Las empresas optan por diferentes arquitecturas de microsegmentación
A medida que la tecnología de microsegmentación evoluciona, las empresas toman diferentes caminos para alcanzar el mismo objetivo: la seguridad inquebrantable.
Las redes son estos días una jungla con depredadores que buscan sin cesar maneras de infiltrarse en los recursos corporativos. Los líderes de informática de las empresas están respondiendo con una variedad de diferentes enfoques de microsegmentación, todos diseñados para aislar las cargas de trabajo entre sí y prevenir movimientos laterales no autorizados.
En este sentido, hemos pedido a tres empresas que compartan por qué han desplegado la tecnología de microsegmentación en sus redes y cómo está funcionando. Aquí están sus historias.
Cortafuegos distribuidos a través de VMware NSX
Todd Pugh, CIO del fabricante de productos alimenticios SugarCreek, maneja un centro de datos privado totalmente virtualizado. Su objetivo es simple: frustrar y disuadir a los atacantes de la red. "Por encima de todo, protegemos nuestras bases de datos", dice aquel CIO. "Hacemos todo lo posible para mantener a los huéspedes no invitados fuera de nuestras bases de datos", prosigue.
Hoy en día, eso requiere algo más que la protección perimetral tradicional. "En los primeros días, todo estaba protegido desde fuera hacia dentro usando cortafuegos en el borde —explica Pugh—. A medida que los atacantes afinaban sus habilidades, ya no se podía contar con una protección de borde básica para proporcionar una protección efectiva. Fue entonces cuando descubrimos que los cortafuegos tenían que estar más cerca de los datos", prosigue.
La solución es dividir la infraestructura en microsegmentos, con un cortafuegos que proteja cada recurso. "Nuestro enfoque es usar VMware NSX, que nos permite poner un cortafuegos distribuido justo al lado de cada aplicación o VM", admite aquel especialista. "Con la microsegmentación protegemos nuestra infraestructura en cada capa de la pila, de modo que si algo finalmente sucede, cualquier tipo de brecha podría ser potencialmente confinada a sólo esa capa".
Pugh considera que los múltiples microsegmentos, cada uno protegido por un cortafuegos, son la mejor manera de defenderse de los ataques sin comprometer el rendimiento. "El valor añadido de los cortafuegos virtuales distribuidos es que si las máquinas virtuales necesitan comunicarse, y están en el mismo host, entonces el tráfico nunca sale de él. Acorta el camino para llegar entre los datos", comenta al respecto.
La mejora de la velocidad ha sido impresionante. "Pasas de velocidades de gigas de la red a velocidades de bus de los hosts, lo cual es dramáticamente más rápido", dice Pugh. "Entonces, a medida que las cosas se mueven a la nube, ya hemos establecido cortafuegos dentro de NSX, así que si movemos cosas de nuestro centro de datos a una nube, ya sea un hiper-escalador o una nube pública privada, las reglas del cortafuegos siguen la aplicación"
Pugh explica que, en su caso, opera bajo la suposición de que no importa cuánta confianza se tenga en la seguridad de la infraestructura, pues ésta finalmente se verá comprometida. "Nuestro objetivo es que si algo entra, sólo afecte a una aplicación en vez de que se extienda lateralmente por nuestra red", se pronuncia. Por eso la microsegmentación es una forma poderosa de mejorar la seguridad, pero requiere una considerable cantidad de planificación y esfuerzo para desplegar correctamente la tecnología. "Las organizaciones necesitan hacer sus deberes y comprender realmente cómo es su entorno antes de sumergirse", comenta al respecto. "Por encima de todo, entiendan lo que podrían romper si no proceden con la precaución apropiada".
La microsegmentación basada en la identidad y de confianza cero
John Arsneault, CIO del bufete de abogados Goulston & Storrs, recurrió a la microsegmentación para asegurar que los documentos legales, la información sensible de los clientes y otros archivos críticos, nunca cayeran en manos de personas no autorizadas. Cree que un enfoque de microsegmentación basado en la identidad y de confianza cero es el más adecuado para su organización. "Tenemos una red tradicional de mediana empresa con VMware que alberga unos 150 servidores virtuales Windows", dice. "Básicamente, dividimos esos [activos] en un puñado de grupos tecnológicos diferentes basados en casos de uso", explica.
Los recursos de la base de datos de Goulston & Storrs son típicos de un gran bufete de abogados. "La gestión de documentos es el centro de nuestro universo", dice Arsneault. "También tenemos un montón de aplicaciones específicas para el área de práctica, así como cosas tradicionales como servicios de archivo e impresión." Después de investigar varios enfoques de microsegmentación, decidimos que la tecnología de microsegmentación basada en la identidad y de confianza cero de Edgewise Networks era la que más se ajustaba a las necesidades de nuestra organización”, explica.
