Zpedia 

/ ¿Qué es la segmentación de red?

¿Qué es la segmentación de red?

La segmentación de red es la división de una red en múltiples subredes (cada una con políticas y protocolos de seguridad específicos de la subred) para intentar evitar el movimiento lateral. Es uno de los medios más utilizados para reducir la superficie de ataque de una red a fin de combatir los ciberataques.

Segmentación de red frente a microsegmentación

Antes de continuar, diferenciemos entre segmentación de red y microsegmentación.

La segmentación de red funciona mejor con el tráfico de norte a sur, mientras que la microsegmentación agrega una capa de protección para el tráfico de este a oeste: de servidor a servidor, de aplicación a servidor, de web a servidor, etc. En una analogía común, la segmentación de la red es como el foso y los muros exteriores de un castillo, mientras que la microsegmentación es como los guardias en las puertas de las estancias interiores del castillo.

¿Por qué utilizar la segmentación de red?

La segmentación de la red es una defensa proactiva, no reactiva, y ofrece algunas ventajas clave. La defensa reactiva (realizar investigaciones y control de daños sólo después de una infracción) suele ser costosa y aún así puede dejarlo lidiando con la pérdida de datos, problemas de cumplimiento y daños a la reputación.

La defensa proactiva, es decir, la prevención, busca abordar los riesgos y vulnerabilidades potenciales antes de que puedan ser explotados. La segmentación de la red es una de las formas más comunes de hacer esto en la actualidad.

Tipos de segmentación de red

Tradicionalmente, ha habido dos tipos básicos de segmentación de red:

  • La segmentación física utiliza cortafuegos, cableado, conmutadores y conexiones a Internet discretos para separar partes de una red informática. Este es el tipo más caro y menos escalable.
  • La segmentación virtual, también llamada segmentación lógica, normalmente segmenta los flujos de tráfico de red mediante redes de área local virtuales (VLAN), que pueden protegerse mediante el mismo cortafuegos.

Casos prácticos de segmentación de red

Así que, ¿qué hace realmente la segmentación de la red? En resumen, está diseñada para ayudarle a:

  • Detener el movimiento lateral de amenazas externas: en una red segmentada, una filtración de datos en un segmento no es una amenaza inmediata para los datos de otro segmento.
  • Detener el movimiento lateral de amenazas internas: segmentar el acceso según las necesidades del negocio (por ejemplo, hacer que los datos financieros sean inaccesibles para RR. HH.) reduce el riesgo de sufrir ataques internos.
  • Separar redes internas y de invitados: mantener a los invitados en un segmento separado le permite ofrecerles conectividad sin poner en riesgo sus dispositivos y datos internos.
  • Proteger los datos regulados y cumplir con las regulaciones: almacenar datos confidenciales en un segmento de acceso restringido los protegerá mejor y lo ayudará a cumplir con las regulaciones de datos.

 

Beneficios de la segmentación de red

Cualquiera que sea el esquema que utilice una organización, una red segmentada tiene algunas ventajas claras sobre una red plana sin jerarquía ni subredes. Estas incluyen:

  • Ciberseguridad más sólida para datos confidenciales: este beneficio abarca la prevención de infracciones (movimiento norte-sur), un control de acceso más estricto y controles de seguridad específicos para cada segmento.
  • Cumplimiento normativo más sencillo: limitar quién puede acceder a ciertos datos y hacia dónde fluyen simplifica el cumplimiento y las auditorías de regulaciones como PCI DSS y RGPD.
  • Análisis de riesgos y control de daños más sencillos: cuando los ciberdelincuentes no pueden moverse libremente por toda la red, es más fácil identificar sus técnicas e identificar las debilidades en su postura de seguridad.
  • Terminales y usuarios más seguros: esto va en ambos sentidos; los usuarios finales y los terminales están más seguros cuando las amenazas no pueden propagarse fácilmente entre segmentos, y los segmentos mismos están más seguros contra las amenazas que comienzan en los terminales.
  • Congestión de red reducida: la actividad en un segmento no acelerará otra parte de la red. Por ejemplo, los clientes que utilizan wifi para invitados no ralentizarán las transacciones con tarjeta de crédito.

Mejores prácticas de segmentación de red

Para implementar y mantener una segmentación de red efectiva, estas son las cinco mejores prácticas de segmentación de red que se deben seguir:

1. No segmentar demasiado

La segmentación excesiva puede disminuir la visibilidad general de la red y dificultar la administración, pero la segmentación insuficiente mantiene amplia la superficie de ataque y perjudica su postura de seguridad.

2. Realizar auditorías periódicas

La segmentación de la red sólo mejorará la seguridad de su red si audita continuamente sus segmentos en busca de vulnerabilidades, permisos estrictos y actualizaciones. Si sabe que no hay lagunas explotables en su cobertura, estará un paso por delante de los piratas informáticos.

3. Seguir el principio de privilegios mínimos

Al aplicar el principio de privilegios mínimos en todos sus segmentos, garantiza a sus usuarios, administradores de red y equipo de seguridad que el acceso únicamente se otorgará cuando sea necesario. El acceso con menos privilegios es fundamental para el acceso a la red de confianza cero.

4. Limitar el acceso de terceros

Otorgar acceso a terceros ya es arriesgado, por lo que es importante hacerlo sólo cuando sea necesario, especialmente si se lo otorga a múltiples segmentos. Considerar cuidadosamente los nuevos permisos es clave para mantener una buena postura de seguridad de la red.

5. Automatizar siempre que pueda

Además de los beneficios de la automatización en general (como visibilidad mejorada, seguridad y MTTR), la automatización de la segmentación de la red le permite identificar y clasificar rápidamente nuevos activos y datos, que es otra excelente práctica de segmentación en sí misma.

