¿Qué es la segmentación de red?

Ventajas de la segmentación de red

Sea cual sea el sistema que utilice una organización, una red segmentada tiene algunas ventajas claras sobre una red plana sin jerarquía ni subredes. Entre dichas ventajas:

• Mayor ciberseguridad para los datos confidenciales: esta ventaja abarca la prevención de infracciones (movimientos de norte a sur), un control de acceso más estricto y controles de seguridad específicos para cada segmento.
• Menos dificultad para cumplir con los requisitos de cumplimiento normativo: limitar quién puede acceder a ciertos datos y el flujo de estos simplifica la certificación de cumplimiento y las auditorías para las regulaciones de la industria y del gobierno, como PCI DSS y RGPD.
• Análisis de riesgos y control de daños más sencillos: cuando los ciberdelincuentes no pueden moverse libremente por toda su red, es más fácil localizar sus técnicas e identificar los puntos débiles de su postura de seguridad.
• Puntos finales y usuarios más seguros: va en ambos sentidos: los usuarios finales y los dispositivos están más seguros en una red segmentada en la que las amenazas no pueden propagarse fácilmente a los puntos finales, y los propios segmentos están más seguros frente a las amenazas que comienzan en el punto final.
• Menor congestión de red: la actividad en un segmento no congestionará el tráfico en otra parte de la red. Por ejemplo, en una tienda, los clientes que utilicen la red wifi para invitados no ralentizarán las transacciones con las tarjeta de crédito.

Mejores prácticas de segmentación de red

Para ayudarle a aprender la manera adecuada de implementar y mantener un modelo de segmentación de red eficaz, estas son cinco prácticas recomendadas de segmentación de red a desarrollar:

1. No segmentar en exceso

Muchas organizaciones segmentan en exceso sus redes al principio. Esto puede disminuir la visibilidad general de su red y dificultar aún más la gestión que antes de empezar a segmentar. No obstante, también es importante no segmentar su red menos de lo necesario, ya que esto aumenta su superficie de ataque y perjudica su postura de seguridad.

2. Realizar auditorías periódicas

La segmentación de red es una forma excelente de mejorar la seguridad de la misma, pero solo es eficaz cuando se comprueba continuamente que las vulnerabilidades están bloqueadas, los permisos son estrictos y las actualizaciones están instaladas. Sobre todo, auditar sus segmentos garantiza que no haya brechas explotables en la cobertura y que se mitiguen los riesgos de la red, lo que lo mantiene un paso por delante de los implacables ciberdelincuentes.

3. Seguir el principio de privilegio mínimo

El acceso con menos privilegios puede ser crucial para la administración de acceso en general y es aún más importante cuando se trata de segmentación de red. Al aplicar el principio del mínimo privilegio en todos los segmentos de la red, se garantiza a los usuarios, a los administradores de la red y al equipo de seguridad que el acceso solo se concede cuando es necesario. Por ello, el acceso con privilegios mínimos es fundamental para el acceso a la red de confianza cero.

4. Limitar el acceso de terceros

Conceder acceso a usuarios externos ya conlleva un alto riesgo, por lo que es importante conceder dicho acceso exclusivamente cuando sea necesario, especialmente si se concede a varios segmentos de la red. La segmentación reduce el riesgo general de su red, pero eso no significa que deba empezar a conceder permisos a terceros sin tener en cuenta cómo podría afectar a la postura de seguridad de su red.

5. Automatizar siempre que sea posible

Segmentar su red otorga a su organización una gran variedad de oportunidades valiosas de automatización. Además de las ventajas que ofrece la automatización en general (como el aumento de la visibilidad, la reducción del tiempo medio de espera y la mejora de la seguridad), la automatización de la segmentación de red permite identificar y clasificar rápidamente nuevos activos y datos, lo que constituye otra práctica recomendada de segmentación en sí misma.

Desventajas de la segmentación tradicional

Lo que no podemos pasar por alto es que en las complejas arquitecturas de red de hoy en día (distribuidas como están en múltiples nubes y centros de datos) los antiguos modelos de segmentación de cortafuegos y VLAN tienen algunas deficiencias importantes.

Los cortafuegos tradicionales tienen un defecto clave que se opone directamente a la segmentación: crean redes planas que permiten un fácil movimiento lateral. Tratar de compensar esto es tan engorroso y complejo operativamente que es casi imposible. Incluso los cortafuegos de nueva generación, con todas sus capacidades añadidas, siguen poniendo a los usuarios en su red para acceder a las aplicaciones. Las VLAN tienen el mismo punto débil.

Un enfoque tradicional le deja con:

• Confianza excesiva: dado que la segmentación tradicional basada en cortafuegos está diseñada para evitar ataques desde fuera, puede hacerle vulnerable a las amenazas internas.
• Desconfiguraciones: las VLAN son fáciles de desconfigurar en las arquitecturas actuales, sobre todo si utiliza proveedores de nube de terceros y no puede cambiar la infraestructura usted mismo.
• Gestión laboriosa: cada nueva aplicación, dispositivo o cambio implica la actualización de las reglas del cortafuegos, e incluso las actividades más sencillas, como la exploración de vulnerabilidades, requieren más recursos.
• Controles complejos: los métodos tradicionales carecen de controles detallados, lo que dificulta la definición de políticas de segmentación para trabajadores remotos, socios, clientes, etc.
• Problemas de escalabilidad: para manejar el crecimiento de la red, debe crear segmentos más pequeños o actualizar los existentes, lo que genera mayores costes de escalabilidad y mantenimiento.
• Bajo rendimiento: añadir más dispositivos de red (por ejemplo, cortafuegos, enrutadores) tiene un efecto negativo agravado en el rendimiento general de la red.