REDSEGURIDAD 083

el bot-herding de los recursos com- putacionales de decenas de miles de usuarios individuales hacia ata- ques directos dirigidos contra cen- tros de datos híbridos en la nube, cuyo poder de cómputo excede, por mucho, el adquirido por los medios tradicionales. Este tipo de ataques resultan más rápidos y eficientes para el atacante, dada la escasez de controles de seguridad nativos y el tiempo promedio de permanencia antes de la detección. La seguridad es, en definitiva, una responsabilidad compartida entre el proveedor y el usuario, por lo que las empresas deben desviar su atención de la prevención de intrusiones hacia la protección de las cargas de trabajo y las aplicaciones en sí mismas. Dilema de la microsegmentación En vista de esta urgencia y del acuer- do general de que la microsegmen- tación resuelve este problema, ¿por qué resulta un desafío tan abruma- dor? En conversaciones con emplea- dos de docenas de organizaciones que han intentado implementarlo, hemos descubierto algunas de las trabas más comunes: - Falta de visibilidad: Sin una visibi- lidad profunda del tráfico este-oeste, cualquier esfuerzo para implementar la microsegmentación acaba en lar- gas reuniones de análisis, recopila- ción de tráfico y procesos de mapeo manual. Demasiado a menudo se carece de visibilidad de los procesos y datos críticos de orquestación con- textual. La capacidad de mapear los flujos de trabajo de las aplicaciones a un nivel muy detallado es un requisito indispensable para identificar agru- paciones lógicas de aplicaciones a fin de segmentarlas. - Parálisis de la segmentación de todo o nada: En ocasiones, existe la percepción errónea de que es necesario microsegmentar todo de manera exhaustiva, lo que, a su vez, genera temor a que alguna de las reglas pueda producir una interrup- ción accidental del servicio. El pro- yecto parece demasiado intimidante, por lo que nunca se aborda. El fallo está en no comprender que la micro- segmentación debe llevarse a cabo gradualmente, en fases. - Complacencia con la segmenta- ción de capa 4: Algunas organiza- ciones creen que la segmentación de red tradicional es suficiente, pero hace tiempo que los cortafuegos perimetrales dejaron de ser estric- tamente dispositivos de reenvío de puertos de capa 4. Los ataques en los últimos 15 años a menudo incluyen el secuestro de puertos; es decir, tomar el control de uno permi- E s ocifial : la microsegmentación se ha convertido en una tendencia. Los expertos en seguridad empresarial declaran que 2018 es el año de los proyectos de microsegmentación. El movimiento irreversible de cargas crí- ticas de trabajo a entornos virtuales, las auditorías y requisitos de cumpli- miento de la industria y las noticias de continuas brechas de seguridad en centros de datos así lo exigen. El tráfico del centro de datos este- oeste representa ya la mayoría del tráfico empresarial, hasta un 77 por ciento, según algunas estimaciones. Como resultado, la seguridad tradi- cional de red y la basada en el host no proporcionan la visibilidad, los controles de seguridad ni las capa- cidades de protección para asegurar lo que se ha convertido en la super- ficie de ataque más grande de los entornos informáticos empresariales actuales. Por otra parte, las solucio- nes de seguridad de punto que ofre- cen los proveedores en la nube y on premise se quedan cortas y agregan capas de complejidad que la mayoría de las empresas no pueden costear. Por su parte, los atacantes saben esto y lo están explotando. Precisamente, la brecha de Equifax en el verano de 2017 es un buen ejemplo de ello. En los últimos años se ha producido un cambio desde Un enfoque gradual para implementar la microsegmentación Dave Klein Director regional de Ingeniería de Ventas y Arquitectura de GuardiCore cloud opinión 44 red seguridad cuarto trimestre 2018