 

Desventajas de la segmentación de red

En las complejas arquitecturas de red actuales, distribuidas en múltiples entornos de nube y centros de datos, los antiguos modelos de segmentación (basados en cortafuegos, VLAN y perímetros de red) tienen algunas deficiencias importantes.

Los cortafuegos tradicionales tienen un defecto clave que se opone directamente a la segmentación: crean redes planas que permiten un fácil movimiento lateral. Tratar de compensar esto es increíblemente complejo y engorroso desde el punto de vista operativo. Incluso los cortafuegos de próxima generación todavía permiten a los usuarios de su red acceder a aplicaciones, y las VLAN tienen la misma debilidad.

Un enfoque tradicional le deja antes:

  • Confianza excesiva: debido a que la segmentación tradicional basada en cortafuegos está diseñada para evitar ataques externos, puede dejarlo vulnerable a amenazas internas.
  • Configuraciones erróneas: las VLAN son fáciles de configurar incorrectamente en las arquitecturas actuales, especialmente si utiliza proveedores de nube externos y no puede cambiar la infraestructura usted mismo.
  • Gestión que requiere mucho trabajo: cada nueva aplicación, dispositivo o cambio significa actualizar las reglas del cortafuegos, e incluso actividades mundanas como el análisis de vulnerabilidades requieren más recursos.
  • Controles complejos: los métodos tradicionales carecen de controles detallados, lo que complica la definición de políticas de segmentación para trabajadores remotos, socios, clientes, etc.
  • Problemas de escalabilidad: para manejar el crecimiento de la red, es necesario crear segmentos más pequeños o actualizar los existentes, lo que genera mayores costos de escalamiento y mantenimiento.
  • Rendimiento deficiente: agregar más dispositivos de red (por ejemplo, cortafuegos, enrutadores) tiene un efecto negativo agravado en el rendimiento general de la red.

Image

ZTNA: Una forma mejor de lograr la segmentación

A medida que se depende cada vez más de la escalabilidad, la flexibilidad y el alcance de la nube, muchas estrategias puras de seguridad de red (como la segmentación tradicional) se vuelven poco prácticas. En su lugar, necesita un modelo que elimine de la ecuación su red interna, con todos sus riesgos y complejidades.

El acceso a la red de confianza cero (ZTNA) es un marco basado en la noción de que ningún usuario o dispositivo es inherentemente confiable. En cambio, las políticas de acceso se basan en el principio de privilegio mínimo, basado en la identidad y el contexto, como el dispositivo, la ubicación, la aplicación y el contenido.

ZTNA conecta a los usuarios directamente con las aplicaciones uno a uno, nunca con la red, eliminando el movimiento lateral. Esto le permite lograr la segmentación de una manera fundamentalmente diferente y más efectiva que es imposible con las VPN y cortafuegos heredados.

Obtenga más información sobre el estado del mercado de ZTNA, las recomendaciones y las tendencias en la Guía de mercado de Gartner® para el acceso a la red Zero Trust.

Ventajas de ZTNA sobre la segmentación tradicional

En comparación con la segmentación tradicional, ZTNA:

  • proporciona acceso preciso, adaptable y consciente de la identidad sin acceso a la red. Elimina la confianza implícita y la reemplaza por una confianza explícita basada en la identidad.
  • No requiere conexión de red, por lo que sus aplicaciones internas (y direcciones IP) nunca están expuestas a Internet, lo que reduce su superficie de ataque y su riesgo.
  • Proporciona segmentación a nivel de usuario a aplicación a través de políticas de acceso granular aplicadas en la nube, en lugar de requerir que usted configure políticas de acceso y reglas de cortafuegos.
  • Mejora la flexibilidad, la agilidad y la escalabilidad al tiempo que reduce la necesidad de cortafuegos internos. ZTNA se puede entregar como un servicio en la nube o como software administrado localmente.
  • Permite el acceso seguro a las aplicaciones para dispositivos no administrados y socios externos mientras mantiene a los usuarios fuera de la red, minimizando el riesgo de proliferación de malware.

Image

Zscaler y la segmentación de red

Zscaler Private Access™ es la plataforma ZTNA más implementada del mundo. Al aplicar los principios de privilegio mínimo, brinda a sus usuarios conectividad directa y segura a sus aplicaciones privadas sin colocarlas en su red.

Tanto si se encuentra en la etapa de planificación como si está ejecutando un modelo de segmentación tradicional que ya se va quedando obsoleto, podemos ayudarle a lograr una segmentación madura con ZTNA. Aquí le mostramos cómo comenzar:

  1. reemplace sus VPN y cortafuegos con Zscaler Private Access para reducir su superficie de ataque y eliminar el movimiento lateral con la segmentación de usuario a aplicación.
  2. Implemente la segmentación de aplicación a aplicación para llevar ZTNA a sus cargas de trabajo y aplicaciones en la nube en entornos híbridos y multinube.
  3. Finalmente, implemente microsegmentación de proceso a proceso/basada en la identidad para la comunicación dentro de una nube.
promotional background

Proporcione acceso granular y segmentado a aplicaciones y cargas de trabajo distribuidas con Zscaler Private Access.

Recursos sugeridos

Guía de mercado para el acceso a la red de confianza cero de Gartner
Leer la guía
¿Qué es el acceso a la red de confianza cero?
Lea el artículo
Guía del arquitecto de redes para adoptar un servicio ZTNA
Leer la documentación técnica
Lleve el poder de ZTNA a sus instalaciones
Más información
01 / 02
Preguntas frecuentes