Cómo funciona la macrosegmentación
La macrosegmentación a menudo se implementa como una superposición en la infraestructura de red física de una organización. Esto se logra utilizando una combinación de firewall y área local virtual (VLAN).
Una VLAN es una red virtualizada que define cómo se debe enrutar el tráfico a través de la red física. Esto significa que, si dos sistemas están en VLAN diferentes, es posible que no sea posible que el tráfico se enrute directamente entre ellos. En cambio, las VLAN están configuradas para que todo el tráfico entre VLAN deba pasar primero a través de un firewall. Esto hace posible que el firewall aplique límites entre VLAN (es decir, bloquee cualquier tráfico que intente cruzar un límite de VLAN sin autorización) y realice inspecciones de seguridad y aplicación de políticas de control de acceso.
Segmentación macro frente a microsegmentación
La macrosegmentación y la microsegmentación son métodos para dividir la red de una organización en secciones y pueden proporcionar una serie de beneficios. Sin embargo, las políticas de macrosegmentación y microsegmentación son muy diferentes:
- Macrosegmentación: la macrosegmentación divide una red en grupos de sistemas, brindando la capacidad de dividir la infraestructura y los sistemas de la red según departamentos u otros criterios. Normalmente se implementa mediante VLAN y firewall.
- Microsegmentación: la microsegmentación generalmente divide la infraestructura de una organización a nivel de sistema o incluso de aplicación. Se utiliza para proporcionar visibilidad y control altamente granulares sobre los flujos de datos dentro de la red de una organización, lo que permite la implementación de una estrategia de seguridad de confianza cero . A menudo se implementa utilizando soluciones definidas por software porque estos sistemas ya requieren una visibilidad y un control profundos para fines de enrutamiento (lo que facilita la inspección y la aplicación de políticas).
Principales beneficios de la macrosegmentación
La macrosegmentación transforma la red de una organización de un monolito a una colección de subredes discretas. Esto proporciona una serie de ventajas a una organización:
- Visibilidad y control mejorados: sin implementar macrosegmentación, una organización solo tiene una visibilidad profunda y control sobre el tráfico de la red en el perímetro de la red, donde pasa a través del firewall perimetral. Con la macrosegmentación, firewall de la red interna proporciona un nivel mucho más profundo de comprensión y control de los flujos de datos dentro de la red de una organización.
- Seguridad mejorada: Una razón principal por la que las organizaciones implementan la macrosegmentación es para proporcionar una mayor resistencia a los ataques cibernéticos. Es probable que un atacante dentro de la red de una organización necesite moverse lateralmente a través de ella para lograr su objetivo porque es poco probable que el objetivo del atacante sean los sistemas comúnmente comprometidos (estaciones de trabajo de usuarios, etc.). La macrosegmentación permite a una organización inspeccionar los flujos de datos internos en los límites del segmento, lo que aumenta la probabilidad de detectar este movimiento lateral.
- Mayor rendimiento de la red: la macrosegmentación permite a una organización segmentar una red en función de sus necesidades comerciales. Esto puede ayudar a disminuir la latencia y la congestión de la red al garantizar que los sistemas que se comunican frecuentemente entre sí estén estrechamente conectados y que los flujos de red superfluos no consuman ancho de banda valioso.
- Cumplimiento regulatorio: algunas regulaciones de protección de datos, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS), exigen que las organizaciones limiten el acceso a datos protegidos (como tarjetas de pago) según la necesidad de saberlo. La macrosegmentación es un componente esencial del cumplimiento normativo de PCI DSS porque las organizaciones que cumplen deben aislar los sistemas utilizados para el procesamiento de tarjetas de pago del resto de la red empresarial.
Implementación de macrosegmentación con Check Point
La macrosegmentación utiliza firewall de red interno para definir las VLAN y realizar una inspección del contenido del tráfico que fluye a través de los límites de las VLAN. Esto proporciona una serie de ventajas diferentes para una organización y probablemente sea un componente crítico de la estrategia de cumplimiento normativo y seguridad de los datos de una empresa.
Sin embargo, las organizaciones también deben considerar la usabilidad de su infraestructura de red al diseñar e implementar una estrategia para implementar la macrosegmentación dentro de sus redes. Si todo el tráfico de la red interna que cruza los límites del segmento se ve obligado a pasar a través firewall de la red interna, entonces las organizaciones necesitan firewall con alto rendimiento y capacidades sólidas de inspección de seguridad para maximizar tanto el rendimiento como la seguridad de la red.
Las soluciones de seguridad de Check Point permiten a las organizaciones implementar una macrosegmentación efectiva en toda su infraestructura de red. Check Point Firewall de última generación (NGFW) proporciona seguridad sólida y alto rendimiento para la infraestructura local, mientras que Check Point CloudGuard proporciona soluciones de seguridad y visibilidad nativas de la nube para la implementación basada en la nube de una organización. Para ver estas soluciones en acción, solicite demostraciones de las soluciones Check Point NGFW y CloudGuard Infrastructure as a Service (IaaS) .
Comentarios