En el momento cuando las empresas comienzan a crecer, también lo hacen las demandas de recursos digitales y los retos de seguridad asociados. Y cuando buscamos soluciones adecuadas; enseguida sale a relucir la segmentación de red.
La segmentación de red consiste básicamente en la subdivisión de los recursos digitales para conectar más dispositivos sin comprometer el rendimiento general del entorno de trabajo.
En otras palabras, la segmentación de red es un método de organización simple que persigue la rápida redistribución de los recursos de redes para prevenir el entorpecimiento de las labores; y los cuello de botella generados por todas las demandas de todas las estaciones de trabajo.
Sin embargo, su simplicidad también trae retos que se solucionan más rápida y efectivamente si aplicamos principios y criterios que rigen la seguridad digital en entornos segmentados. Centrémonos en conocerlos.
Criterios de Segmentación de Red
Se segmentan las redes cuando queremos o necesitamos:
- Reducir tráfico en la red por sobrecarga de nodos.
- Mejorar el tráfico general de la red.
- Controlar del tráfico mediante su contención dentro de la sub-red.
Principios básicos de la Segmentación de Red
Lograr una correcta segmentación de redes sigue estos principios:
- Dividimos la red en segmentos lógicos. Pueden ser segmentos físicos o virtuales a los que se le asignan máscaras de red predeterminados.
- Distribuimos los recursos de red a cada segmento (subred). A su vez, cada segmento redistribuye recursos a N estaciones o dispositivos.
- Conectamos segmentos de red mediante switches (Capa 2), bridges (Capas 2-3) o routers (Capa 3).
Criterios de Comunicación entre sub-redes
De igual forma, seguimos un protocolo para lograr la comunicación entre sub-redes de esta manera:
- Cada router debe ser configurado para que su tabla de direccionamiento IP permita la conexión automática entre redes y subredes.
- Se debe configurar cada interfaz IPv4 del router con las direcciones de redes y/o subredes respectivas.
- Se emplean las interfaces del router como gateways predeterminados para lograr la comunicación entre redes y sub-redes.
Vista así, la segmentación de red parece sencilla. Sin embargo, hay otras consideraciones que conviene revisar, especialmente a nivel de programación y seguridad. Veamos las implicaciones de seguridad.
Seguridad y segmentación de red
Como bien vemos, los conceptos y principios para lograr la segmentación de red son más bien sencillos. Obedecen a lógicas simples de distribución; la asignación de máscaras y sub-máscaras de red es arbitraria y, muchas veces; lograrla ni siquiera representa un problema logístico especialmente si tercerizamos el servicio.
Sin embargo, la seguridad digital al momento de segmentar una red sí representa un reto porque porque si bien la infraestructura de red ha evolucionado para ayudarnos a mejorar la velocidad de entrega de servicios; lo cierto es que la infraestructura de seguridad sigue unos pasos atrás en la carrera.
En todo caso, lograr estándares de seguridad para la segmentación de red es posible: De nuevo, los fundamentos para lograr la segmentación de red también nos sirven para agrupar de manera lógica los activos, recursos y aplicaciones por secciones que pueden protegerse bajo protocolos de seguridad específicos.
Principios de seguridad para la segmentación de red
Así pues, estos son los principios de seguridad mínimos para enmarcar la segmentación:
- Conocer los activos involucrados, usuarios y tráfico de red.
- Velar por la protección de las comunicaciones entrantes y salientes.
- Controlar el tráfico de redes por usuarios y activos.
- Establecer políticas de denegación para las interconexiones entre segmentos de redes y subredes
El plan de trabajo es igualmente simple y lógico: Concentrar el esfuerzo en una sola de estas áreas en uno solo de los segmentos de red a la vez; y comenzar por los aspectos más sencillos de adentro hacia afuera, hacia la red más amplia.
Veamos lo que en orden implica cada uno de ellos.
