Desventajas de la segmentación tradicional

Un enfoque tradicional le deja con: Confianza excesiva: dado que la segmentación tradicional basada en cortafuegos está diseñada para evitar ataques desde fuera, puede hacerle vulnerable a las amenazas internas. Desconfiguraciones: las VLAN son fáciles de desconfigurar en las arquitecturas actuales, sobre todo si utiliza proveedores de nube de terceros y no puede cambiar la infraestructura usted mismo. Gestión laboriosa: cada nueva aplicación, dispositivo o cambio implica la actualización de las reglas del cortafuegos, e incluso las actividades más sencillas, como la exploración de vulnerabilidades, requieren más recursos. Controles complejos: los métodos tradicionales carecen de controles detallados, lo que dificulta la definición de políticas de segmentación para trabajadores remotos, socios, clientes, etc. Problemas de escalabilidad: para manejar el crecimiento de la red, debe crear segmentos más pequeños o actualizar los existentes, lo que genera mayores costes de escalabilidad y mantenimiento. Bajo rendimiento: añadir más dispositivos de red (por ejemplo, cortafuegos, enrutadores) tiene un efecto negativo agravado en el rendimiento general de la red.

Zpedia

/ ¿Qué es la segmentación de red?

¿Qué es la segmentación de red?

Q: Casos prácticos de segmentación de red

Bueno, en pocas palabras, está diseñada para ayudarle a: Detener el movimiento lateral de las amenazas externas: segmentar partes de su red dentro del perímetro significa que incluso si su perímetro sufre una infracción, los datos no están inmediatamente en peligro. Detener el movimiento lateral de amenazas internas: segmentar los datos internos por necesidad de acceso (como por departamento) reduce el riesgo de amenazas internas haciendo que, por ejemplo, los datos financieros sean inaccesibles para el departamento de Recursos Humanos. Separar las redes internas y de invitados: al mantener a los invitados en un segmento independiente, separado del resto de su red, puede seguir ofreciéndoles una conectividad conveniente sin poner en riesgo sus dispositivos internos y sus datos. Proteger los datos regulados y cumplir con la normativa: almacenar datos confidenciales, como la información de las tarjetas de pago, en un segmento restringido de acceso estricto, le protegerá mejor de las vulneraciones y le permitirá cumplir con las regulaciones de datos. Más información .

Q: Tipos de segmentación de red

La segmentación física utiliza cortafuegos discretos, cableado, conmutadores y conexiones a Internet para separar partes de una red. Se trata del tipo más caro y menos escalable. La segmentación virtual , también llamada segmentación lógica, suele segmentar los flujos de tráfico de red mediante redes de área local virtual (VLAN), que pueden estar protegidos por el mismo cortafuegos. Consulte más detalles aquí.

Q: Ventajas de la segmentación de red

Ciberseguridad más sólida para los datos confidenciales Menos dificultad para cumplir con los requisitos de cumplimiento normativo Análisis de riesgos y control de daños más sencillos Puntos finales y usuarios más seguros Congestión de red reducida Más información .

Q: Desventajas de la segmentación de red

Confianza excesiva Configuraciones erróneas Gestión laboriosa Controles complejos Problemas de escalabilidad Desempeño deficiente Más información .

Q: Mejores prácticas de segmentación de red

No segmentar en exceso Realizar auditorías periódicas Seguir el principio de privilegio mínimo Limitar el acceso de terceros Automatizar siempre que sea posible

Q: ¿Por qué utilizar la segmentación de red?

La segmentación es un modo de defensa proactivo, que ofrece ventajas clave sobre la seguridad reactiva. Con la seguridad reactiva, los equipos primero investigan una situación de peligro y luego hacen el control de daños. Es engorroso y costoso, y aún así puede no evitar la pérdida de datos, problemas de cumplimiento y daños a su imagen pública. Es imposible de ignorar: las organizaciones de todo el mundo siguen sufriendo infracciones de datos. Según Risk Based Security , 4.145 infracciones reveladas públicamente expusieron más de 22 mil millones de registros en 2021. Eso es un indicador claro de que, en lugar de reaccionar a los ataques, debe centrarse en la prevención, abordando riesgos y vulnerabilidades potenciales antes de que se puedan explotar. La segmentación de red es una de las formas más comunes de hacerlo hoy en día. Más información .

