Getty Images/iStockphoto
Cómo diseñar una arquitectura para la seguridad inalámbrica empresarial
Conozca una metodología de diseño de cinco fases que ayudará a su empresa a planificar y crear una arquitectura de seguridad inalámbrica empresarial.
Las redes inalámbricas empresariales han experimentado una tremenda transformación. Desde un espacio de trabajo cambiante debido al IoT, el trabajo remoto y las nuevas generaciones de Wi-Fi hasta una multitud de amenazas sofisticadas, la atención se centra en la seguridad de las redes inalámbricas empresariales. Saber cómo configurar y mantener la arquitectura de seguridad inalámbrica es fundamental para mantener a raya a los atacantes.
En “Wireless Security Architecture: Designing and Maintaining Secure Wireless for Enterprise”, la autora e investigadora de seguridad Jennifer Minella proporciona a los equipos de redes y seguridad un recurso a seguir. Comienza explicando las técnicas, procesos y productos de seguridad de redes inalámbricas antes de describir cómo diseñar una arquitectura, así como los componentes y procesos que los equipos necesitan para configurar una red inalámbrica segura.
En el Capítulo 5, Minella presentó una guía para diseñar la arquitectura de seguridad inalámbrica óptima. "Lo que he notado a lo largo de los años es que la mayoría de los profesionales de redes dentro de una organización tienden a improvisar cuando se trata de planificación", escribe en la introducción del capítulo, "a menudo pasando por alto cualquier alcance y documentación formal y saltándose a la configuración de productos".
El siguiente extracto presenta a los lectores la metodología de diseño de Minella que sigue cinco fases: definir, caracterizar, diseñar, optimizar y validar.
Consulte una sesión de preguntas y respuestas con la autora sobre confianza cero y seguridad inalámbrica, consideraciones de UX sin afectar la seguridad y más.
Metodología de Planificación y Diseño
Probablemente haya oído hablar de metodologías de diseño como 4D (Descubrir, Diseñar, Desarrollar y Desplegar). El mundo Wi-Fi tiene su propio conjunto de pasos de diseño que abordan las numerosas fases del diseño y validación de RF. Si bien todos son válidos, estos modelos tradicionales no se centran en el diseño ni abordan la complejidad de la arquitectura que cruza disciplinas y dominios.
Mi metodología de diseño incorpora cinco fases interconectadas, tomadas descaradamente de las construcciones del marco Diseño para Six Sigma (DFSS). Para cualquier profesional de Six Sigma, espero que me extiendan un poco y me permitan ejercer alguna licencia artística.
Estas cinco fases no siempre son de naturaleza lineal, pero sí se vinculan con dos procesos concretos de entradas y salidas de una arquitectura de diseño y se pueden agrupar en tres etapas: descubrir, diseñar e iterar.
Las cinco fases para diseñar una arquitectura inalámbrica segura son (ver Figura 5.1):
- Etapa de Descubrimiento
- Fase 1: Definir (alcance)
- Fase 2: Caracterizar (mapeo de requisitos)
- Etapa de Arquitectura
- Fase 3: Diseño (mapeo funcional)
- Etapa de Iteración
- Fase 4: Optimizar (ajuste de diseño)
- Fase 5: Validar (validar el diseño según los requisitos)
Etapa de descubrimiento
La etapa de descubrimiento incluye las tareas que sirven como aportaciones al diseño de la arquitectura. Esto implica el mapeo del alcance y los requisitos con las dos primeras fases:
- Fase 1: Definir (alcance)
- Fase 2: Caracterizar (mapeo de requisitos)
Una vez completadas estas dos fases, pasarás a la etapa de arquitectura, que engloba la tercera fase, el diseño.
Fase 1: Definir
La fase de definición incluye la identificación de los requisitos del proyecto, los elementos del entorno del alcance y los límites del alcance.
Durante este tiempo, el arquitecto deberá realizar actividades como:
- Identificación de los equipos y roles involucrados en el proyecto.
- Descubrimiento del entorno (componentes, capacidades y topología de la infraestructura de red inalámbrica y cableada).
- Alcance de la población y capacidades de usuarios y terminales.
- Identificación de aplicaciones que serán soportadas a través de la red inalámbrica.
- Alcance de la geografía/áreas de cobertura (por ejemplo, campus, sucursales, usuarios domésticos)
- Identificación de requisitos de seguridad y cumplimiento.
- Descubrimiento de políticas de apoyo adicionales u orientación para la seguridad.
- Documentación de elementos descubiertos.
Este ejercicio de la etapa de definición de descubrimiento se ve reforzado por la fase de caracterización, que alinea los requisitos con los elementos del alcance.
Fase 2: Caracterización
La fase de caracterización aborda los elementos discretos para el mapeo de requisitos. En esta fase, el arquitecto captura características de seguridad tanto cualitativas como cuantitativas asignadas a las clases individuales de elementos de red, como puntos finales, aplicaciones y usuarios. Luego, esas características se utilizan para el mapeo funcional en la fase de diseño.
El arquitecto correlaciona elementos de la fase de definición como:
- Identificar elementos (puntos finales, usuarios, infraestructura o activos) que necesitan controles de seguridad específicos para cumplir con los objetivos comerciales o los requisitos de cumplimiento (por ejemplo, segmentos de red en el alcance de PCI)
- Agrupar y categorizar elementos con necesidades o características similares
- Identificar y documentar qué elementos del alcance tienen requisitos dictados por políticas o regulaciones, como autenticación o cifrado.
