Seguridad basada en direcciones de pink: cómo implementar mejores controles


Los controles de seguridad tradicionales basados ​​en direcciones de pink no son tan efectivos para la nube o las redes internas. Esto es lo que debe hacer con estos problemas de seguridad.

«data-credit =» Imagen: monsitj, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Pasillo de la sala de servidores con bastidores de servidores en el centro de datos. Ilustración 3d

Imagen: monsitj, Getty Visuals / iStockphoto

La creación de redes es un campo desafiante y lo es aún más por el uso de redes híbridas o combinaciones de subredes internas y externas. Los controles de seguridad basados ​​en direcciones de purple tienen una larga y distinguida historia de éxito en la protección de las organizaciones, pero tampoco carecen de ciertas limitaciones.

Discutí el concepto con Peter Smith, CEO de la organización de seguridad en la nube Edgewise Networks, Reuven Harrison, CTO y cofundador del proveedor de automatización de políticas de seguridad de pink Tufin y Nitin Agale, vicepresidente senior de Estrategia de Producto y Marketing en el proveedor de soluciones de seguridad Securonix.

VER: Guía de seguridad de Kubernetes (PDF gratuito) (TechRepublic)

Scott Matteson: ¿Cuáles son los últimos desafíos con los controles de seguridad basados ​​en direcciones de pink?

Peter Smith: En la nube, los operadores tienen mucho menos command sobre la crimson y las direcciones son efímeras, por lo que es demasiado complejo administrar las reglas de firewall basadas en direcciones.

Para las redes internas, las organizaciones están adoptando cada vez más redes internas planas, que permiten a los ciberdelincuentes moverse lateralmente (y El movimiento lateral ahora está involucrado en el 70% de los ataques cibernéticos. según un informe de amenazas de abril de 2019 de Carbon Black)

Las direcciones de red son de corta duración en redes modernas, especialmente en entornos de nube y contenedor. Como resultado, es muy difícil, operativamente, mantener actualizadas las políticas basadas en direcciones. La posibilidad de sobreexposición de la crimson es alta, y también lo es la posibilidad de que las comunicaciones legítimas se bloqueen inadvertidamente, especialmente en un entorno bloqueado y con menos privilegios, dentro de una nube o centro de datos.

También hay problemas de seguridad porque los sistemas de seguridad basados ​​en direcciones de crimson no pueden identificar lo que se está comunicando, lo que facilita que el malware y otros ataques sigan las reglas de firewall aprobadas, es decir, direcciones «seguras». Por ejemplo, si se permite que una dirección se comunique, entonces cualquier computer software en ese host en distinct puede aprovechar la política aprobada, incluso el application malicioso.

VER: Craze Micro VP habla sobre seguridad en la nube, riesgos de IoT y ransomware (TechRepublic)

Reuven Harrison: Los controles de seguridad tradicionales basados ​​en direcciones de purple no son tan efectivos en la nube. A medida que una organización evoluciona del uso de servidores y (Infraestructura como servicio) IaaS a servicios en la nube más avanzados como (Plataforma como servicio) PaaS y (Software program como servicio) SaaS, las direcciones IP se abstraen de los usuarios. Por ejemplo, un depósito de almacenamiento en la nube no está asociado con ninguna dirección IP específica. Para escribir políticas de seguridad para este tipo de servicio, utiliza una política de administración de identidad y acceso (IAM) en lugar de un grupo de seguridad o un firewall.

Además, la dependencia tradicional de subredes y vlans para zonas de seguridad y segmentación, que se deriva del diseño initial del enrutamiento de Online, ya no es necesaria en las redes modernas definidas por computer software, que permiten la segmentación en una granularidad mucho más fina.

Nitin Agale: Los controles de crimson tradicionales fueron diseñados para mantener a los malos actores fuera de las redes internas. Se suponía que los datos se encontraban en un servidor en una purple interna (centro de datos). Con la transformación de la nube, este ya no es el caso. Como resultado, los controles de red son ineficaces.

Con la migración continua de datos a la nube, los dispositivos móviles y los controles de seguridad también necesitan ver un cambio. Los controles deben diseñarse teniendo en cuenta que los datos residen en la nube y se puede acceder desde cualquier lugar utilizando múltiples tipos de dispositivos móviles.

Scott Matteson: ¿Por qué existen esos desafíos?

Peter Smith: Estos desafíos existen porque la seguridad basada en direcciones solo analiza cómo se está comunicando algo, no qué se está comunicando, por lo que siempre que un ataque utilice vías de red y protocolos que se consideran «seguros», puede moverse lateralmente sin ningún impedimento.