Según Edgewise, su enfoque se centra en la identificación y verificación positiva de software y recursos conocidos como "buenos" en lugar de eliminar lo que pueda ser "malo". Todo el tráfico de fuentes que no se identifica como bueno se niega por defecto. Además, como se aplica a escala de carga de trabajo y no a escala de red, las políticas basadas en la identidad del producto son portátiles. Por lo tanto, las cargas de trabajo están protegidas independientemente del lugar en el que se ejecuten en las instalaciones, en la nube pública o incluso en los contenedores.
Arsneault cuenta que fue capaz de aplicar la microsegmentación dirigida por la máquina de aprendizaje basada en las recomendaciones proporcionadas por el motor del producto Edgewise. "Fuimos un tanto cautelosos cuando lo lanzamos por primera vez, porque se están cerrando, efectivamente, los caminos dentro de la red, y hay mucha complejidad en ello", dice. "Al no tener experiencia en hacer este tipo de cosas antes, elaboramos lo que pensamos que era un plan razonablemente conservador: primero hicimos cosas que habrían tenido poco o ningún impacto en el usuario", apostilla.
Arsneault dice que su equipo se adaptó rápidamente a la herramienta. Los segmentos existentes se dividieron en 13 grupos específicos. "Dejamos que el primer segmento funcionara durante un par de semanas, y nos aseguramos de que nada se rompiera", recuerda. "Luego volvimos e hicimos otro". Con el tiempo, se hizo evidente que la tecnología funcionaba tan bien como se esperaba, permitiendo al equipo acelerar el despliegue. "Fue un enfoque conservador al principio", prosigue, "pero nos sentimos lo suficientemente cómodos con la forma en que funcionaba".
Arsneault aconseja a los nuevos adoptantes que procedan de forma incremental y que prueben y vuelvan a probar. "Cuando haces un microsegmento, si usas el producto adecuado, tienes una red de seguridad", dice, señalando que los errores por descuido tienen consecuencias. "Si alguien se olvida de parchear algo, o las credenciales de alguien se ven comprometidas, el área en la que se vio comprometida es la única recompensa de los hackers", explica. "Por otro lado, si se hace bien, la microsegmentación es probablemente la mejor herramienta de seguridad que he visto nunca".
La infraestructura de microsegmentación alimentada por la IA
Amit Bhardwaj, CISO del desarrollador de tecnología de comunicaciones ópticas Lumentum, necesitaba encontrar una forma fuerte pero práctica de mantener a los curiosos alejados de los proyectos de investigación de vanguardia de su empresa, así como de las operaciones comerciales habituales, aunque esenciales. "Hacemos mucho trabajo en I+D, por lo que hay mucha tecnología punta involucrada en nuestra fabricación", explica. "Tenemos múltiples ubicaciones de I+D y plantas, y también varias oficinas para operaciones de ventas y servicios."
Para desplegar una protección avanzada de la infraestructura sin afectar negativamente a los proyectos de investigación en curso o a las funciones empresariales, Bhardwaj recurrió a la plataforma de seguridad elástica ShieldX. En lugar de depender de agentes, el software de ShieldX Networks proporciona una arquitectura basada en la red que se inserta en nuevos segmentos de red a medida que aparecen en entornos de múltiples nubes. La tecnología recoge e inspecciona el tráfico de la infraestructura en cuanto a visibilidad, análisis y control de seguridad, y promete definir y aplicar automáticamente una estrategia de seguridad de pila completa para entornos multi-nube o virtualizados, independientemente del tamaño de la empresa o de la tasa de cambio.
Bhardwaj explica que eligió ShieldX teniendo en cuenta su alto nivel de protección, velocidad de implementación, controles de seguridad automatizados y capacidades de microsegmentación bajo demanda. El software monitoriza continuamente la red recopilando pruebas de tráfico, información de activos y datos de vulnerabilidad, y luego suministra automáticamente las políticas de seguridad necesarias para asegurar el segmento.
Con más organizaciones moviendo sus operaciones hacia la nube, Bhardwaj cree que hay una creciente necesidad de infraestructuras microsegmentadas. "Si no tienes microsegmentación, y tus cargas de trabajo se vuelven vulnerables, todas ellas se volverán vulnerables al mismo tiempo", señala.
Bhardwaj admite que la transición a la microsegmentación no fue exactamente fácil. "Inicialmente toma tiempo establecerlo, pero una vez que la tecnología está en su lugar, es bastante fácil de manejar". Aconseja a los recién llegados a tomar un enfoque medido de la microsegmentación. "Realmente necesitas saber lo que tienes y lo que estás tratando de proteger", dice. "También necesitas entender tu carga de trabajo, quién accede a ella, por qué los malos quieren llegar a tus cosas, y qué crees que podría pasar".
