Distanciamiento electronic con microsegmentación


El distanciamiento físico ha mitigado el impacto de un virus La misma notion se puede aplicar a las computadoras y redes para minimizar las brechas, ataques e infecciones.

El distanciamiento social ha entrado recientemente en el léxico common a lo grande y, por ahora, todos estamos íntimamente familiarizados con la concept de mantener una distancia segura de los demás para minimizar las amenazas a la salud. Existen muchos paralelismos entre la epidemiología biológica y la seguridad de la información, y el concepto de «distanciamiento electronic» como una capa en un enfoque de protección de varias capas no solo se aplica a las interacciones en persona.

Al igual que con el distanciamiento social, el concepto básico detrás de la microsegmentación es limitar la mayor cantidad posible de contactos innecesarios. La mayoría de las computadoras solo deben hablar con un subconjunto muy limitado de otras computadoras, y ahí es donde entra la microsegmentación como distanciamiento social de los sistemas informáticos.

Cómo funciona
La microsegmentación mejora la seguridad del centro de datos al controlar el tráfico de pink dentro y fuera de una conexión de purple. Finalmente, el objetivo de la microsegmentación es implementar Zero Believe in.

Hecho correctamente, la microsegmentación es efectivamente una lista blanca para el tráfico de purple. Esto significa que los sistemas en cualquier pink pueden comunicarse estrictamente con los sistemas específicos con los que necesitan comunicarse, de la manera en que se supone que deben comunicarse, y nada más. Con conexiones y comunicaciones tan regimentadas, la microsegmentación se encuentra entre las mejores protecciones que tenemos hoy contra el compromiso lateral.

Esto permite a los administradores de microsegmentación proteger lo que esté en el otro extremo de esa conexión de red de lo que esté en la crimson. También permite que todo lo demás en la purple reciba un nivel básico de protección contra cualquier cosa que pueda estar en el otro extremo de esa conexión de crimson.

Este es un gran cambio con respecto al modelo de «computación de cáscara de huevo» en el que todas las defensas se concentran en el perímetro (la cáscara de huevo) pero todo lo que está detrás de ese borde está completamente abierto (el interior blando del huevo). La informática de cáscara de huevo es ineficaz Los atacantes han utilizado la propagación lateral desde un punto inicial de compromiso durante décadas y es essential que existan defensas este-oeste en los centros de datos junto con las más tradicionales de norte a sur.

¿Se puede aislar demasiado?
En implementaciones más avanzadas, la microsegmentación va más allá de lo que es básicamente otro firewall ejecutado por un equipo diferente y agrega superposiciones de red. Con una combinación de superposiciones y ACL, es posible restringir todo el tráfico dentro y fuera de un sistema específico para que solo aquellos otros sistemas que se supone que lo reciban puedan ver ese tráfico, y mucho menos responder a él.

Sin embargo, en el mundo true, la mayoría de los sistemas no pueden aislarse de manera realista de modo que solo se comuniquen con los sistemas pares de una manera este-oeste dentro del centro de datos. Como mínimo, deben acercarse a algo, a algún lugar para obtener actualizaciones de seguridad. Los sistemas de microsegmentación bien diseñados ofrecen la capacidad de colocar firewalls virtuales (o, cada vez más, en contenedores) en el borde de un microsegmento dado para que cualquier tráfico que abandone el segmento pase a través de ese firewall.

Este enfoque permite aislar un sistema tanto como sea posible, solo los sistemas que necesitan comunicarse entre sí están conectados a un segmento de crimson dado, al tiempo que ofrecen enrutamiento más allá de ese segmento. Pasar el tráfico dentro y fuera de ese segmento a través de un firewall (o cualquier otra función de seguridad de crimson que desee incluir) proporciona un nivel de protección adicional, y cada vez más necesario, que no se logra fácilmente con solo ACL y superposiciones de red.

