Segmentación de red VLAN frente a segmentación de red SDN
VLAN fue una de las primeras formas de aislar segmentos de red, y es una de las más simples.
Para crear una mejor imagen de cómo funciona VLAN, comparémosla con una forma más moderna de enfoque de segmentación de red: las redes definidas por software (SDN).
Segmentación de VLAN
Así es como funciona la segmentación de VLAN.
Conectarse a una VLAN
Cuando un host desea conectarse a su subred VLAN, la solicitud del dispositivo viaja a través de Internet a un enrutador, que luego ordena la solicitud y la envía al conmutador correspondiente.
Puertos y conmutadores
Este conmutador transporta datos hacia y desde el segmento de red correspondiente.
Controlar qué usuarios pueden acceder a qué VLAN es clave para la segmentación segura de la red. En muchas organizaciones, el acceso se gestiona asignando membresía VLAN específica a puertos o direcciones MAC. Estos conmutadores solo permiten que los datos se envíen y reciban a los puertos correctos, lo que permite a los administradores de red imponer el acceso a VLAN en toda la organización.
Etiquetado VLAN
Sin embargo, los puertos no son la única opción, y las conexiones de VLAN única también se pueden lograr con etiquetado de VLAN.
Esto agrega un pequeño encabezado a los marcos Ethernet que se envían; al transferir estos paquetes, el conmutador verifica dos veces la etiqueta, lo que evita que se filtren datos a otras subredes VLAN. Aún mejor, las etiquetas VLAN son de capa 2, separadas de la dirección IP , el dispositivo se puede conectar a la misma estructura de VLAN, incluso si están en diferentes rangos de direcciones IP.
Si bien son escalables y muy flexibles, los conmutadores siguen siendo parte integral de la implementación de VLAN. Pero esta forma física de estrategia de segmentación de red ya no es la única opción.
Segmentación de redes definidas por software (SDN)
SDN abstrae completamente el plano de control del hardware físico. Esto significa que, en lugar de depender de la segmentación física, las SDN pueden emplear la segmentación lógica para lograr un efecto similar.
La distinción
Sin embargo, en lo que respecta a la segmentación roja, la distinción importante radica en cómo VLAN divide los grupos estáticos del dispositivo en subredes físicas, mientras que SDN es un enfoque más amplio que puede gestionar los grupos rojos, el dispositivo y el acceso rojo de las cargas de trabajo desde un panel de control central.
Beneficios de la segmentación de VLAN
El principal beneficio de segmentar el rojo entero es que limita el movimiento lateral o de este a oeste.
Esto restringe explícitamente el movimiento que los actores maliciosos y el malware podrían emplear al atacar su organización. Además de esto, la segmentación de VLAN ofrece algunos otros beneficios, únicas debido a su simplicidad.
Rendimiento de red mejorado
Dentro de una LAN, todos los dispositivos están constantemente enviando transmisiones frecuentes, comunicar y localizando recursos rojos. Cuando las redes LAN aumentan de tamaño, este tráfico de fondo puede volver problemático rápidamente.
Las VLAN reducen la congestión de la red simplemente dividiendo una red más grande en partes relevantes.
Al hacerlo, las VLAN reducen las demandas de cada dispositivo para responder a estas interminables consultas en segundo plano y, por lo tanto, les permiten dedicar recursos únicamente al tráfico relevante. Finalmente, desde la perspectiva de un administrador, es posible restringir o establecer límites en el uso del ancho de banda de cada subred, lo que ayuda a moderar el uso de recursos pagos.
Fácil escalabilidad
A medida que una organización crece más allá de una simple LAN hacia el territorio VLAN, es importante elegir una arquitectura que pueda escalar mucho más allá en el futuro. La VLAN es ideal para un mayor crecimiento, ya que se pueden configurar nuevas subredes rápidamente sin tener que revisar la estructura más amplia.
Administración de red simplificada
Al agrupar el dispositivo de formas más estratégicas, la administración roja puede beneficiarse de una simplificación significativa. Para lograr esto, la infraestructura VLAN admite la gestión práctica con la VLAN de administración. Esta es VLAN 1 de forma predeterminada y monitorea de forma remota el dispositivo en cada subred a través de SSH, Telnet y syslog.
Con una gran cantidad de beneficios sobre la arquitectura LAN típica, VLAN es un primer paso muy accesible hacia una arquitectura más segura.
Desventajas de VLAN
Sin embargo, su accesibilidad conlleva un serial de preocupaciones en materia de seguridad y rendimiento.
No es inherentemente de confianza cero
Dado que cada dispositivo y usuario tiene una VLAN de grupo, la amenaza de que un atacante irrumpa y obtenga acceso a todos los secretos corporativos disminuye. Sin embargo, el riesgo no desapareció para siempre: se sigue asumiendo que todos los dispositivos dentro de la VLAN son confiables.
Esto significa que, para los atacantes, algunos roles se vuelven inherentemente más valiosos para el objetivo: DevOps merece una mención honorífica por la atención maliciosa que reciben.
En comparación con los enfoques de microsegmentación más estrictos, el diseño relativamente básico de VLAN significa que no puede reaccionar a las condiciones cambiantes de la red segmentada y al comportamiento del dispositivo sin más herramientas.
Segmentación no universal
Si bien las VLAN ofrecen absolutamente una forma de segmentar una red, su idoneidad para organizaciones más grandes comienza a degradar cuando se considera que segmentan una sola red física.
Por lo tanto, si tiene dos oficinas, ambas con sus propios equipos de TI y rojos separados, la segmentación de VLAN no puede manejar subredes a las que ambos equipos de TI necesitan acceso conjunto. Luego de todo, las VLAN están diseñadas para separar el tráfico de red: si quisiera permitir el acceso entre dos VLAN, necesitaría el enrutamiento entre VLAN, que es inherentemente de mayor riesgo y requiere revisiones periódicas de las listas de control de acceso entre VLAN.
Puede introducir vulnerabilidades
El hecho de que la infraestructura VLAN esté tan bien establecido significa que los atacantes tienen décadas de experiencia aprovechando ataques contra ella. Esto abre el riesgo de que cualquier pequeña mala gestión dé lugar a saltos de VLAN.
Un tráfico falsificado de VLAN 1 otorga acceso malicioso a los puertos troncales y, por lo tanto, al resto de los segmentos de la red.
Cree una topología preparada para el futuro con Check Point
Zero Trust es más que una palabra de moda corporativa: es una filosofía de seguridad que restringe cada dispositivo a los sistemas y recursos individuales que necesitan. La macrosegmentación, como las subredes VLAN, es un excelente primer paso para implementar este enfoque, pero es vital introducir mayor protección en cada subred.
Para la implementación local, el firewall de última generación (NGFW) de Check Pointotorga visibilidad y control completos sobre el tráfico y las solicitudes que fluyen hacia y entre las subredes. Con opciones de rendimiento de alto ancho de banda, la inspección profunda de paquetes de NGFW permite que las solicitudes maliciosas se detecten y detengan en el último momento. Descúbrelo con una demostración aquí.
Las configuraciones basadas en la nube, por otro lado, necesitan la virtualización de red y la seguridad que ofrece la infraestructura como servicio (IaaS) de CloudGuard. Vea cómo se puede implementar la seguridad automatizada en la nube pública, privada e híbrida, y comience a actuar sobre la topología de red de confianza cero hoy mismo.
Comentarios