Estos son los desafíos específicos asociados con los tres enfoques más comunes basados ​​en direcciones de red para la microsegmentación y la confianza cero:

NGFW (firewall de próxima generación): En este modelo, TI reutiliza los dispositivos de firewall de perímetro de purple basados ​​en la capa 7 para segmentar las redes internas. Proporciona una inspección profunda de paquetes, lo que le permite ofrecer más protección que los firewalls de capa 3 y 4, pero es significativamente más costoso que las alternativas basadas en program, especialmente cuando se necesita la capacidad de escalar para cubrir diferentes geografías. Además, inspeccionar un protocolo en un paquete nunca puede decirle de manera concluyente qué application se estaba comunicando realmente.

Los NGFW son menos efectivos para proteger las cargas de trabajo en contenedores porque la red vive dentro del contexto del dispositivo y, como dispositivo, el NGFW no. También son difíciles de usar para controlar el tráfico este-oeste en la nube, especialmente en AWS, debido al factor de forma del dispositivo digital.

SDN (redes definidas por computer software): Con las redes definidas por application, el firewall se incorpora dentro de la estructura de la purple, lo que le brinda una clara ventaja al proporcionar aislamiento de capa 2 que de otro modo no estaría disponible con firewalls basados ​​en host y soluciones similares. También es más difícil de omitir que los firewalls basados ​​en el host, porque no se puede desactivar en el nivel del host. Sin embargo, los SDN requieren una inversión significativamente mayor para proporcionar protección más allá del firewall common de las capas 3 y 4, lo que aumenta el costo full de propiedad. Además, no puede proporcionar protección a los contenedores o las implementaciones de la nube de metallic desnudo.

Orquestación de firewall basada en host: El ahorro de costos es una gran ventaja porque está integrado en el sistema operativo, es omnipresente y proporciona una amplia protección, incluidas las comunicaciones internas entre dispositivos. También es conveniente en la nube porque hay medios bien establecidos para implementar program que no existe para un factor de forma de dispositivo.

VER: 4 cosas esenciales que los expertos en seguridad hacen para proteger sus propios datos (TechRepublic)

Desafortunadamente, la orquestación de firewall basada en host ofrece solo regulate de capa 3 y 4, sin ninguna de las capacidades de capa 7 que encontrará con NGFW. Sin embargo, la mayor desventaja es que los atacantes pueden aprovechar las reglas aprobadas de firewall del host.

Scott Matteson: ¿Por qué las empresas se están mudando a redes internas planas, sacrificando las capacidades de protección de redes segmentadas separadas?

Peter Smith: Mantener una crimson plana es operacionalmente más uncomplicated que una segmentada, costosa de llevar a cabo y prohibitivamente compleja de administrar y mantener. Las redes planas proporcionan facilidad de uso para los administradores, ya que es más fácil controlar el tráfico de entrada y salida (punto único de entrada y salida para el tráfico de pink), y todas las aplicaciones pueden comunicarse más fácilmente con cualquier otra aplicación o almacén de datos en la pink .

Desafortunadamente, este método también aumenta la superficie de ataque al permitir un número mayor e innecesario de vías utilizables entre aplicaciones, cada una de las cuales presenta una forma para que los infiltrados se muevan lateralmente dentro de la red. Y una vez que un atacante se afianza dentro del entorno, hay muy poco que impida que se muevan lateralmente para comprometer toda la crimson.

Scott Matteson: ¿Qué es el movimiento lateral?

Peter Smith: El movimiento norte-sur se refiere al tráfico que viaja a través del límite externo de la red. El movimiento lateral o este-oeste explain las comunicaciones dentro de un entorno de red.

El movimiento lateral de amenazas es sin duda el mayor riesgo de ciberseguridad que las organizaciones enfrentarán este año.

Scott Matteson: ¿Cuáles son las mejores opciones aquí?

Peter Smith: La opción alternativa (y mejor) es utilizar un enfoque de protección basado en la identidad de la máquina y el program, también conocido como seguridad de confianza cero. Las identidades se crean para cada carga de trabajo en función de una huella electronic criptográfica inmutable compuesta de múltiples propiedades, como un hash SHA-256 de un código binario o el código UUID del BIOS. De esta manera, la comunicación se permite solo después de verificar la identidad del software package y los dispositivos, bloqueando todo el tráfico no autorizado.

