¿Qué es la microsegmentación?

La microsegmentación es una técnica de seguridad definida por software que divide un centro de datos y un entorno de aplicaciones en pequeños segmentos para proteger cargas de trabajo individuales, como una única aplicación en una máquina virtual o en un contenedor. En la segmentación de redes tradicionales, la seguridad suele concentrarse en la conexión de la red interna con Internet. La microsegmentación traslada el enfoque hacia el interior y aplica políticas de seguridad estrictas al tráfico que circula dentro de la red.

Gracias al aislamiento, la microsegmentación impide que los agentes maliciosos se desplacen entre sistemas cuando logran superar el punto de entrada inicial. Este enfoque es un elemento central de la seguridad de confianza cero, que opera bajo el principio de que la comunicación dentro del centro de datos debe considerarse no confiable de forma predeterminada. Entonces, cada solicitud debe verificarse basándose en políticas estrictas y automatizadas. 

Para administradores de VMware: Descubre Red Hat OpenShift

La microsegmentación mejora la seguridad de la red al proteger cada carga de trabajo de forma individual, en lugar de depender de un único punto central. En un centro de datos moderno, donde una carga de trabajo puede ser una máquina virtual, un contenedor o una arquitectura sin servidor, este enfoque complementa las medidas de defensa perimetrales que ya posees. Garantiza que, incluso cuando se supera la barrera principal de la red, cada elemento interno siga estando protegido por su propio límite específico definido por software.

Diferencias entre la segmentación de red tradicional y la microsegmentación

Tradicionalmente, las redes se segmentaban utilizando herramientas basadas en hardware, como firewalls y redes de área local virtuales (VLAN). Este enfoque se centra en la seguridad "norte-sur", es decir, el tráfico que entra o sale del centro de datos a través de una puerta de enlace principal. 

El problema de este modelo es que considera todo lo que se encuentra dentro de un segmento específico como elementos "confiables". Si una aplicación y una base de datos se encuentran en la misma VLAN, normalmente pueden comunicarse entre sí sin ninguna restricción. Por lo tanto, cuando una se ve comprometida, la otra corre riesgo, ya que se ha superado la seguridad en el punto de entrada de la red.

La microsegmentación aborda el tráfico "este-oeste", que es la comunicación que ocurre internamente entre servidores y aplicaciones. Al aplicar políticas de seguridad a cada carga de trabajo, su cumplimiento es independiente de la configuración física de la red o de la VLAN en la que se encuentra un servidor. En su lugar, el software define la seguridad en función de la identidad de la propia carga de trabajo. 

El mecanismo

La microsegmentación se basa en tres principios fundamentales para proteger una red.

• Aislamiento: Las cargas de trabajo se mantienen separadas a menos que una regla les permita comunicarse, lo que se traduce en un entorno digital autónomo. Por ejemplo, un entorno de desarrollo puede aislarse de un entorno de producción, incluso si ambos se ejecutan en el mismo hardware físico.
• Control detallado: Los equipos de seguridad pueden establecer reglas muy específicas. Por ejemplo, en lugar de decir que "el servidor A puede comunicarse con el servidor B", una regla podría indicar que "el servidor web puede comunicarse con la base de datos únicamente a través de un puerto específico y para tipos específicos de datos".
• Principio de privilegios mínimos: Esto implica otorgar a una carga de trabajo solo el acceso mínimo que necesita para realizar su tarea. Si un servicio no necesita conectarse a otros sistemas, la microsegmentación garantiza que no pueda hacerlo. 

Implementación basada en software e impulsada por políticas

Como la infraestructura moderna está en constante cambio, no es posible protegerla mediante configuraciones manuales de hardware. Las máquinas virtuales y los contenedores se activan y desactivan demasiado rápido para la velocidad de un trabajo manual.

La microsegmentación está basada en software e impulsada por políticas. Las políticas de seguridad funcionan como código. Por lo tanto, cuando se inicia una nueva máquina virtual o un nuevo contenedor, el sistema lo reconoce y aplica de manera automática las etiquetas y reglas de seguridad correspondientes. La seguridad acompaña a la carga de trabajo, independientemente del servidor físico o la nube que utilices.

