Microsegmentación de confianza cero: todo gira en torno a los datos

La naturaleza digital de las empresas actuales, ejerce una gran presión sobre los profesionales de la ciberseguridad para que estén en todas partes y en todo momento. Como resultado, no es de extrañar que en más de una ocasión se aparquen la gestión y el funcionamiento de los programas de seguridad.

El auténtico motivo de implementar buenas prácticas de seguridad, como por ejemplo la microsegmentación, no es el de asegurar las cargas de trabajo, los dispositivos o las personas en la red, sino el de proteger los datos. Los datos deberían estar en el centro de toda estrategia de seguridad y, por tanto, todo marco, herramienta y proceso de seguridad que se utilice, debería centrarse en los propios datos. Sin embargo, esto no es así. Los equipos de seguridad se esfuerzan muchísimo en "asegurar la red" para tratar de mantener a raya a los criminales. Pero al hacerlo, los equipos de seguridad se desgastan y no proporcionan el contexto necesario para defender a la empresa frente a los adversarios modernos.

Las implementaciones efectivas de microsegmentación hacen que los datos ocupen un lugar central en la estrategia. Aunque hay muchas maneras diferentes de lograr la microsegmentación, los objetivos de cualquier iniciativa deberían ser:

• Mejorar la visibilidad y la detención de brechas.
• Ubicar los controles de seguridad en torno a los activos críticos
• Reducir los gastos operativos y de capital
• Reducir los costes de cumplimiento
• Aumentar el nivel de información y conocimiento de los datos
• Eliminar las inculpaciones internas
• Facilitar la transformación digital de la empresa.

Combinar la microsegmentación con una estrategia de Zero Trust es una idea aún mejor. No es de extrañar que la confianza cero y la microsegmentación ofrezcan beneficios similares; cuando se combinan en una estrategia de seguridad, los equipos de seguridad disponen de un método reforzado para aislar los datos y los sistemas, detener la propagación del malware y conocer realmente lo que ocurre en sus ecosistemas.

Proteger los datos

Aunque la microsegmentación combinada con la confianza cero permite a los equipos de seguridad proteger mejor las cargas de trabajo, los usuarios y los dispositivos, el componente clave en el que debe centrarse un programa de seguridad es la protección de los datos. La microsegmentación permite a los equipos de seguridad establecer los segmentos, controles, tecnologías y capacidades pertinentes, y la confianza cero obliga a que todo lo que intente comunicarse con los segmentos -dentro y entre los centros de datos y los entornos en la nube- se revise continuamente para comprobar si cuenta con la autorización y la autenticación adecuadas.

La activación de los controles en una arquitectura de confianza cero se produce con cada solicitud de comunicación, lo que implica que los datos están siempre protegidos de movimientos laterales y la propagación de malware, incluso si un atacante ya ha entrado en un endpoint.

¿Por qué? Porque la microsegmentación de confianza cero significa que los sistemas infectados pueden aislarse de otros sistemas, que existen controles granulares para garantizar que el atacante no pueda aprovecharse de las políticas aprobadas para acceder a los sistemas o datos deseados, y que el núcleo de la red distribuida -los datos- siempre permanece aislado.

En cambio, si no hay segmentación, una vez que un ataque supera la protección de los endpoints, no hay forma de detenerlo. Esto es exactamente lo que ocurre en la arquitectura de una red plana, cuando la segmentación -o mejor dicho, la microsegmentación- no está presente, y cuando los controles de seguridad determinan que "estás aquí, y como ya has estado aquí antes, tienes el paso libre". 

La microsegmentación de confianza cero pone el freno en estas redes excesivamente permisivas porque todo está pensado para su aislamiento. A cada aplicación, host y servicio se le asigna su propio segmento, que está protegido por controles precisos basados en la criticidad y la sensibilidad de lo que está dentro de ese segmento (es decir, los datos), y no en lo que puede estar viajando fuera del segmento (por ejemplo, direcciones IP, puertos y protocolos; vías de comunicación no supervisadas).

Una nueva forma de segmentación

Sin embargo, la realidad es que la microsegmentación no tiene una buena reputación. Muchos profesionales de la seguridad, cuando escuchan ese término, lo asocian automáticamente con proyectos fallidos del pasado. Como la mayoría de las empresas utilizan en gran medida el cloud computing y el software como servicio, los almacenes de datos no siempre son fáciles de encontrar, y los datos que contienen son aún más difíciles de clasificar. Por eso la confianza cero es tan importante para la microsegmentación.

La confianza cero sitúa los controles de seguridad directamente en torno a los activos de datos que los delincuentes tienen en el punto de mira, utiliza controles de acceso con un mínimo de privilegios y sólo permite el acceso a los activos de datos, o entre ellos, después de que se haya realizado una validación cada vez que se solicita una comunicación. Localizar y aislar los activos de datos resulta mucho más sencillo. Los equipos de seguridad pueden dejar de preocuparse por proteger cientos de miles de puntos finales y, en su lugar, centrarse en los propios datos: qué se comunica y cómo.

La microsegmentación de confianza cero permite así establecer el mayor control de seguridad en torno a lo que es más importante ( los datos), dónde se encuentran y cómo se accede a ellos.

Miguel Ángel Martos, Regional Director Spain, Portugal and Italy, Zscaler