olly - Fotolia
Lea esto antes de intentar la microsegmentación de red
La microsegmentación hace la seguridad de red más flexible, con políticas definidas por software en lugar de configuración manual, si se implementa con la previsión y las herramientas adecuadas.
La adopción de microsegmentación podría aumentar con la expansión de las redes definidas por software y las tecnologías de centros de datos definidos por software.
La microsegmentación es una tecnología de seguridad que rompe el centro de datos en elementos lógicos y los gestiona con políticas de seguridad de TI de alto nivel. Esto ayuda a aislar el acceso y limitar el movimiento lateral de la actividad maliciosa en caso de una brecha en la seguridad perimetral tradicional.
La microsegmentación de red agrega virtualización y control de la abstracción a nivel de software a los controles de tráfico de subred de la segmentación. El resultado es un mejor rendimiento de la red y una arquitectura más simple en los centros de datos complejos, virtualizados, complejos y definidos por software, con cargas de trabajo fluctuantes. Las políticas y normas de seguridad se aplican solo a las unidades del centro de datos –típicamente una carga de trabajo o aplicación– para responder debidamente a los vectores de amenazas sobre una base de caso por caso.
En cierto modo, las claves para la microsegmentación son las mismas que para cualquier estrategia de redes de centros de datos, tales como la comprensión del flujo de tráfico. Pero la naturaleza basada en políticas de la microsegmentación añade consideraciones adicionales para una implementación manejable.
Hacer que la microsegmentación de la red funcione
Al igual que con la virtualización convencional, no hay una sola manera de implementar la microsegmentación de red. En la mayoría de las situaciones, la infraestructura heredada existente y los mecanismos de protección se aumentan sistemáticamente con nuevas tecnologías, incluidas las redes definidas por software, los firewalls virtuales y así sucesivamente. Sin embargo, la adopción de la tecnología de microsegmentación implica varias consideraciones importantes.
La primera consideración es la visibilidad. Los adoptadores potenciales deben tener un conocimiento profundo del flujo de tráfico de la red y los patrones de comunicación hacia, desde y dentro del centro de datos. Esto, por lo general, requiere de herramientas analíticas que pueden reconocer los patrones de tráfico y las relaciones clave –es casi imposible mapear los servicios correctos y las políticas de firewall para cada carga de trabajo con un enfoque manual. Por ejemplo, la analítica debe ser capaz de detectar grupos de cargas de trabajo relacionadas con características comunes, tales como cargas de trabajo en la misma subred física, y reconocer los servicios compartidos como el sistema de nombres de dominio de la organización. La analítica también debe identificar las relaciones entre diferentes aplicaciones, así como áreas de red potencialmente vulnerables y los puntos destacados de ineficiencia de la red, tales como hairpinning.
Los modelos analíticos son la base de las nuevas reglas y políticas de seguridad para microsegmentación, mientras reducen al mínimo los errores y omisiones que podrían romper relaciones importantes. Del mismo modo, un sistema de definición de políticas y orquestación es vital para crear las políticas necesarias para la microsegmentación y para empujar dichas políticas hacia la infraestructura. No todas las aplicaciones son necesariamente candidatos adecuados para la microsegmentación, dijo Pete Sclafani, COO y cofundador de 6connect, una compañía de software y servicios que ofrece aprovisionamiento y automatización de recursos de red. Una cuidadosa revisión y evaluación de los modelos analíticos puede ayudar a exponer posibles cargas de trabajo o elementos de red problemáticos antes de implementar la microsegmentación.
Luego, aplique las reglas y políticas de seguridad utilizando un enfoque de cero confianza –un cierre completo de las comunicaciones– y siga los principios de cero confianza durante su despliegue de la microsegmentación. La comunicación a través de la red solo se debe permitir de forma selectiva, sobre la base de los resultados del análisis anterior. Esta es la mejor práctica para garantizar la conectividad y la seguridad de las aplicaciones.
Repita este proceso regularmente. Analizar el tráfico y destilar las reglas no es un esfuerzo de despliegue de una sola vez, sino una actividad continua que debe llevarse a cabo con frecuencia para asegurarse de que las cargas de trabajo y las políticas no cambian de forma inesperada, y que cualquier nuevo resultado analítico (quizás debido a nuevas aplicaciones o cambios en los patrones de tráfico) se pueden utilizar para ajustar las reglas de la microsegmentación.
Todas estas consideraciones ponen un énfasis definitivo en la elección del hipervisor y las herramientas utilizadas para facilitar la microsegmentación.
"Nos dimos cuenta que la interacción entre la capa de SDN y la capa física necesitaba ser visualizada", dijo un líder de TI de una tienda de artículos deportivos. "Se necesita una única herramienta que comprenda ambos. También se necesita una herramienta que trabaje para el equipo de la nube, el equipo de almacenamiento, el equipo de red y operaciones".
Movimientos de proveedores en microsegmentación
VMware y Palo Alto Networks se han asociado para microsegmentación usando NSX en concierto con plataformas de hipervisor como vSphere y herramientas de gestión como vCenter, mientras que Cisco Systems emplea su infraestructura centrada en aplicaciones para soportar la microsegmentación. También hay herramientas de terceros que pueden ayudar, incluyendo la plataforma de seguridad y operaciones de Arkin para la planificación, análisis, monitorización y resolución de problemas de microsegmentación, y CA Spectrum para la gestión de entornos físicos, virtuales y de nube junto con la virtualización de la red.