Securización y Segmentación de Redes corporativas

A pesar de que las empresas se esfuerzan enormemente por proteger sus sistemas a través de elementos como cortafuegos, SDN y plataformas de nube híbridas; los ciberdelincuentes continúan aprovechando los constantes cambios y brechas de la red para ejecutar ataques de todo tipo. Considerando que en algunos sistemas los estándares de acceso son extremadamente permisivos; ¿Cómo hacer para garantizar la seguridad de nuestros entornos digitales? La respuesta parece encontrarse en la segmentación de redes.

La segmentación de redes es una estrategia súper eficaz a la hora de contener amenazas para evitar la propagación de las mismas dentro de un sistema.

Muchas empresas tratan con terceros que requieren acceso a Internet. Por ejemplo, un proveedor puede solicitar el uso de la red de la empresa para controlar y modificar los ajustes de un punto de venta. Ciertos terminales colocados en las tiendas pueden exigir el acceso a la red para transmitir datos, y algunos clientes requieren WiFi para usar sus dispositivos móviles mientras compran. Todos estos representan puntos de acceso difíciles de controlar.

La principal dificultad que representan estas intromisiones no autorizadas es que el al introducirse un elemento malicioso en el sistema; la arquitectura tradicional de la red le permitirá expandirse sin problema a todo el entorno informático. Logrando así una infección total difícil de eliminar.

En este caso, y conscientes de que ningún sistema está exento de ataques, la mejor estrategia que se puede llevar a cabo es la segmentación de redes.

La segmentación de red es una estrategia que permite dividir las redes que forman parte de un sistema en «zonas de seguridad» o segmentos separados por cortafuegos. Cuando se configura correctamente; los segmentos separan las aplicaciones y evitan el acceso a los datos confidenciales.

Esto limita la capacidad de los atacantes para rotar de una aplicación a otra; y permite a los administradores de red gestionar la calidad de servicios a través de segmentos específicos; para darle prioridad a las aplicaciones más esenciales.

Colabora ha diseñado diversas soluciones de segmentación y protección de red para organizaciones como la Fundación Pandeia u organismos como el Concello de Teo.

En ambos casos, la solución consistió en la implantación de un sistema de Firewall Perimetral FORTINET del que colgaban las redes de los distintos departamentos, áreas, clientes de ambas organizaciones, quedando todas segmentadas y protegidas. Asimismo, se establecieron mecanismos de VPN que permiten la conexión a la red interna desde emplazamientos remotos, de forma segura y controlada.

¿Cuáles son los beneficios de la segmentación de redes?

• Posibilidad de delegar la administración de subredes: La segmentación de redes trae como resultado la creación de múltiples subredes. Esto permite descentralizar la administración para delegar la gestión de cada subred a una persona diferente. Como consecuencia, se simplifica la gestión total del sistema y se aumenta la visibilidad que tienen los equipos de seguridad sobre las superficies de ataque de sus entornos informáticos.
• Optimización del ancho de banda: Si varios hosts o elementos en la misma subred se comunican, solo utilizarán el ancho de banda asignado a su subred, no toda la red. Además, se permite priorizar los tráficos entra las distintas subredes, y entre éstas y el acceso a internet, favoreciendo aquellos flujos realmente prioritarios para las organizaciones
• Facilidad de análisis e intervención: Si se encuentra un problema con un host o elemento (como el consumo inusual de ancho de banda), será más fácil analizar su comportamiento y corregir el mal funcionamiento cuando está en una subred (menos máquinas) que en toda la red.

La segmentación de red además permite los siguientes casos de uso, varios de ellos aplicados en las experiencias que Colabora ha desarrollado para Fundación Paideia y el Concello de Teo, entre otros:

• Red inalámbrica para invitados: una empresa puede utilizar la segmentación de la red para ofrecer un servicio de conexión inalámbrica a sus visitantes y subcontratistas con un riesgo relativamente bajo. Cuando alguien se conecta con credenciales de invitado, entra en un microsegmento que únicamente proporciona acceso a Internet.
• Acceso a grupos de usuarios: para protegerse de las brechas originadas por el propio personal, las empresas segmentan la red por departamentos internos y crean subredes formadas por los miembros autorizados de un grupo y los DAAS que necesitan para desempeñar su trabajo. El acceso entre subredes está muy controlado. Por ejemplo, si un miembro del equipo de ingeniería intenta acceder a la subred de recursos humanos, se activará una alarma y su investigación.
• Seguridad en la nube pública: los proveedores de servicios en la nube suelen ser responsables de la seguridad de la infraestructura de la nube, pero al cliente le corresponde proteger los sistemas operativos, las plataformas, los controles de acceso, los datos, la propiedad intelectual, el código fuente y el contenido dirigido a sus propios clientes, elementos que también hacen uso de esa misma infraestructura. La segmentación es un método efectivo para aislar las aplicaciones en entornos de nube pública e híbrida.