Obtén más información sobre las redes definidas por software 

La microsegmentación ofrece un nivel de control y transparencia que resulta difícil, si no imposible, de lograr con las redes tradicionales basadas en hardware. Estas son las principales ventajas de la microsegmentación para los entornos de TI modernos:

Mayor seguridad y movimiento lateral limitado 

La ventaja más destacable de la microsegmentación es la contención de los fallos de seguridad. En una red plana, un agente malicioso que obtiene acceso a un sistema de baja prioridad suele moverse con libertad hacia objetivos de alto valor, como las bases de datos que contienen información de clientes.

Al crear "segmentos de uno", la microsegmentación garantiza que la amenaza quede aislada, incluso cuando se ve comprometida una sola carga de trabajo. Como resultado, el atacante queda atrapado en una "habitación" digital sin una puerta que le permita acceder al resto de la casa.

Mejora del cumplimiento normativo y la auditabilidad

En sectores regidos por normativas estrictas, como el de la salud o las finanzas, la microsegmentación simplifica el proceso de cumplimiento. Permite que las empresas aíslen los sistemas que contienen datos confidenciales del resto de la red.

Dado que las políticas de seguridad están definidas por software, los auditores pueden ver fácilmente y con exactitud qué usuarios tienen permiso para acceder a qué sistemas. Este nivel de información detallada permite que sea mucho más sencillo demostrar que los datos confidenciales están protegidos de acuerdo con los estándares normativos. 

Mayor transparencia y control sobre el tráfico de red

No se puede proteger lo que no se ve. Las herramientas de microsegmentación ofrecen una gran transparencia de los patrones de tráfico "este-oeste". Los equipos de seguridad pueden ver exactamente cómo interactúan las diferentes aplicaciones y servicios en tiempo real. Esta transparencia permite identificar comportamientos inusuales que podrían indicar una amenaza de seguridad o un bloqueo en el rendimiento.

Adaptabilidad a los entornos de TI modernos

Las reglas de seguridad tradicionales suelen estar vinculadas a ubicaciones físicas, como una dirección IP o un puerto de hardware específico. En un contexto de uso generalizado de la nube, esas ubicaciones cambian constantemente a medida que los contenedores se activan y desactivan. 

La microsegmentación es independiente del entorno. Como la política de seguridad está vinculada a la carga de trabajo, y no al hardware de red, la protección se mantiene uniforme, ya sea que la carga de trabajo se ejecute en un centro de datos local, una nube privada o un entorno de nube pública.

Gestión simplificada mediante la automatización

En un entorno moderno y microsegmentado, las políticas de seguridad están automatizadas. Cuando se implementa una nueva aplicación, esta puede heredar automáticamente las políticas de seguridad que necesita según su función. Gracias a esto, los administradores no deben configurarla de forma manual, lo que reduce el riesgo de cometer errores humanos.

Aprende a configurar el acceso a la red con microsegmentación

Durante años, la virtualización fue la principal fuente de eficiencia de los centros de datos, ya que permitía ejecutar varias máquinas virtuales en un solo servidor físico. Sin embargo, la transición hacia entornos virtualizados generó nuevos puntos vulnerables. Con frecuencia, los firewalls de hardware tradicionales no pueden detectar el tráfico que circula entre dos máquinas virtuales ubicadas en el mismo host físico. 

Sin esta transparencia interna, los equipos de seguridad no siempre pueden identificar o bloquear los movimientos laterales maliciosos. Entonces, a medida que las empresas avanzan hacia arquitecturas de nube y utilizan tanto máquinas virtuales como contenedores, este desafío se acentúa. 

Los límites de la segmentación tradicional en entornos virtualizados

La segmentación tradicional consiste en desviar el tráfico fuera del host virtual a través de un firewall físico y devolverlo al host virtual para inspeccionarlo. Este proceso genera latencia y enormes bloqueos en el rendimiento. Es una forma poco eficiente de proteger un entorno adaptable. En un entorno virtualizado dinámico, las direcciones IP y las ubicaciones cambian con frecuencia. Las reglas basadas en hardware son demasiado rígidas para seguir el ritmo de las máquinas virtuales que migran o se expanden constantemente.

Respaldo de la microsegmentación a las infraestructuras adaptables

La microsegmentación resuelve estas dificultades al desvincular la seguridad del hardware físico. En lugar de dirigir el tráfico hacia un firewall central, la política de seguridad se aplica en la interfaz de red virtual de cada contenedor o máquina virtual. 

