Segmentación basada en la intención.

Resumen: Cada vez más, las arquitecturas tradicionales de las redes de centros de datos y de las empresas están siendo obligadas a adaptarse rápidamente a estos requerimientos dinámicos. Las aplicaciones se están moviendo hacia entornos de nube pública, privada o híbrida, donde ahora son consumidas como servicios; lo que dificulta cada vez más distinguir las barreras entre las redes empresariales y los dominios que no son dignos de confianza. Para mantenerse al nivel de estas tendencias, es necesario que evolucionen las infraestructuras de red de centro de datos y de las empresas, al igual que sus respectivos procedimientos operacionales.

Palabras Claves: Ciberseguridad, transformación digital, infraestructura, amenaza, conectividad.

Abstract: Increasingly, traditional enterprise and data center network architectures are being forced to quickly adapt to these dynamic requirements. Applications are moving to public, private, or hybrid cloud environments, where they are now consumed as services; making it increasingly difficult to distinguish barriers between business networks and unreliable domains. To keep up with these trends, business and data center network infrastructures need to evolve, as do their respective operational procedures.

Desarrollo:

Algunos de los mayores retos que plantea la transformación digital es la seguridad de las redes, el perímetro y una aplicación de la segmentación como segunda línea de defensa para reducir la superficie de ataque y evitar la propagación lateral de las amenazas que se vuelven más complejas, ya que han quedado difusas dentro de las mejoras en las nuevas organizaciones, como por ejemplo la movilidad, el Internet de las cosas, el uso de la nube y el “Shadow IT” (GB-Advisors, 2018), entre otros ya que son el pan de cada día de los administradores de las tecnologías en la actualidad.

Una solución a este reto es la segmentación basada en la intención, que no es más que la capacidad de una red en poder identificar los dispositivos que se conectan a la infraestructura según su naturaleza, y con esto aplicar políticas de seguridad en forma dinámica; sin importar su ubicación en la red. (borde, centro de datos o incluso en la nube).

Las redes de hoy en día deben tener la capacidad de ejecutar en forma automatizada, evaluaciones periódicas de seguridad y el nivel de riesgo para asignar la conectividad adecuada y políticas de seguridad a los activos en la red. Una estrategia (Acis.org.co, 2018) adecuada de integración entre los componentes de red y los sistemas de seguridad a todo nivel facilitara la gestión y configuración.

De esta forma, mediante la segmentación basada en la intención, la estrategia ya no es solo hacer una segmentación “geográfica” según la ubicación de los activos conectados en la red, sino más bien utilizar dispositivos de seguridad de red ubicuos con capacidad de analizar el tráfico encriptado que ya es mayoría, y aplicar políticas hasta capa 7 (Cloudfare.com, 2017) sin comprometer el rendimiento de la red, esto sin requerir cambios en la arquitectura o cambio de equipos.

Estos dispositivos deberán integrarse con los dispositivos de conectividad de red, las herramientas de analítica y detección de amenazas de la organización. Toda esta integración debe permitir “etiquetar” los activos de la organización de tal forma que sean fácilmente identificables según su naturaleza para el negocio y las políticas viajen con ellos independientemente de su ubicación en la red. Un ejemplo podría ser identificar todos los activos que están relacionados con el cumplimiento de una normativa en particular, o los que son de vital importancia para la operación de determinado sistema o departamento.

Toda la red, deberá tener la capacidad además de poder rápidamente detectar un dispositivo comprometido, ya sea por una amenaza de día cero o una amenaza (Alcaldia Mayor Bogotá, s.f.) conocida y aislarlo en forma automatizada sin la necesidad de intervención humana, evitando de esta forma, la propagación lateral de las amenazas y una afectación en el negocio.

Para implementar la segmentación basada en la intención en la red, deben considerarse entonces los siguientes elementos:

• Visibilidad y auditoria constante. Se deben integrar mecanismos que permitan auditar constantemente el cumplimiento de buenas prácticas de seguridad, así como la salud de los componentes de la red y los dispositivos conectados.
• Mecanismos de etiquetado. La red debe ser capaz de identificar y etiquetar los activos de la red según la lógica del negocio.
• Control granular de acceso. Debe ser capaz de definir por tipo de dispositivos, usuarios o aplicaciones, cuando pueden conectarse y en que parte de la red.
• Respuesta automática a incidentes. Mediante la integración de la infraestructura de seguridad y red con plataformas analíticas que correlacionan los eventos locales y a su vez se conectan con fuentes externas de reputación, la red debe automatizar el proceso de respuesta a incidentes de seguridad.

Referencias bibliográficas

Acis.org.co. (2018). Obtenido de http://acistente.acis.org.co/typo43/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/16-PlaneacionEstrategicaSeguridad.pdf

Alcaldia Mayor Bogotá. (s.f.). Obtenido de http://199.89.55.129/scorecolombia/documents_co/herramientas/M5/Material_tecnico_apoyo/SGSST_2015/3.%20Planificaci%C3%B3n/5.%20Plan%20de%20Emergencias/Cartillas/Cartilla_Amenaza_Tecnologica_DPAE.pdf

Cloudfare.com. (2017). Obtenido de https://www.cloudflare.com/learning/ddos/glossary/open-systems-interconnection-model-osi/

GB-Advisors. (2018). Obtenido de https://www.gb-advisors.com/es/shadow-it/ 8

Imperva.com. (2018). Obtenido de https://www.imperva.com/learn/data-security/personally-identifiable-information-pii/