REDSEGURIDAD 083

tido mediante un nuevo proceso de ofuscación y exfiltración de datos. Los enfoques de capa 4, típicos de la mayoría de las soluciones de punto, proporcionan una segmenta- ción insuficiente, ya que no limitan adecuadamente las superficies de ataque en infraestructuras dinámi- cas donde las cargas de trabajo se comunican y, a menudo, migran a través de segmentos. Los atacantes explotan puertos abiertos y protoco- los para realizar movimientos latera- les. Una microsegmentación efectiva debe lograr un equilibrio entre la pro- tección de la aplicación y la agilidad de los procesos de negocio, propor- cionando una seguridad sólida sin interrumpir el funcionamiento de las aplicaciones empresariales críticas. - Falta de convergencia multicloud: El centro de datos de nube híbrida aporta agilidad mediante el autoes- calado y la movilidad de las cargas de trabajo. Sin embargo, está cons- truido sobre una base arquitectó- nica heterogénea. Cada proveedor de nube puede ofrecer soluciones puntuales y metodologías basadas en grupos de seguridad que se cen- tran en su propia arquitectura, lo que puede resultar en una complejidad innecesaria. Una microsegmentación exitosa requiere una solución que funcione de manera convergente en toda la arquitectura. - Motores de política inflexibles: Las soluciones de punto a menudo adolecen de motores de políticas mal diseñados. La mayoría incluye única- mente conjuntos de reglas de allow- only , o de autorización expresa de flujos de comunicación. Gran parte de los profesionales de la seguridad, sin embargo, preferirían comenzar con una lista de "denegación glo- bal", que establece una política base contra acciones no autorizadas en todo el entorno. Esto permite a las empresas demostrar una postura de seguridad directamente correlacio- nada con los estándares de cumpli- miento a los que deben adherirse, como HIPAA. Además, las soluciones de punto generalmente no permiten el provi- sionamiento ni la actualización diná- mica de políticas cuando los flujos de trabajo se autoescalan, los servicios se expanden o se contraen, o los procesos arrancan o se detienen –una razón clave por la que las empresas se están trasladando a centros de datos de nube híbrida–. Sin esta capacidad, la microsegmen- tación es prácticamente imposible. Teniendo en cuenta todos estos obstáculos, es comprensible que la mayoría de los proyectos de micro- segmentación fracasen. Entonces, ¿cómo es posible incrementar las posibilidades de éxito? Estrategias ganadoras Una microsegmentación exitosa comienza con el descubrimiento de las aplicaciones y mapeando visual- mente las relaciones entre ellas. Con una visibilidad adecuada de los flujos de red, activos y detalles de orques- tación de las distintas plataformas y cargas de trabajo, es posible iden- tificar con mayor facilidad los acti- vos críticos que se pueden agrupar lógicamente a través de etiquetas, y utilizar éstas en la creación de políti- cas. La visibilidad a nivel de proceso (capa 7) permite un grado de protec- ción más profundo y efectivo. Una estrategia de microsegmenta- ción convergente en todo el entorno, desde las instalaciones on premise hasta la nube, simplificará y acelerará la implementación. Cuando una polí- tica puede realmente seguir la carga de trabajo, independientemente de la plataforma subyacente, se vuelve más fácil de implementar y admi- nistrar, y ofrece una protección más efectiva. El autoescalado es una de las características claves de la nube híbrida. La inteligencia para com- prender y aplicar políticas a las car- gas de trabajo a medida que apare- cen y desaparecen dinámicamente es clave. Finalmente, es fundamental adoptar un enfoque por fases, comenzando con las aplicaciones cuya protección es requerida por las normas de cum- plimiento. Cree políticas alrededor de los objetivos más vulnerables o apete- cibles primero, y vaya desarrollando posteriormente políticas cada vez más refinadas hasta el nivel de micro- servicio, proceso a proceso. red seguridad cuarto trimestre 2018 45 Una microsegmentación exitosa comienza con el descubrimiento de las aplicaciones y mapeando visualmente las relaciones entre ellas. cloud opinión