Esto permite: 

• Rendimiento a gran escala. Los controles de seguridad se realizan localmente dentro de la capa virtualizada, por lo que no es necesario enviar el tráfico interno hacia dispositivos externos a través de un largo recorrido.
• Uniformidad en todos los entornos. La microsegmentación ofrece una única forma de gestionar las políticas de seguridad en toda la stack, ya sea que la carga de trabajo consista en una máquina virtual tradicional o en un contenedor moderno.
• Movilidad. Cuando una máquina virtual se traslada de un host físico a otro, su perímetro de seguridad se desplaza automáticamente con ella.

Al integrar la seguridad en la capa de virtualización, la microsegmentación te permite ampliar tu infraestructura con rapidez sin comprometer los sistemas internos.

La microsegmentación es más eficaz cuando se aplica a objetivos empresariales específicos. Entre los casos comunes, podemos mencionar: 

• Protección de entornos de nube híbrida. Protege las aplicaciones que abarcan centros de datos en las instalaciones y múltiples proveedores de nube con una política de seguridad uniforme.
• Cumplimiento normativo. Aísla los sistemas que utilizan datos confidenciales en materia de finanzas o salud (como números de tarjetas de crédito o registros de pacientes) para cumplir con los estrictos requisitos de auditoría sin necesidad de aislar toda la red.
• Protección del desarrollo y la producción. Garantiza que un error o una falla de seguridad en un entorno de pruebas no pueda filtrarse al entorno de producción en vivo donde residen los datos de los clientes. 

Si bien la microsegmentación ofrece un nivel de seguridad superior, migrar de un modelo de red tradicional a uno microsegmentado requiere una planificación cuidadosa.

Desafíos comunes

• Complejidad inicial: En una empresa de gran tamaño, se producen miles de conexiones en todo momento. Identificar estas conexiones para entender qué elemento debe comunicarse con qué otro puede resultar abrumador.
• Gestión de las políticas: A medida que se crean más segmentos, se crean más políticas. Sin las herramientas adecuadas, administrar miles de reglas de seguridad individuales puede resultar difícil para las personas a cargo de esta tarea.
• Integración con los sistemas actuales: La microsegmentación debe funcionar junto con tu stack de seguridad e infraestructura actuales sin causar problemas de rendimiento ni riesgos ocultos.

Prácticas recomendadas para el éxito

Para superar los desafíos comunes de la microsegmentación y garantizar una implementación sin inconvenientes, ten en cuenta las siguientes prácticas recomendadas del sector.

• Comienza con proyectos pequeños: No intentes microsegmentar todo tu centro de datos de un día para otro. Comienza con una aplicación bien definida o un entorno concreto. Aprovecha estos primeros proyectos para perfeccionar tu proceso de creación de políticas.
• Prioriza los recursos de alto valor: Concentra tus esfuerzos iniciales en las aplicaciones que utilizan datos confidenciales de los clientes o que son esenciales para las operaciones comerciales.
• Automatiza las tareas siempre que sea posible: La creación manual de reglas es enemiga de la expansión. Utiliza herramientas que puedan detectar automáticamente los patrones de tráfico y sugerir políticas de seguridad. La automatización garantiza que tus medidas de seguridad acompañen el crecimiento de tu entorno.
• Implementa la supervisión permanente: Debes supervisar constantemente el tráfico de tu red para identificar nuevos patrones de comunicación y ajustar tus políticas a medida que las aplicaciones evolucionen. 

El enfoque moderno y modular de Red Hat para la microsegmentación evita la complejidad innecesaria y el software sin utilizar, que suelen estar asociados a las grandes y costosas suscripciones propietarias. Con Red Hat® OpenShift® Virtualization, puedes administrar máquinas virtuales y contenedores en una sola plataforma con políticas de seguridad uniformes. Esto te permite ampliar tu infraestructura sin tener que pagar por funciones que no necesitas. 

Red Hat OpenShift, que se basa en estándares open source, es una plataforma de aplicaciones moderna que admite una arquitectura de confianza cero al permitirte aplicar políticas de red específicas a las cargas de trabajo. Esto significa que cada máquina virtual y contenedor está aislado de forma predeterminada, por lo que están protegidos contra amenazas internas. 

Con Red Hat, obtienes una solución de seguridad flexible y preparada para el futuro que se integra fácilmente a tu entorno actual, sin los costos altos de los conjuntos de herramientas tradicionales que dependen de un único proveedor. 

Aprende a migrar máquinas virtuales de VMware a Red Hat