Recursos > Glosario de términos de seguridad > Qué es la segmentación de red

¿Qué es la segmentación de red?

¿Qué es la segmentación de red?

Las organizaciones están bajo un ataque constante y, a pesar de invertir fuertemente en una serie de ciberdefensas, siguen siendo víctimas de violaciones de seguridad. Según el informe anual de Risk Based Security de 2019 titulado Data Breach QuickView, ese año fue otro de los "peores años registrados" en términos de actividad de violación de datos, con 7098 violaciones que resultaron en la revelación de más de 15 100 millones de registros.  

Muchas medidas de seguridad pertenecen a la categoría "reactiva", lo que significa que los equipos de TI y de seguridad investigan cuando ya se ha producido el ataque a un dispositivo o a una red y mitigan las consecuencias del mismo. Pero las medidas de seguridad reactivas son complicadas y costosas, ya que requieren que los equipos realicen un control de daños continuo. También pueden provocar graves consecuencias, desde el incumplimiento de las normativas hasta hacer que las relaciones públicas sean una pesadilla. 

Más que reaccionar a los ataques, muchas organizaciones adoptan esquemas proactivos diseñados para prevenirlos, anticipando cualquier riesgo o vulnerabilidad potencial y solucionándolos antes de que puedan ser explotados. Aparte de las pilas de hardware de seguridad en el centro de datos o la implementación de la seguridad suministrada como servicio, las organizaciones emplean una variedad de técnicas que reducen su riesgo, y uno de esos métodos ampliamente utilizado es la segmentación de red.

¿Cómo funciona la segmentación de red?

La segmentación de red es el proceso de dividir una red en múltiples zonas y aplicar protocolos de seguridad a cada zona para gestionar la seguridad y el cumplimiento. Normalmente, se trata de segregar el tráfico entre segmentos de la red mediante redes de área local virtuales (VLAN), tras lo cual se aplica la seguridad mediante cortafuegos para proteger las aplicaciones y los datos. 

La segmentación de red (que no debe confundirse con la microsegmentación) se ha presentado como una solución que proporciona seguridad sin degradar el rendimiento, ya que permite la creación y el mantenimiento de políticas de diferentes segmentos de las redes. Pero en el mundo actual de complicadas redes distribuidas en múltiples nubes y centros de datos, este enfoque puede dejar de tener sentido.

Retos de la segmentación de red

Exceso de confianza: la segmentación de red se basa en la suposición de que todos los miembros de la red son dignos de confianza. Al estar diseñada principalmente para prevenir ataques desde el exterior, este enfoque deja a las organizaciones vulnerables a los ataques internos.

Complejidad: la segmentación de red requiere que una organización conozca y comprenda todos los activos que se comunican en cada una de sus redes. Luego, tienen que definir las zonas que serían convenientes en función de las necesidades empresariales y de cumplimiento. A continuación, deben comenzar el trabajo real de implementación de las VLAN. La posibilidad de configurar erróneamente una VLAN durante la implementación es alta debido a la complejidad de las arquitecturas de red actuales, especialmente ya que la mayoría de las organizaciones utilizan entornos multinube que no son de su propiedad, y por lo general, no pueden modificar la infraestructura en la que se administra la red.

Gestión: dentro de un entorno de red moderno, las direcciones cambian continuamente, los usuarios se conectan con múltiples dispositivos utilizando múltiples redes y se introducen nuevas aplicaciones constantemente. Gestionar estos entornos tan dinámicos es una pesadilla debido a la continua definición manual de políticas, la revisión, el cambio y la gestión de excepciones. Además, cada cambio en la política requiere una actualización de todas las reglas del cortafuegos, y la naturaleza de la segmentación de red exige el despliegue de recursos adicionales incluso para actividades de seguridad mundanas, como el escaneo de vulnerabilidades. 

Controles: la segmentación de red carece de controles minuciosos, por lo que es complicado segmentar el acceso para varios niveles, como trabajadores remotos, trabajadores contingentes, socios, etc.

Escalabilidad: para manejar el crecimiento de la red, la segmentación de red requiere que las organizaciones creen segmentos más pequeños o modernicen sus segmentos existentes, lo que resulta en costos más altos de escalamiento y mantenimiento.

Rendimiento: añadir recursos a una red, incluyendo múltiples cortafuegos, tiene un efecto adverso en el rendimiento general.

Multiple Network Security Perimeters

Un camino mejor que el de la segmentación

El acceso a la red de confianza cero (ZTNA) es un marco definido por Gartner que se basa en el supuesto de la confianza cero, lo que significa que ningún dispositivo es inherentemente confiable y el acceso se otorga en función de los privilegios definidos por las políticas.

En lugar de un enfoque de seguridad centrado en la red, cada vez más inviable en el mundo de la nube, ZTNA adopta un enfoque de usuario a aplicación. Permite el acceso a las aplicaciones sin acceso a la red, utilizando la segmentación nativa de las aplicaciones para garantizar que, cuando los usuarios estén autorizados, el acceso a las aplicaciones se conceda de forma individualizada. Los usuarios autorizados solo tienen acceso a aplicaciones específicas en lugar de tener acceso completo a la red, lo que proporciona un control mucho más granular y sin riesgo de movimiento lateral.

Ventajas de ZTNA en comparación con la segmentación de la red

  • ZTNA ofrece un acceso adaptativo, que tiene en cuenta la identidad y preciso, sin necesidad de acceder a la red. Hace que la ubicación en la red no esté en una posición de ventaja y suprime la excesiva confianza implícita, sustituyéndola por una confianza explícita basada en la identidad.

     

  • ZTNA no requiere conexión a la red, por lo que las aplicaciones internas (direcciones IP) no quedan expuestas a Internet, lo que reduce el riesgo de ataque.

     

  • En lugar de configurar reglas de acceso y de cortafuegos, las políticas de acceso granulares aplicadas en la nube proporcionan una segmentación a nivel de usuario y aplicación.

     

  • ZTNA puede suministrarse como servicio en la nube y, en algunos casos, puede ampliarse como software en las instalaciones (gestionado por el servicio). El suministro en la nube mejora la flexibilidad, la agilidad y la escalabilidad, y reduce la necesidad de tener dispositivos internos de cortafuegos.

     

  • Las organizaciones confían en ZTNA para permitir que los dispositivos no gestionados y los socios externos accedan de forma segura a las aplicaciones, al mismo tiempo que se minimiza la amenaza de propagación de malware al mantener a los usuarios fuera de la red.

Guía de mercado de Gartner para el acceso a red de confianza cero 2020

Leer la guía

Guía del arquitecto de redes sobre el acceso a red de confianza cero

Leer la documentación técnica

ZTNA en las instalaciones

Más información

Problemas y oportunidades de la segmentación de redes

Leer el blog

Tecnologías ZTNA: cuáles son y cómo escogerlas

Leer el blog