La segmentación de red es la división de una red en múltiples subredes (cada una con políticas y protocolos de seguridad específicos de la subred) para intentar evitar el movimiento lateral. Es uno de los medios más utilizados para reducir la superficie de ataque de una red a fin de combatir los ciberataques.

Conozca la segmentación más allá de las VLAN y los cortafuegos

Confianza cero Seguridad de red

Red frente a microsegmentación
¿Por qué utilizarlo?
Casos prácticos y beneficios
Mejores prácticas
Desventajas
ZTNA: una forma mejor
Zscaler ZTNA
Recursos sugeridos
Preguntas frecuentes
Temas relacionados

Segmentación de red frente a microsegmentación

Antes de continuar, establezcamos la diferencia entre segmentación de red y microsegmentación.

La segmentación de red se utiliza mejor para el tráfico norte-sur, mientras que la microsegmentación añade una capa de protección para el tráfico este-oeste: de servidor a servidor, de aplicación a servidor, de web a servidor, etc. Una analogía común compara la segmentación de red con el foso y las murallas exteriores de un castillo, mientras que la microsegmentación serían los guardias en las puertas de cada una de las estancias interiores del castillo.

¿Por qué utilizar la segmentación de red?

La segmentación de la red es una defensa proactiva, no reactiva, y ofrece algunas ventajas clave. La defensa reactiva (realizar investigaciones y control de daños sólo después de una infracción) suele ser costosa e incluso dejarlo lidiando con la pérdida de datos, problemas de cumplimiento y daños a la reputación.

La defensa proactiva, es decir, la prevención, busca abordar los riesgos y vulnerabilidades potenciales antes de que puedan ser explotados. La segmentación de red es una de las formas más habituales de hacerlo hoy en día.

Tipos de segmentación de red

Tradicionalmente, ha habido dos tipos básicos de segmentación de red:

La segmentación física utiliza cortafuegos, cableado, conmutadores y conexiones a Internet discretos para separar partes de una red informática. Se trata del tipo más caro y menos escalable.
La segmentación virtual, también llamada segmentación lógica, suele segmentar los flujos de tráfico de red mediante redes de área local virtual (VLAN), que pueden estar protegidos por el mismo cortafuegos.

Casos prácticos de segmentación de red

Así que, ¿qué hace realmente la segmentación de red? En resumen, está diseñada para ayudarle a:

Detener el movimiento lateral de amenazas externas: en una red segmentada, una infracción de datos en un segmento no supone una amenaza inmediata a los datos de otro segmento.
Detener el movimiento lateral de amenazas internas: segmentar el acceso por necesidad empresarial (por ejemplo, hacer que los datos financieros sean inaccesibles para RR. HH.) reduce el riesgo de sufrir ataques internos.
Separar redes internas y de invitados: mantener a los invitados en un segmento separado le permite ofrecerles conectividad sin poner en riesgo sus dispositivos y datos internos.
Proteger los datos regulados y cumplir con las regulaciones: almacenar datos confidenciales en un segmento de acceso restringido los protegerá mejor y le ayudará a cumplir con las regulaciones de datos.

Ventajas de la segmentación de red

Sea cual sea el sistema que utilice una organización, una red segmentada tiene algunas ventajas claras sobre una red plana sin jerarquía ni subredes. Estos incluyen:

Mayor ciberseguridad para los datos confidenciales: esta ventaja abarca la prevención de infracciones (movimientos de norte a sur), un control de acceso más estricto y controles de seguridad específicos para cada segmento.
Cumplimiento normativo más sencillo: limitar quién puede acceder a ciertos datos y hacia dónde fluyen simplifica el cumplimiento y las auditorías de regulaciones como PCI DSS y RGPD.
Análisis de riesgos y control de daños más sencillos: cuando los ciberdelincuentes no pueden moverse libremente por toda su red, es más fácil localizar sus técnicas e identificar los puntos débiles de su postura de seguridad.
Puntos finales y usuarios más seguros: esto va en ambos sentidos. Los usuarios finales y los puntos finales están más seguros cuando las amenazas no pueden propagarse fácilmente entre segmentos, y los segmentos mismos están más seguros frente a las amenazas que comienzan en los puntos finales.
Congestión de red reducida: la actividad en un segmento no interferirá con otra parte de la red. Por ejemplo, en una tienda, los clientes que utilicen la red wifi para invitados no ralentizarán las transacciones con las tarjeta de crédito.

