de trabajo o aplicación comprometida a otra.
 

La microsegmentación no es lo mismo que la segmentación de la red

Es bastante común que la segmentación de la red y la microsegmentación se utilicen indistintamente. En realidad, son conceptos completamente diferentes. El mejor uso de la segmentación de la red es para el tráfico norte-sur, es decir, el tráfico que entra y sale de la red. Con la segmentación de la red, una entidad, como un usuario, generalmente se considera de confianza una vez que se encuentra dentro de una zona designada de la red. La microsegmentación es más apropiada para el tráfico este-oeste  o para el tráfico que se mueve a través del centro de datos o de la red en la nube: de servidor a servidor, de aplicación a servidor, etc. En pocas palabras, la segmentación de la red se asemeja a los muros exteriores de un castillo, mientras que la microsegmentación representa a los guardas que se encuentran en cada una de las puertas interiores del castillo.
 

Ventajas de la microsegmentación

  • Menos políticas que gestionar
  • Controles y gestión de políticas centralizados en todas las redes
  • Políticas de segmentación que se adaptan automáticamente independientemente de los cambios de infraestructura
  • Protección sin fisuras en la nube, contenedores, centros de datos locales y entornos de nube híbrida
Algunos proveedores se centran exclusivamente en la microsegmentación. En todos los casos, la solución debe ser compatible con el creciente requisito de "microsegmentación" basada en la identidad (una segmentación más granular y definida por software, también denominada segmentación de red de confianza cero) del tráfico este/oeste en los centros de datos.
Neil MacDonald y Tom Croll, Guía de mercado de Gartner sobre protección de la carga de trabajo en la nube, abril de 2020

Cómo se ha convertido la microsegmentación en un facilitador empresarial

Soporte para iniciativas empresariales clave

  • La microsegmentación elimina los obstáculos de seguridad que causan los enfoques tradicionales o "heredados". Cualquier amenaza para la confidencialidad, integridad o disponibilidad de datos o sistemas es un riesgo comercial que se debe mitigar. La microsegmentación crea políticas basadas en aplicaciones que viajan con todas las aplicaciones y servicios, lo que significa que los posibles compromisos se incluirán en el activo afectado, no en toda la red. Además, algunos servicios de microsegmentación ofrecen una funcionalidad que identifica automáticamente todo el software que se comunica, recomienda políticas de confianza cero y las aplica con un solo clic.

Protección sin fisuras

  • Las herramientas de ciberseguridad , como los cortafuegos, que se basan en direcciones IP, puertos y protocolos, no son adecuadas para proteger los entornos en la nube. La naturaleza dinámica de la nube hace que estos controles estáticos de seguridad y acceso sean poco fiables, ya que pueden cambiar en cualquier momento o varias veces en un día determinado. Incluso en un entorno de centro de datos local, los atacantes pueden suplantar fácilmente los controles de seguridad de red tradicionales, lo que los hace menos eficaces para la protección frente a las infracciones. 
     
  • En lugar de controles estáticos, los equipos pueden tomar huellas digitales criptográficas de cada carga de trabajo para brindar una protección sistemática a las cargas de trabajo que operan en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de su carga de trabajo de las construcciones de direcciones IP y, por lo tanto, evita problemas con los controles basados en IP. Los equipos de seguridad pueden estar seguros de que solo se puede comunicar el software verificado por huella digital, independientemente de la ubicación de la red.

Evaluar el riesgo de forma continua

  • Con la microsegmentación, puede medir automáticamente la superficie de ataque de red visible para comprender cuántas vías de comunicación de aplicaciones posibles están en uso y cuantificar la exposición al riesgo. Los servicios también utilizan el aprendizaje automático para recomendar políticas de seguridad de confianza cero que reduzcan la posibilidad de movimiento lateral  y la probabilidad de una filtración de datos.

     

  • Basada en el principio de acceso con privilegios mínimos, la microsegmentación reduce el acceso que se concede a aplicaciones, hosts y procesos dentro de la red. Algunos servicios también pueden verificar las identidades del software que se comunica cada vez que el software solicita una comunicación. Este enfoque centrado en el software mitiga el riesgo, apoya los mandatos de cumplimiento normativo y proporciona informes de riesgo visualizados que simplifican la evaluación del riesgo y permiten a los equipos filtrar fácilmente por aplicación o host.

En qué se diferencia la microsegmentación de la segmentación de red

Leer el blog
leer el blog

Ajustar su plan de segmentación de confianza cero

Leer el blog
blog de microsegmentación

¿Qué es la identidad de la aplicación y por qué es importante?

Leer el blog

Segmentación de confianza cero en su nube y centro de datos

Leer la hoja de datos
Segmentación de confianza cero en su nube y centro de datos