No existe manera de evadir el hecho de que las redes se vuelven cada vez más vulnerables. Todo proceso, mejora o configuración puede contribuir o perjudicar a la seguridad de la red. La segmentación de red es una de las actividades que más importancia tiene hoy en día, si queremos contar con una red íntegra y segura para todo aquel que necesite acceder a ella, esto es lo que debes tener en cuenta.
La segmentación de red no debe implicar la simple división de una red en pequeñas o medianas redes, sino también debe cumplir con la necesidad de responder a las necesidades de la organización que depende de la red para operar. Tiene que ver con las «principales preguntas» en inglés, que las traducimos en español de la siguiente manera:
- Dónde (Where). Se refiere al establecimiento de puntos de segmentos de red y la lógica utilizada para aplicar la segmentación de los activos tecnológicos de la organización.
- Cómo (How). Tiene que ver con la implementación de metas de negocios con controles de acceso bastante refinados, simplemente con el mantenimiento de la confianza -en el qué y en el quién- continua y adaptativa a las diversas circunstancias.
- Qué (What). Refuerza los controles de acceso mediante la aplicación de medidas de seguridad de alto rendimiento y de nivel muy avanzado a través de la red.
Por supuesto que todas estas preguntas esenciales serán respondidas en función al contexto de las redes que nosotros administramos, están trabajando. La forma de aplicar los procesos de segmentación puede variar en gran medida. Por ejemplo, la micro-segmentación. La cual puede aplicarse de acuerdo a los procesos que se ejecutan, aplicaciones utilizadas, los endpoints existentes y otros criterios que se pueden considerar.
¿En qué consiste la segmentación de redes?
Es un proceso que se encarga de dividir la red en pequeñas redes. Tiene el propósito de mejorar el rendimiento de la red, y, sobre todo, sus condiciones de seguridad. La segmentación funciona mediante el control de tráfico en todas las partes de la red, puedes optar por detener todo el tráfico en una parte que quiere alcanzar otra. O bien, puedes limitar el flujo que se da en la red por el tipo de tráfico, origen, destino y muchas otras opciones más. Cualquiera de estos filtros que apliques a la red forman parte de lo que se denominan «políticas de segmentación».
Algunas tecnologías tradicionales de segmentación que se pueden citar a las configuraciones de equipos de red para los firewalls internos, las Listas de Control de Accesos (ACLs) y las conocidas VLANs (o Redes de Área Local Virtuales). La desventaja principal de estas tecnologías es que en un primer momento puede ser complicado implementarlas, por lo que el coste de hacerlo es elevado, pero totalmente necesario hoy en día.
Por otro lado, hoy en día contamos con tecnologías definidas por software. Las mismas simplifican en gran medida la segmentación de red agrupando y etiquetando todo tipo de tráfico de red. Estas etiquetas que se generan fuerzan la aplicación de las políticas de segmentación directamente en los equipos de red involucrados. Lo mejor de estas tecnologías es que prácticamente no existe complejidad a diferencia de las tecnologías tradicionales.
Como comentamos anteriormente, la segmentación por VLAN es una de las maneras de segmentar más populares. ¿Cómo funciona? Creando una colección de redes aisladas, cada una con un dominio de broadcast propio dentro de una red de datos. Una de las cosas que permite la segmentación de red dentro de una VLAN es bloquear el acceso a la misma por parte de cibercriminales que quieran ejecutar ataques de todo tipo. En definitiva, existen varios riesgos de seguridad que pueden ser mitigados. Éstos son algunos:
- Reducción de packet-sniffing, que usualmente se usa para capturar tráfico a nivel de trama Ethernet, con el propósito de contar con información sensible de los usuarios.
- Acceso a servidores y servicios única y exclusivamente a personal autorizado.
Se considera a la segmentación como un conjunto de puertos, los cuales cada uno de ellos pueden aceptar una variedad de dispositivos. Estos puertos, que cada uno representan a un segmento de la VLAN, no tienen funcionalidad alguna hasta que un dispositivo cuente con los permisos adecuados para acceder a él, gracias a los procesos de segmentación. Cuando un dispositivo quiere acceder a uno de estos puertos, se realiza la identificación mediante datos como la dirección MAC, IP de origen, IP de destino y mucho más.
Automatización de la segmentación de red: ¿es realmente posible?
Incluso, es posible aventurarse con las automatizaciones. Las cuales ya son una realidad en el mundo de las redes de computadoras. Por ejemplo, una vez que un dispositivo haya logrado autenticarse para acceder a la red, puede contar con una asignación de segmento de red en base al tipo de dispositivo que es y a los roles con los que cuenta el usuario asociado. Además, considerando el segmento al cual pertenece, políticas y medidas de seguridad específicas comienzan a aplicarse también de manera automática. Esto logra que la comunicación entre dispositivos/usuarios dentro de un mismo segmento y fuera de él, sea segura. Así también, las transacciones que tengan lugar.
El amplio margen de beneficios no es un aspecto a ignorar. No solamente se mejora la seguridad e integridad de los dispositivos y usuarios, sino también se mitiga verdaderamente los principales riesgos, se llegan a los estándares de cumplimiento de acuerdo a la organización y mejor aún, se logra la anhelada eficiencia operacional.
Sin embargo, todos los beneficios y ventajas que podamos citar gracias a la segmentación de red, no serán alcanzables. Más que nada, si es que no se realizan mayores esfuerzos en relación al rendimiento de la red y los procesos asociados. Los gigantes tecnológicos como Google, Apple y Amazon cuentan con el tipo de hardware que podrían adecuarse a tan demandantes procesos como el que pide una muy eficaz segmentación de red. Se debe contar con una nueva generación de procesadores que logren adaptarse realmente a las demandas de estos tiempos, además de la capacidad de mantener los estándares de seguridad siempre consistentes y las políticas de seguridad firmes sea en la plataforma que se trabaje.
¿Qué nuevas soluciones aparecerán? Que no quepa duda que las esperamos, ya que las redes no paran de crecer. En consecuencia, la segmentación de red se vuelve cada vez más necesaria si es que queremos evitar grandes problemas de seguridad. Desgraciadamente, estos problemas ya no son para nada pequeños.