Invisibilidad y microsegmentación

Segurizar entornos físicos o virtuales

1482
Omnipresencia, globalidad, movilidad, elasticidad, dinamismo y agilidad. En este contexto, la capacidad para conseguir que el alineamiento estratégico sea operativamente viable es crítica y el reto para las organizaciones TIC es doble. Por una parte, el negocio exige celeridad en la implementación del proceso de transformación digital y, por otra, necesita que esa implementación se realice maximizando la seguridad de las operaciones.

Lamentablemente la innovación de las tecnologías tradicionales de seguridad no ha sido capaz de seguir el mismo ritmo alcanzado en los sistemas e infraestructuras TIC, especialmente en el ámbito virtual. Sin embargo, empiezan a aparecer alternativas innovadoras para segurizar de forma ágil las infraestructuras disponibles en los entornos físicos o virtuales.

Entre ellas están las soluciones de microsegmentación basada en identidad y las de ocultación (o cloaking), que, combinadas, ofrecen “invisibilidad selectiva” a los elementos protegidos y cifran cualquier comunicación entre ellos.

Microsegmentación basada en identidad

El concepto de la microsegmentación ha ido evolucionando con múltiples enfoques, desde la tradicional segmentación de redes basada en funcionalidades de dispositivos físicos (firewalls, routers, switches) hasta las soluciones basadas en software y de nueva generación para entornos virtuales.

La ventaja de las soluciones de microsegmentación basadas en software se percibe especialmente en su aplicación dentro del tráfico lateral (este-oeste: flujo de información entre zonas de la red interna) de los datacenters; mientras que para el tráfico vertical (norte-sur: flujo de información entre la organización e Internet) las soluciones tradicionales aún siguen teniendo cabida dentro del contexto de la seguridad perimetral.

Entre las soluciones de microsegmentación basadas en software consideradas de nueva generación, se distinguen dos opciones diferenciadas. Por un lado, las que utilizan la definición de reglas basadas en el direccionamiento IP, filtros por puertos y/o aplicaciones, que no siempre resultan sencillas de mantener.

Por otro, se encuentran aquellas que se sustentan en sistemas de identidad de usuario, que se integran con los sistemas de directorio LDAP (directorio activo, por ejemplo) y permiten implementar la microsegmentación a través de una interfaz mucho más intuitiva de gestión de usuarios. Este tipo de soluciones ofrecen toda una serie de ventajas, como:

  • Agilidad al gestionar los recursos involucrados en la microsegmentación, reduciendo el esfuerzo de definir y mantener complejas reglas de filtrado.
  • Simplicidad a la hora de microsegmentar los recursos autorizados, ya que no dependen de la localización geográfica y/o topológica de los dispositivos en la red, sino de la identidad de los usuarios.
  • Disminución de costes (CAPEX y OPEX), ya que reducen la necesidad de implementar y mantener soluciones tradicionales para la microsegmentación del tráfico lateral de los datacenters.

Invisibilidad y seguridad extremo a extremo de los elementos protegidos

Ocultación (cloaking)

Adicionalmente, existen soluciones que combinan los beneficios de la microsegmentación basada en identidad con técnicas de ocultación (cloaking) de los elementos protegidos.

El uso de esta tecnología provoca que los dispositivos protegidos se vuelvan “invisibles” al resto de los elementos conectados, incluso dentro de un mismo segmento de red. Solo podrán verse los dispositivos autorizados que pertenezcan a un mismo microsegmento. Cabe, por supuesto, la opción de que un dispositivo protegido pueda conectarse a uno o varios microsegmentos, dependiendo de los permisos otorgados a la identidad del usuario que accede al sistema.

Como resultado, los elementos protegidos solo pueden verse entre aquellos que están autorizados, y resultan “indetectables” o “invisibles” para el resto.

Desde una perspectiva técnica, la funcionalidad de ocultación de los elementos protegidos reduce drásticamente la posibilidad de iniciar un ataque contra ellos, ya que estos dispositivos no ofrecerán ningún tipo de respuesta (ni por tanto, información) a ningún tipo de petición “no autorizada”. Sin ninguna respuesta, es prácticamente imposible que un atacante pueda recoger datos básicos, aunque relevantes, mediante el uso de herramientas y técnicas de hacking.

En consecuencia, se impide el primer paso de un proceso de ataque, la fase de descubrimiento.

Casos de aplicación práctica

Este tipo de soluciones tienen aplicación en diferentes ámbitos. Algunos de ellos son la simplificación del despliegue y mantenimiento de zonas seguras de los centros de datos, la extensión segura del datacenter a los servicios en la nube y la securización de entornos de control industrial.

Tráfico lateral en los centros de datos.  La segurización del tráfico lateral de los centros de datos —que tradicionalmente se lleva a cabo con la implementación de filtros y reglas de direccionamiento IP, puertos y/o aplicaciones— puede conseguirse de forma simplificada con la utilización de microsegmentación por identidad de usuarios. Esto permite reducir el despliegue de soluciones de seguridad perimetral y su coste de mantenimiento asociado.

Las soluciones de microsegmentación por identidad de usuarios pueden aplicarse para separar entornos que requieren niveles de seguridad diferenciados, como por ejemplo los sistemas de información de RRHH y nómina, o los sistemas de pago que requieren de la implementación de controles para cumplimiento regulatorio como PCI-DSS (payment card industry data security standard).

Extensión segura del datacenter. Los servicios de la nube (IaaS, PaaS, SaaS, etc.) son cada vez más asequibles y atractivos para las organizaciones que necesitan extender y ampliar con agilidad y seguridad sus capacidades de TI a entornos cloud multi-tenant. La elasticidad en escalabilidad y coste ofrecida por algunos proveedores permite conseguir dicha ampliación de forma ágil, pero no siempre con el nivel de seguridad requerido por sus clientes.

Las soluciones de microsegmentación por identidad de usuarios y ocultación (o cloaking) facilitan el movimiento a cloud de las máquinas virtuales (VM — virtual machine), haciéndolas indetectables a usuarios no autorizados y cifrando los datos en movimiento entre el centro de datos y las VM disponibles en la nube. Todo esto, al tiempo que se mantiene la ventaja de agilidad y elasticidad en el despliegue seguro de entornos virtuales.

Segurización y control industrial. La mayor parte de los entornos de control industrial requieren permanecer aislados para cumplir con normativas de seguridad industrial. En muchos casos, esto implica duplicar sistemas, infraestructuras y aplicaciones (análisis de big data, por ejemplo) para mantener aislados los entornos industriales.

Las soluciones de microsegmentación y ocultación abren la posibilidad a la consolidación de los entornos industriales (SCADA, por ejemplo) con los entornos de sistemas de información tradicionales sin poner en riesgo la operación de infraestructuras críticas.

Conclusiones

En resumen, las soluciones que combinan la microsegmentación basada en identidad de usuario y la ocultación ofrecen invisibilidad y seguridad extremo a extremo de los elementos protegidos, con independencia de su localización en la red (on-premise o cloud) y de su origen físico o virtual. A efectos prácticos, permiten que los recursos protegidos se comuniquen de manera segura y sean indetectables a los recursos no autorizados.

Adicionalmente, la microsegmentación y ocultación aplicadas al  control de tráfico lateral (tráfico este-oeste) permiten reducir el uso de soluciones de segurización perimetral (adecuadas para el control de tráfico norte-sur) para este propósito. Esto se traduce en una optimización y homogeneización de infraestructuras de inversión (CAPEX), así como en una reducción de los costes de operación de las mismas (OPEX).