Mejores prácticas de seguridad de segmentación de red

La segmentación de la red permite a una organización reducir el riesgo de ciberseguridad y actúa como un primer paso vital hacia la definición de una política de seguridad de confianza cero. La segmentación de la red crea los límites de la red donde una política de seguridad de confianza cero puede imponer controles de acceso.

 

En el pasado, muchas organizaciones sólo definían un límite seguro en el perímetro de la red. Los siguientes pasos describen cómo implementar una segmentación efectiva dentro de la red corporativa.

Revisión de seguridad Guía IDC Seguridad de IoT

#1. Identificar datos y activos valiosos

No todos los datos y activos dentro de una organización son de igual valor. Algunos sistemas, como la base de datos de clientes, pueden ser esenciales para mantener las operaciones normales. Otros, como una impresora, son útiles pero no vitales para el funcionamiento del negocio.

 

Asignar niveles de importancia y valor a los activos es un primer paso importante para la segmentación de la red. Estas etiquetas se utilizarán posteriormente para definir las distintas zonas de confianza dentro de la red.

#2. Asignar etiquetas de clasificación a cada activo

Además del valor de los activos, también es importante considerar la sensibilidad de los datos que contienen. Los activos que contienen datos muy sensibles, como información de clientes, datos de investigación y desarrollo, etc., pueden requerir protecciones adicionales para cumplir con las normas de protección de datos o la política de seguridad corporativa.

 

Estas etiquetas deben tener en cuenta tanto la sensibilidad de los datos (p. ej. público a altamente restringido) y los tipos de datos que contiene un activo. Esto ayuda a definir políticas de segmentación que estén de acuerdo con las regulaciones aplicables, como el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS).

#3. Mapear flujos de datos a través de la red

La segmentación de la red ayuda a mejorar la seguridad de la red al dividirla en segmentos aislados. Esto hace que sea más difícil para un atacante moverse lateralmente a través de la red después de lograr un punto de apoyo inicial.

 

Sin embargo, hay una serie de flujos de datos legítimos que necesitan ser permitidos. Se deben mapear todos los flujos de datos en todos los sistemas de la red, incluidos:

 

  • Tráfico en dirección norte: el tráfico en dirección norte abandona la red corporativa, como los empleados que visitan saleforce.com desde un dispositivo administrado conectado a la red corporativa.
  • Tráfico este-oeste: el tráfico este-oeste se mueve entre sistemas dentro del perímetro de la red, como un servidor web front-end y servidores de bases de datos back-end en la red del centro de datos.
  • Tráfico hacia el sur: el tráfico hacia el sur incluye datos que ingresan a un segmento o zona de la red, por ejemplo, clientes o empleados que acceden a un servidor web ubicado localmente en una red DMZ o en la intranet de la empresa.

#4. Definir grupos de activos

Ciertos activos dentro de la red de una organización se utilizan para fines similares y se comunican periódicamente. Segmentar estos sistemas unos de otros no tiene sentido, ya que se requerirían varias excepciones para mantener la funcionalidad normal.

 

Al definir grupos de activos, es importante considerar tanto esta funcionalidad similar como la sensibilidad de los distintos activos en la red corporativa. Cualquier activo que sirva para fines similares y con niveles de sensibilidad similares debe agruparse en un segmento separado de otros activos con diferentes niveles de confianza o funciones.

#5. Implementar una puerta de enlace de segmentación

Definir los límites de segmento es importante, pero no proporciona ningún beneficio a la organización si estos límites no se aplican. Hacer cumplir los controles de acceso en cada segmento de la red requiere la implementación de una puerta de enlace de segmento.

 

Para aplicar el límite de un segmento, todo el tráfico de red que entra y sale de ese segmento debe pasar a través de la puerta de enlace. Como resultado, una organización puede necesitar múltiples puertas de enlace para implementar una segmentación eficaz. Estos requisitos pueden ayudar a tomar la decisión de seleccionar un firewall de hardware o un firewall virtual.

#6. Crear políticas de control de acceso

Se puede permitir que el tráfico entre activos dentro de un segmento en particular fluya sin restricciones. Sin embargo, las comunicaciones entre segmentos deben ser monitoreadas por la puerta de enlace del segmento y cumplir con las políticas de control de acceso.

 

Estas políticas deben definirse basándose en el principio de privilegio mínimo, que establece que una aplicación, dispositivo o usuario debe tener el nivel mínimo de permisos necesarios para realizar su trabajo. Estos permisos deben basarse en los flujos de datos legítimos identificados en #3.

#7. Realizar auditorías y revisiones periódicas

Después de definir los microsegmentos, implementar una puerta de enlace de segmentación y crear y aplicar políticas de control de acceso, el proceso de implementación de la segmentación de la red está prácticamente completo. Sin embargo, definir una política de segmentación de red no es un ejercicio de una sola vez.

 

Las políticas de segmentación de la red pueden cambiar debido a la evolución de la red corporativa o descuidos y errores en el proceso de diseño inicial. Abordar estos posibles problemas requiere auditorías periódicas para determinar si se han realizado cambios, si existen riesgos innecesarios en el sistema y cómo se pueden actualizar los segmentos de red y los controles de acceso para mitigar estos riesgos.

#8. Automatice donde sea posible

Definir una política de segmentación de red puede ser una tarea enorme, especialmente para redes de escala empresarial. Intentar realizar todos estos pasos manualmente puede ser difícil o imposible.

 

Por esta razón, es importante aprovechar las capacidades de automatización siempre que sea posible. Especialmente en la fase de descubrimiento y clasificación, la automatización puede ser invaluable para identificar nuevos activos agregados a la red, sus flujos de comunicación, si contienen alguna vulnerabilidad y aplicar la política de segmentación de la red.

Implementación de segmentación de red para IoT con Check Point

La detección y el etiquetado automatizados se han vuelto más valiosos con el crecimiento del Internet de las cosas (IoT). Estos dispositivos suelen ser inseguros y se requiere segmentación para aislarlos de los sistemas críticos en la red empresarial. Sin embargo, implementar una Seguridad de IoT eficaz requiere un firewall que comprenda los protocolos de IoT. Para ver la segmentación de red para IoT en acción, puede solicitar una demostración.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.