La capacidad de agregar de forma segura un servidor o máquina digital en cualquier lugar de la pink aumenta drásticamente la flexibilidad de la colocación de la carga de trabajo. La experiencia común con la microsegmentación muestra que la adopción con frecuencia está vinculada a la popularidad de las aplicaciones distribuidas. En algunos casos, la demanda de aplicaciones distribuidas impulsa la necesidad de implementar microsegmentación. En otros casos, la disponibilidad de microsegmentación abre la puerta a aplicaciones distribuidas que antes no eran realistas.

Las aplicaciones distribuidas, como todas las aplicaciones, tienen diferentes niveles de resistencia a fallas. La adopción generalizada de aplicaciones distribuidas puede ampliar el alcance del impacto de una falla del conmutador porque ese conmutador puede estar alojando partes de múltiples aplicaciones o servicios. La redundancia es siempre un buen prepare en TI, pero adquiere una nueva urgencia cuando la microsegmentación se implementa en serio.

Si debe realizar cambios, realice todos los cambios
La arquitectura y la planificación son clave para implementaciones exitosas de microsegmentación. Si no ha implementado la microsegmentación antes, asegúrese de que su infraestructura pueda soportar significativamente más microsegmentos de los que cree que necesitará, ya que el crecimiento de nuevas funcionalidades dentro de una organización puede ser impredecible. Esto significa garantizar que todos los componentes relevantes (y el software package de gestión) puedan manejar la escala que necesitará.

Los equipos de red (conmutadores, enrutadores y conmutadores virtuales) suelen tener una capacidad limitada para filtrar, restringir o encapsular el tráfico. La inspección profunda de paquetes (DPI), el proxy SSL / TLS y muchas otras capacidades de seguridad de la información aún requieren que el tráfico pase (o al menos se refleje en) defensas más capaces, como un firewall de clase empresarial.

Preste atención a cómo se ve la sobrecarga de gestión continua del esquema de microsegmentación propuesto. Este también es un buen momento para hablar con el proveedor sobre las LAN definidas por software (SD-LAN) porque si va a cambiar todo su enfoque de administración de red, también podría manejar toda la automatización y la orquestación a la vez. Lo más probable es que no haga un cambio tan grande durante al menos otra década.

La microsegmentación tiene una reputación justificada por ser difícil de implementar, más que un poco difícil de manejar y, como resultado, bastante costosa. Ha sido así durante años y, si se implementa incorrectamente, todavía puede serlo hoy.

Ya no es un lujo
Sin embargo, la microsegmentación no tiene que ser una pesadilla para implementar. Las implementaciones bien planificadas creadas por profesionales experimentados no solo pueden tener éxito, sino que también pueden aumentar significativamente la capacidad de una organización para responder a cambios inesperados y, en última instancia, resultar beneficioso.

Es comprensible que no haya implementado la microsegmentación si tiene una crimson masiva y extensa con décadas de deuda técnica. Pero desde una perspectiva de seguridad de la información, nadie debería desplegar redes nuevas hoy sin microsegmentación. La microsegmentación ya no es una característica emergente de nicho. En la actualidad, debe considerarse una capacidad elementary para la agilidad de la crimson y la seguridad de la información.

La lucha del atacante y el defensor en el espacio de TI no tiene fin, ya que los atacantes mejoran rápidamente al extenderse a través de una purple cada año. Minimizar el contacto entre sistemas que usan distanciamiento digital es una herramienta obvia disponible para las organizaciones para reducir el alcance del compromiso cuando ocurren esos eventos inevitables.

Contenido relacionado:

Aprenda de los expertos de la industria en un entorno propicio para la interacción y la conversación sobre cómo prepararse para eso «realmente mal día «en ciberseguridad. Haga clic para más información y para registrarse.

Trevor Pott es director de promoting de productos en Juniper Networks. Trevor tiene más de 20 años de experiencia como administrador de sistemas y redes. Desde la administración de DOS hasta la seguridad de la información nativa en la nube, Trevor tiene un profundo conocimiento de seguridad y una carrera que coincide con … Ver biografía completa

Lectura recomendada:

Más tips





Enlace a la noticia original