- Requisitos de documentos para casos que requieren controles elevados, como monitoreo o inspección adicional, posturas de seguridad, autenticación multifactorial
Las fases de definición y caracterización juntas comprenden las tareas de descubrimiento y son las entradas para las tareas de arquitectura de diseño, optimización y validación.
Etapa de Arquitectura
La etapa de arquitectura (aquí el arquitectura es una acción) implica solo la fase de diseño, donde los aportes de la etapa de descubrimiento se utilizan para el mapeo funcional.
Fase 3: Diseño
La fase de diseño abarca el trabajo pesado de tomar las entradas de descubrimiento y realizar un mapeo funcional para los controles y monitoreo de seguridad necesarios. Como parte de este trabajo, el arquitecto también debe documentar las condiciones, las variables y las lagunas de diseño conocidas o previstas.
Durante la fase de diseño, un arquitecto debe:
- Comenzar a asignar los requisitos definidos a los diseños planificados para los elementos del alcance (infraestructura cableada e inalámbrica, endpoints).
- Documentar las condiciones y variables que pueden afectar los resultados esperados y la postura de seguridad (como incógnitas de proyectos planificados pero sin alcance basados en conectividad inalámbrica, como transformación digital o programas de IoT, o variables desconocidas de soporte de endpoints para WPA3, o una próxima fusión o adquisición).
- Evaluar la infraestructura y las herramientas actuales para determinar si pueden cumplir los objetivos.
- Identificar proveedores, productos y opciones de configuración para cumplir con los objetivos de seguridad y conectividad.
- Definir métricas y resultados para monitorear y probar con elementos mapeados.
- Producir documentación para diseños construidos de los dispositivos de infraestructura.
Etapa de Iteración
Mantener la seguridad requiere una mejora continua y la etapa de iteración ayuda a satisfacer esta necesidad con las dos fases finales:
- Fase 4: Optimizar (ajuste de diseño)
- Fase 5: Validar (validar el diseño según los requisitos)
La etapa de iteración se centra en la iteración del diseño y en garantizar que la arquitectura se actualice para cumplir con los cambios, incluidos aquellos relacionados con nuevas vulnerabilidades, cambios en la infraestructura de la red, cambios en los puntos finales y aplicaciones, y cambios en los casos de uso, entre otras cosas.
Las fases de diseño, optimización y validación son iterativas, y las fases de optimización y validación a menudo están interconectadas y no son lineales.
Durante estas tareas, es razonable esperar una prueba de concepto (PoC). Las PoC pueden ser tan básicas como hacer que el equipo interno cree SSID de prueba y validen la operación con la arquitectura de diseño o tan complejas como un largo plan estructurado con un proveedor que incluya la instalación de hardware y/o software.
NOTA: En este modelo, las fases de optimización y validación se refieren a optimizar y validar la arquitectura de diseño, no a la implementación. Ésta es una diferencia sutil con respecto a otras metodologías de diseño e implementación de redes.
Fase 4: Optimización
Durante la fase de optimización, el diseño se perfecciona para mejorar la solidez del rendimiento y la seguridad.
Con los estándares de la industria evolucionando a un ritmo sin precedentes, las capacidades de los terminales inalámbricos siempre en constante cambio y las amenazas de seguridad que cambian a diario, las redes inalámbricas ya no son algo que se configura y se olvida. Por motivos de seguridad, las tareas de arquitectura se optimizan y validan de forma iterativa.
Como parte de las fases recurrentes de optimización, los arquitectos deben:
- Investigar cambios en los estándares de protocolos de seguridad e implementar mejoras en la arquitectura.
- Evaluar características de productos de nuevos proveedores para obtener beneficios de seguridad adicionales.
- Consumir resultados de la validación para refinar aún más la arquitectura.
- Comunicar a las partes interesadas cualquier cambio importante en la guía de mejores prácticas de seguridad.
- Actualizar los estándares internos y los documentos de proceso para reflejar los cambios según sea necesario.
Fase 5: Validación
Como parte de la fase de validación, el arquitecto verificará las capacidades y los resultados esperados del diseño con los requisitos originalmente previstos en las tareas de la etapa de descubrimiento (definir y caracterizar). El arquitecto también debe planificar la comunicación regular con otros equipos y solicitar comentarios de las partes interesadas para garantizar que el alcance no haya cambiado y que las expectativas se cumplan y documenten satisfactoriamente.
Después de una implementación inicial y como parte de la mejora continua, la fase de validación incluirá pruebas y validación del sistema, incluidas evaluaciones de seguridad y pruebas de penetración, posiblemente junto con resultados de auditoría de cumplimiento.
En las fases de validación iterativa, el arquitecto debe:
- Evaluar el diseño planificado frente a los requisitos definidos en el diseño y caracterizar las fases.
- Documentar lagunas que se abordarán en una fase de optimización iterativa
- Comunicar los hallazgos a los equipos participantes.
- Presentar los hallazgos a las partes interesadas y solicitar comentarios.
- Incorporar datos de métricas identificadas en la fase de diseño.
Las cinco fases facilitan la recopilación y organización de los datos para la planificación en forma de entradas y salidas. Los insumos son datos consumidos y tenidos en cuenta en la planificación, y los resultados son los requisitos procesables para el diseño de la infraestructura.
Extraído con permiso del editor Wiley de Wireless Security Architecture de Jennifer Minella. Copyright © 2021 de John Wiley & Sons Ltd. Todos los derechos reservados. Este libro está disponible dondequiera que se vendan libros y libros electrónicos.