Mejores prácticas de segmentación de red

Para implementar y mantener una segmentación de red efectiva, presentamos cinco mejores prácticas de segmentación de red que se deben seguir:

1. No segmentar en exceso

La segmentación excesiva puede disminuir la visibilidad general de su red y dificultar la administración, pero la segmentación insuficiente mantiene una superficie de ataque ampliada y perjudica su postura de seguridad.

2. Realizar auditorías periódicas

La segmentación de la red sólo mejorará la seguridad de su red si audita continuamente sus segmentos en busca de vulnerabilidades, permisos estrictos y actualizaciones. Si sabe que no hay lagunas explotables en su cobertura, estará un paso por delante de los piratas informáticos.

3. Seguir el principio de privilegio mínimo

Al aplicar el principio de privilegios mínimos en la totalidad de los segmentos de la red, se garantiza a los usuarios, a los administradores de la red y al equipo de seguridad que el acceso sólo se conceda cuando sea necesario. Por ello, el acceso con privilegios mínimos es fundamental para el acceso a la red de confianza cero.

4. Limitar el acceso de terceros

Otorgar acceso a terceros ya supone un riesgo, por lo que es importante hacerlo exclusivamente cuando sea necesario, especialmente si otorga dicho acceso a múltiples segmentos. Considerar cuidadosamente los nuevos permisos es clave para mantener una buena postura de seguridad de la red.

5. Automatizar siempre que sea posible

Además de las ventajas que ofrece la automatización en general (como el aumento de la visibilidad, la reducción del tiempo medio de espera y la mejora de la seguridad), la automatización de la segmentación de red permite identificar y clasificar rápidamente nuevos activos y datos, lo que constituye otra práctica recomendada de segmentación en sí misma.

Desventajas de la segmentación de red

En las complejas arquitecturas de red actuales, distribuidas en entornos de nube y centros de datos múltiples, los antiguos modelos de segmentación (basados en cortafuegos, VLAN y perímetros de red) tienen carencias importantes.

Los cortafuegos tradicionales tienen un defecto clave que se opone directamente a la segmentación: crean redes planas que permiten un fácil movimiento lateral. Tratar de compensar esto es increíblemente complejo y laborioso desde el punto de vista operativo. Incluso los cortafuegos de próxima generación siguen permitiendo a los usuarios de su red acceder a aplicaciones, y las VLAN tienen la misma debilidad.

Un enfoque tradicional le deja con:

Confianza excesiva: dado que la segmentación tradicional basada en cortafuegos está diseñada para evitar ataques desde fuera, puede hacerle vulnerable a las amenazas internas.
Configuraciones incorrectas: las VLAN son fáciles de desconfigurar en las arquitecturas actuales, sobre todo si utiliza proveedores de nube de terceros y no puede cambiar la infraestructura usted mismo.
Gestión laboriosa: cada nueva aplicación, dispositivo o cambio implica la actualización de las reglas del cortafuegos, e incluso las actividades más sencillas, como la exploración de vulnerabilidades, requieren más recursos.
Controles complejos: los métodos tradicionales carecen de controles detallados, lo que dificulta la definición de políticas de segmentación para trabajadores remotos, socios, clientes, etc.
Problemas de escalabilidad: para gestionar el crecimiento de la red, debe crear segmentos más pequeños o actualizar los existentes, lo que genera mayores costes de escalabilidad y mantenimiento.
Bajo rendimiento: añadir más dispositivos de red (por ejemplo, cortafuegos, enrutadores) tiene un efecto negativo agravado en el rendimiento general de la red.

ZTNA: Una forma mejor de lograr la segmentación

A medida que sus operaciones dependen cada vez más de la escalabilidad, la flexibilidad y el alcance de la nube, muchas estrategias de seguridad de red puras (como la segmentación tradicional) se vuelven poco prácticas. En su lugar, necesita un modelo que prescinda de su red interna, con todos sus riesgos y complejidades.