1. Conocer los activos involucrados, usuarios y tráfico de red
El conocimiento es poder. Para poder establecer controles de acceso y la correcta distribución de flujos de información, necesitas partir del conocimiento de cada uno de los aspectos que componen e inciden directamente en el tráfico de tus redes.
En otras palabras, tienes que saber cómo, hasta dónde y quién utiliza tus recursos de red para poder asignar un ancho de banda pertinente; y autorizar y limitar a cada actor a moverse dentro de esos parámetros seguros.
2. Proteger las comunicaciones entrantes y salientes
De igual forma como necesitas aumentar la velocidad de tus comunicaciones (y para ello, segmentas la red); la seguridad también debe ser parte de tu objetivo.
Así pues, la segmentación de red te otorga una ventaja para delimitar tu protección y orientar mejor los recursos para blindar tus redes. Sin embargo, la protección no debe limitarse a controlar los accesos a cada segmento.
La seguridad en la segmentación de red debe también abarcar la capacidad de gestionar; y remediar diligentemente cualquier amenaza detectada.
3. Controlar el tráfico de redes por usuarios y activos
Dado que ya has inventariado y otorgado protección a cada segmento de red; ya tienes plena visibilidad sobre todos los activos y la forma como los actores navegan por tus segmentos de red.
Entonces, el siguiente paso lógico es enmarcar los datos que entran y salen de tus redes y sub-redes dentro de tus políticas comunicacionales. Esto se logra mediante controles de alto nivel (acceso granular).
Tales controles de alto nivel pasan por un filtro de dos pasos: Los controles de detección y los controles preventivos. Estos te ayudarán a reconocer y analizar el tráfico inesperado.
4. Establecer políticas de denegación para las interconexiones entre segmentos de redes y sub-redes
Finalmente, es momento de cerrar el ciclo. Hasta el paso 3, todas las acciones de segmentación de red se completaron para construir una base que permite el acceso controlado. Lo último que queda entonces, es autorizar dicho acceso.
Veámoslo así: Tu empresa está unificada bajo un mismo techo. Sin embargo, no todos tus empleados tienen acceso a todas las áreas. Para controlar que esta política se cumpla; otorgas llaves de seguridad que se limitan a ciertas puertas y acceso.
Ahora, imagina que uno de tus empleados pierde su llave de acceso, y otra persona se las ingenia para usarla y entrar en tus instalaciones. La sorpresa de la llave es que, además limitar al extraño únicamente a las áreas autorizadas – cuyos alcances muy probablemente también desconoce –; incluye una última línea de defensa: Lo contiene y aísla para que no logre salir del área donde está.
Con esta sorpresa de último minuto, limitas y neutralizas la amenaza; y tienes más ventajas para contenerla y remediarla. Valga la analogía como estrategia de seguridad para acantonar tus defensas; y lograr que tu segmentación de red actúe como una unidad autónoma.
Esto además potencia y complementa las demás políticas y prácticas de seguridad que rigen tu compañía.
Consideraciones finales de la segmentación de red de cara a la seguridad digital
Por su puesto, si el alcance de tu red es amplio tomarás más tiempo para lograr la segmentación de red ideal. De igual forma, tendrás que delimitar muy bien los segmentos por unidades lógicas que muy probablemente; deberás sub-dividir.
Asimismo, deberás incorporar e implementar políticas de seguridad específicas cuyo cumplimiento tendrás que darle especial énfasis.
Finalmente, seguirán apareciendo innovaciones y propuestas tecnológicas que necesitarás incorporar para refrescar y actualizar el valor de tu negocio. Y con cada una de ellas, se hará necesaria la revisión de tus parámetros de configuración y segmentación de red para alojarlas.
La moraleja que recoge el propósito de la segmentación de red ideal es, divide y vencerás. En GB Advisors te asesoramos y brindamos las mejores herramientas de seguridad digital que te ayudan a alcanzar este cometido. Contáctanos aquí.