¿Listo para obtener más información? Visite nuestra página de Zscaler Private Access.
Antes de continuar, diferenciemos entre segmentación de red y microsegmentación.
La segmentación de red se utiliza mejor para el tráfico norte-sur, mientras que la microsegmentación añade una capa de protección para el tráfico este-oeste: de servidor a servidor, de aplicación a servidor, de web a servidor, etc. Una analogía común compara la segmentación de red con el foso y los muros exteriores de un castillo, mientras que la microsegmentación son los guardias en las puertas de cada una de las estancias interiores del castillo.
La segmentación es un modo de defensa proactivo, que ofrece ventajas clave sobre la seguridad reactiva.
Con la seguridad reactiva, los equipos primero investigan una situación de peligro y luego hacen el control de daños. Es engorroso y costoso, y aún así puede no evitar la pérdida de datos, problemas de cumplimiento y daños a su imagen pública.
Es imposible de ignorar: las organizaciones de todo el mundo siguen sufriendo infracciones de datos. Según Risk Based Security, 4.145 infracciones reveladas públicamente expusieron más de 22 mil millones de registros en 2021.
Eso es un indicador claro de que, en lugar de reaccionar a los ataques, debe centrarse en la prevención, abordando riesgos y vulnerabilidades potenciales antes de que se puedan explotar. La segmentación de red es una de las formas más comunes de hacerlo hoy en día.
Tradicionalmente, ha habido dos tipos básicos de segmentación de red:
Así que, ¿qué hace realmente la segmentación de red? Bueno, en pocas palabras, está diseñada para ayudarle a:
Sea cual sea el sistema que utilice una organización, una red segmentada tiene algunas ventajas claras sobre una red plana sin jerarquía ni subredes. Entre dichas ventajas:
Para ayudarle a aprender la manera adecuada de implementar y mantener un modelo de segmentación de red eficaz, estas son cinco prácticas recomendadas de segmentación de red a desarrollar:
Muchas organizaciones segmentan en exceso sus redes al principio. Esto puede disminuir la visibilidad general de su red y dificultar aún más la gestión que antes de empezar a segmentar. No obstante, también es importante no segmentar su red menos de lo necesario, ya que esto aumenta su superficie de ataque y perjudica su postura de seguridad.
La segmentación de red es una forma excelente de mejorar la seguridad de la misma, pero solo es eficaz cuando se comprueba continuamente que las vulnerabilidades están bloqueadas, los permisos son estrictos y las actualizaciones están instaladas. Sobre todo, auditar sus segmentos garantiza que no haya brechas explotables en la cobertura y que se mitiguen los riesgos de la red, lo que lo mantiene un paso por delante de los implacables ciberdelincuentes.
El acceso con menos privilegios puede ser crucial para la administración de acceso en general y es aún más importante cuando se trata de segmentación de red. Al aplicar el principio del mínimo privilegio en todos los segmentos de la red, se garantiza a los usuarios, a los administradores de la red y al equipo de seguridad que el acceso solo se concede cuando es necesario. Por ello, el acceso con privilegios mínimos es fundamental para el acceso a la red de confianza cero.
Conceder acceso a usuarios externos ya conlleva un alto riesgo, por lo que es importante conceder dicho acceso exclusivamente cuando sea necesario, especialmente si se concede a varios segmentos de la red. La segmentación reduce el riesgo general de su red, pero eso no significa que deba empezar a conceder permisos a terceros sin tener en cuenta cómo podría afectar a la postura de seguridad de su red.
Segmentar su red otorga a su organización una gran variedad de oportunidades valiosas de automatización. Además de las ventajas que ofrece la automatización en general (como el aumento de la visibilidad, la reducción del tiempo medio de espera y la mejora de la seguridad), la automatización de la segmentación de red permite identificar y clasificar rápidamente nuevos activos y datos, lo que constituye otra práctica recomendada de segmentación en sí misma.
Lo que no podemos pasar por alto es que en las complejas arquitecturas de red de hoy en día (distribuidas como están en múltiples nubes y centros de datos) los antiguos modelos de segmentación de cortafuegos y VLAN tienen algunas deficiencias importantes.
Los cortafuegos tradicionales tienen un defecto clave que se opone directamente a la segmentación: crean redes planas que permiten un fácil movimiento lateral. Tratar de compensar esto es tan engorroso y complejo operativamente que es casi imposible. Incluso los cortafuegos de nueva generación, con todas sus capacidades añadidas, siguen poniendo a los usuarios en su red para acceder a las aplicaciones. Las VLAN tienen el mismo punto débil.
Un enfoque tradicional le deja con:
A medida que sus operaciones dependen cada vez más de la escalabilidad, la flexibilidad y el alcance de la nube, muchas estrategias de seguridad de red puras (como la segmentación tradicional) se vuelven poco prácticas. En su lugar, necesita un modelo que prescinda de su red interna, con todos sus riesgos y complejidades.
Han surgido nuevos enfoques anclados en el acceso a la red de confianza cero (ZTNA), un marco basado en la noción de que ningún usuario o dispositivo es inherentemente fiable. En cambio, las políticas de acceso se basan en el principio del menor privilegio, en función de la identidad y el contexto, como el dispositivo, la ubicación, la aplicación y el contenido.
ZTNA conecta a los usuarios directamente con las aplicaciones de forma individual, nunca con la red, eliminando así el movimiento lateral. Esto le permite lograr la segmentación de una manera fundamentalmente diferente y más eficaz que con las VPN y los cortafuegos heredados.
En comparación con la segmentación tradicional, ZTNA:
Zscaler Private Access™ es la plataforma ZTNA más implementada del mundo. Aplicando los principios de privilegios mínimos, ofrece a sus usuarios una conectividad segura y directa a sus aplicaciones privadas sin colocarlos en su red.
Tanto si se encuentra en la etapa de planificación o ya ejecutando un modelo de segmentación tradicional que necesita actualizarse, podemos ayudarle a lograr una segmentación madura con ZTNA. A continuación le indicamos cómo empezar:
¿Listo para obtener más información? Visite nuestra página de Zscaler Private Access.
Guía de mercado de Gartner para Zero Trust Network Access 2022
Leer la guíaGuía del arquitecto de redes para adoptar un servicio ZTNA
Leer la documentación técnicaLleve el poder de ZTNA a sus instalaciones
Más informaciónTecnologías ZTNA: cuáles son y cómo escogerlas
Leer el blog