El acceso a la red de confianza cero (ZTNA) es un marco basado en la noción de que ningún usuario o dispositivo es inherentemente confiable. En cambio, las políticas de acceso se basan en el principio de privilegios mínimos, en función de la identidad y el contexto, como el dispositivo, la ubicación, la aplicación y el contenido.

ZTNA conecta a los usuarios directamente con las aplicaciones de forma individual, nunca con la red, eliminando así el movimiento lateral. Esto le permite lograr la segmentación de una manera fundamentalmente diferente y más eficaz que con las VPN y los cortafuegos heredados.

Obtenga más información sobre el estado del mercado de ZTNA, las recomendaciones y las tendencias en laGuía de mercado de Gartner® para el acceso a la red de confianza cero.

Ventajas de ZTNA sobre la segmentación tradicional

En comparación con la segmentación tradicional, ZTNA:

Da un acceso adaptable, sensible a la identidad y preciso sin acceso a la red. Elimina la confianza implícita, reemplazándola por confianza explícita basada en la identidad.
No requiere conexión de red, por lo que sus aplicaciones internas (y direcciones IP) nunca están expuestas a Internet, reduciendo con ello su superficie de ataque y su riesgo.
Proporciona una segmentación a nivel de usuario y aplicación mediante políticas de acceso granulares aplicadas en la nube, en lugar de tener que configurar políticas de acceso y reglas de cortafuegos.
Mejora la flexibilidad, la agilidad y la escalabilidad al tiempo que reduce la necesidad de cortafuegos internos. ZTNA se puede entregar como servicio en la nube o como software gestionado en las instalaciones.
Permite el acceso seguro a las aplicaciones para los dispositivos no gestionados y los socios externos, a la vez que mantiene a los usuarios fuera de la red, minimizando el riesgo de proliferación de malware.

Ventajas de ZTNA sobre la segmentación tradicional

Zscaler y la segmentación de red

Zscaler Private Access™ es la plataforma ZTNA más implementada del mundo. Aplicando los principios de privilegios mínimos, ofrece a sus usuarios una conectividad segura y directa a sus aplicaciones privadas sin colocarlos en su red.

Tanto si se encuentra en la etapa de planificación o ya ejecutando un modelo de segmentación tradicional que necesita actualizarse, podemos ayudarle a lograr una segmentación madura con ZTNA. A continuación le indicamos cómo empezar:

Reemplace sus VPN y cortafuegos por Zscaler Private Access para reducir su superficie de ataque y eliminar el movimiento lateral con la segmentación de usuario a aplicación.
Implemente la segmentación de aplicación a aplicación para llevar ZTNA a sus cargas de trabajo y aplicaciones en la nube en entornos híbridos y multinube.
Por último, implemente microsegmentación basada en la identidad/proceso a proceso para la comunicación dentro de una nube.

Proporcione acceso granular y segmentado a aplicaciones y cargas de trabajo distribuidas con Zscaler Private Access.

Recursos sugeridos

Guía de mercado para el acceso a la red de confianza cero de Gartner

Leer la guía

¿Qué es el acceso a la red de confianza cero?

Lea el artículo

Guía del arquitecto de redes para adoptar un servicio ZTNA

Leer la documentación técnica

Lleve el poder de ZTNA a sus instalaciones

Más información

01 / 02

Preguntas frecuentes

Un segmento de red (menos frecuentemente denominado zona de seguridad) es una parte aislada o separada de una red. Los segmentos pueden tener sus propias políticas de seguridad, listas de control de acceso (ACL) y protocolos, lo que proporciona un control y una protección más granulares.

Una de las razones principales para segmentar una red es limitar el alcance potencial de una violación de seguridad. Los segmentos de red mantienen las amenazas aisladas, evitando el movimiento lateral y minimizando la superficie de ataque.

Un dominio de colisión es un segmento de red donde varios dispositivos comparten una ruta de datos. Cuando dos o más dispositivos intentan utilizar la ruta simultáneamente, las "colisiones" resultantes pueden ralentizar la red y, por lo general, requieren una gestión específica para evitarlas.

¿Qué es la segmentación de red?

Segmentación de red frente a microsegmentación