Es oficial: la microsegmentación se ha convertido en una tendencia. Los expertos en seguridad empresarial declaran que 2018 es el año de los proyectos de microsegmentación. El movimiento irreversible de cargas críticas de trabajo a entornos virtuales, las auditorías y requisitos de cumplimiento de la industria y las noticias de continuas brechas de seguridad en centros de datos así lo exigen.
El tráfico del centro de datos este-oeste representa ya la mayoría del tráfico empresarial, hasta un 77 por ciento, según algunas estimaciones. Como resultado, la seguridad tradicional de red y la basada en el host no proporcionan la visibilidad, los controles de seguridad ni las capacidades de protección para asegurar lo que se ha convertido en la superficie de ataque más grande de los entornos informáticos empresariales actuales. Por otra parte, las soluciones de seguridad de punto que ofrecen los proveedores en la nube y on premise se quedan cortas y agregan capas de complejidad que la mayoría de las empresas no pueden costear.
Por su parte, los atacantes saben esto y lo están explotando. Precisamente, la brecha de Equifax en el verano de 2017 es un buen ejemplo de ello. En los últimos años se ha producido un cambio desde el bot-herding de los recursos computacionales de decenas de miles de usuarios individuales hacia ataques directos dirigidos contra centros de datos híbridos en la nube, cuyo poder de cómputo excede, por mucho, el adquirido por los medios tradicionales. Este tipo de ataques resultan más rápidos y eficientes para el atacante, dada la escasez de controles de seguridad nativos y el tiempo promedio de permanencia antes de la detección.
La seguridad es, en definitiva, una responsabilidad compartida entre el proveedor y el usuario, por lo que las empresas deben desviar su atención de la prevención de intrusiones hacia la protección de las cargas de trabajo y las aplicaciones en sí mismas.
Dilema de la microsegmentación
En vista de esta urgencia y del acuerdo general de que la microsegmentación resuelve este problema, ¿por qué resulta un desafío tan abrumador? En conversaciones con empleados de docenas de organizaciones que han intentado implementarlo, hemos descubierto algunas de las trabas más comunes:
- Falta de visibilidad: Sin una visibilidad profunda del tráfico este-oeste, cualquier esfuerzo para implementar la microsegmentación acaba en largas reuniones de análisis, recopilación de tráfico y procesos de mapeo manual. Demasiado a menudo se carece de visibilidad de los procesos y datos críticos de orquestación contextual. La capacidad de mapear los flujos de trabajo de las aplicaciones a un nivel muy detallado es un requisito indispensable para identificar agrupaciones lógicas de aplicaciones a fin de segmentarlas.
- Parálisis de la segmentación de todo o nada: En ocasiones, existe la percepción errónea de que es necesario microsegmentar todo de manera exhaustiva, lo que, a su vez, genera temor a que alguna de las reglas pueda producir una interrupción accidental del servicio. El proyecto parece demasiado intimidante, por lo que nunca se aborda. El fallo está en no comprender que la microsegmentación debe llevarse a cabo gradualmente, en fases.
- Complacencia con la segmentación de capa 4: Algunas organizaciones creen que la segmentación de red tradicional es suficiente, pero hace tiempo que los cortafuegos perimetrales dejaron de ser estrictamente dispositivos de reenvío de puertos de capa 4. Los ataques en los últimos 15 años a menudo incluyen el secuestro de puertos; es decir, tomar el control de uno permitido mediante un nuevo proceso de ofuscación y exfiltración de datos. Los enfoques de capa 4, típicos de la mayoría de las soluciones de punto, proporcionan una segmentación insuficiente, ya que no limitan adecuadamente las superficies de ataque en infraestructuras dinámicas donde las cargas de trabajo se comunican y, a menudo, migran a través de segmentos. Los atacantes explotan puertos abiertos y protocolos para realizar movimientos laterales. Una microsegmentación efectiva debe lograr un equilibrio entre la protección de la aplicación y la agilidad de los procesos de negocio, proporcionando una seguridad sólida sin interrumpir el funcionamiento de las aplicaciones empresariales críticas.
- Falta de convergencia multicloud: El centro de datos de nube híbrida aporta agilidad mediante el autoescalado y la movilidad de las cargas de trabajo. Sin embargo, está construido sobre una base arquitectónica heterogénea. Cada proveedor de nube puede ofrecer soluciones puntuales y metodologías basadas en grupos de seguridad que se centran en su propia arquitectura, lo que puede resultar en una complejidad innecesaria. Una microsegmentación exitosa requiere una solución que funcione de manera convergente en toda la arquitectura.
- Motores de política inflexibles: Las soluciones de punto a menudo adolecen de motores de políticas mal diseñados. La mayoría incluye únicamente conjuntos de reglas de allow-only, o de autorización expresa de flujos de comunicación. Gran parte de los profesionales de la seguridad, sin embargo, preferirían comenzar con una lista de «denegación global», que establece una política base contra acciones no autorizadas en todo el entorno. Esto permite a las empresas demostrar una postura de seguridad directamente correlacionada con los estándares de cumplimiento a los que deben adherirse, como HIPAA.
Además, las soluciones de punto generalmente no permiten el provisionamiento ni la actualización dinámica de políticas cuando los flujos de trabajo se autoescalan, los servicios se expanden o se contraen, o los procesos arrancan o se detienen –una razón clave por la que las empresas se están trasladando a centros de datos de nube híbrida–. Sin esta capacidad, la microsegmentación es prácticamente imposible.
Una microsegmentación exitosa comienza con el descubrimiento de las aplicaciones y mapeando visualmente las relaciones entre ellas
Teniendo en cuenta todos estos obstáculos, es comprensible que la mayoría de los proyectos de microsegmentación fracasen. Entonces, ¿cómo es posible incrementar las posibilidades de éxito?
Estrategias ganadoras
Una microsegmentación exitosa comienza con el descubrimiento de las aplicaciones y mapeando visualmente las relaciones entre ellas. Con una visibilidad adecuada de los flujos de red, activos y detalles de orquestación de las distintas plataformas y cargas de trabajo, es posible identificar con mayor facilidad los activos críticos que se pueden agrupar lógicamente a través de etiquetas, y utilizar éstas en la creación de políticas. La visibilidad a nivel de proceso (capa 7) permite un grado de protección más profundo y efectivo.
Una estrategia de microsegmentación convergente en todo el entorno, desde las instalaciones on premise hasta la nube, simplificará y acelerará la implementación. Cuando una política puede realmente seguir la carga de trabajo, independientemente de la plataforma subyacente, se vuelve más fácil de implementar y administrar, y ofrece una protección más efectiva.
El autoescalado es una de las características claves de la nube híbrida. La inteligencia para comprender y aplicar políticas a las cargas de trabajo a medida que aparecen y desaparecen dinámicamente es clave.
Finalmente, es fundamental adoptar un enfoque por fases, comenzando con las aplicaciones cuya protección es requerida por las normas de cumplimiento. Cree políticas alrededor de los objetivos más vulnerables o apetecibles primero, y vaya desarrollando posteriormente políticas cada vez más refinadas hasta el nivel de microservicio, proceso a proceso.