Las organizaciones también deben basar las políticas de seguridad en la identidad de los dispositivos, hosts y cargas de trabajo. Estas identidades se pueden construir utilizando propiedades inmutables, únicas e intrínsecas de cada carga de trabajo, como un hash criptográfico SHA-256 de un binario, el identificador universalmente único (UUID) de la BIOS o los números de serie de los procesadores.

Reuven Harrison: Use identidades como etiquetas, etiquetas, grupos de seguridad, FQDN y URL en lugar de direcciones IP para especificar orígenes y destinos en sus políticas de seguridad. Use controles de seguridad nativos de la nube y confíe en los proveedores de la nube para hacerlos cumplir por usted. Agregue su propia seguridad criptográfica cuando los datos sean demasiado sensibles para confiar en el proveedor de la nube

Nitin Agale: El análisis y el procesamiento de datos para la seguridad en el borde, o dentro del SDN, es critical para optimizar la seguridad y los costos de la organización. Ofrece más análisis de datos en tiempo real, permite acciones de respuesta rápidas y optimiza los costos al evitar mover grandes volúmenes de datos a través de las redes.

Scott Matteson: ¿Cuáles son las ventajas de los controles de seguridad basados ​​en identidad?

Peter Smith: Si bien los tres enfoques anteriores tienen fortalezas y debilidades, todos sufren de un defecto deadly: cada uno depende de las direcciones de crimson para construir y aplicar políticas. Como resultado, no pueden desambiguar un buen software package del malware que se comunica a través de un command de acceso permitido.

VER: Los agujeros de seguridad en las redes 2G y 3G representarán un riesgo para los próximos años. (TechRepublic)

Los controles basados ​​en la identidad utilizan identidades criptográficas inmutables para proteger cualquier segmento con un máximo de 7 políticas en comparación con los miles que a menudo se requieren en los otros modelos, lo que puede afectar gravemente el rendimiento de la crimson. Debido a que solo permite que el program aprobado se comunique (las aplicaciones falsificadas o alteradas no tendrán la misma identidad que el binario genuino), se evita el piggybacking y solo se permiten comunicaciones aprobadas de máquinas y program verificados. Todo lo demás está bloqueado por defecto. Entonces, si una secuencia de comandos no autorizada o cualquier otro atacante gana un punto de apoyo, no podrán moverse lateralmente para hacer daño.

Las políticas basadas en identidad son portátiles porque se aplican a nivel de carga de trabajo y no a nivel de pink. Como resultado, las cargas de trabajo están protegidas independientemente de dónde se ejecuten: en las instalaciones, en la nube pública o incluso en contenedores.

La identidad invierte el script de seguridad típico, porque la confianza cero basada en la identidad se centra en la identificación positiva de software program y dispositivos conocidos y aprobados en lugar de eliminar lo que es malo. Todo el tráfico que no se identifica como «bueno» se deniega de manera predeterminada.

Scott Matteson: ¿Cuáles son algunos ejemplos subjetivos de cómo funcionarían las políticas de seguridad?

Peter Smith: En aras de la facilidad y la gestión, idealmente, habría la menor cantidad de políticas posible y un enfoque basado en la identidad para la confianza cero lo permite. En lugar de realizar un seguimiento del número infinito de amenazas y crear políticas para controlarlas, un enfoque mucho más basic y manejable es crear políticas para lo que se permite comunicar, un número mucho menor, en efecto, creando un mínimo. entorno privilegiado El resto del tráfico se considera inseguro o no autorizado y, por lo tanto, está bloqueado.

VER: Pequeños errores de configuración en la nube pueden abrir grandes riesgos de seguridad (TechRepublic)

Scott Matteson: ¿Qué tan fácil es implementar y mantener?

Peter Smith: En nuestro entorno, es very simple implementar microsegmentación y crear cero confianza. Se instala un agente liviano que ni siquiera requiere reiniciar el sistema. En 72 horas, el sistema de aprendizaje automático crea un mapa de topología de la aplicación y elimina las rutas innecesarias para reducir la superficie de ataque, lo que a menudo resulta en una reducción del 90%. Después de que las políticas se crean automáticamente, los operadores pueden microsegmentar toda la crimson con un solo clic, reduciendo los tiempos de implementación de microsegmentación típicos de meses a minutos, y nuevamente, reduciendo en gran medida el costo de implementación.

Una vez implementada, la solución requiere una atención mínima. Las políticas pueden adaptarse a los cambios de red habituales, como las actualizaciones de aplicaciones y el escalado automático.

«Estamos en un punto en el que solo lo veo una o dos veces al mes», dijo Steve Strout, jefe international de operaciones técnicas de Vonage.

Ver también



Enlace a la noticia authentic