Tabla de contenido:
- Decide las funciones que quieres
- Diferentes funciones, explicadas
- Los 5 pasos básicos para la segmentación de la red
Video: Segmentación de redes I (URJCx) (Noviembre 2024)
A estas alturas probablemente haya visto referencias a la segmentación de la red en lugares que van desde esta columna hasta características sobre seguridad de la red y debates sobre las mejores prácticas en la supervisión de la red. Pero para muchos profesionales de TI, la segmentación de la red es una de esas cosas a las que siempre planeas llegar, en algún momento pronto, pero siempre hay algo en el camino. Como hacer sus impuestos en febrero: sabe que debe hacerlo, pero necesita una patada extra de motivación. Eso es lo que espero hacer con este explicador de 5 pasos.
Hay varias razones para la segmentación de la red; La razón más importante es la seguridad. Si su red está dividida en varias redes más pequeñas, cada una con su propio enrutador o conmutador de capa 3, puede restringir la entrada a ciertas partes de la red. De esta manera, el acceso solo se otorga a los puntos finales que lo necesitan. Esto evita el acceso no autorizado a partes de la red a las que no desea acceder, y también limita a algunos piratas informáticos que podrían haber penetrado en un segmento para tener acceso a todo.
Eso es lo que sucedió con la violación de Target en 2013. Los atacantes que usaron credenciales del contratista de Calefacción, Ventilación y Aire Acondicionado (HVAC) tuvieron acceso a los terminales de punto de venta (POS), la base de datos de tarjetas de crédito y todo lo demás en el red. Claramente, no había razón para que un contratista de HVAC tuviera acceso a otra cosa que los controladores de HVAC, pero lo hicieron porque Target no tenía una red segmentada.
Pero si usted, a diferencia de Target, se toma el tiempo para segmentar su red, esos intrusos podrán ver sus controladores de calefacción y aire acondicionado, pero nada más. Muchas infracciones podrían terminar siendo un no evento. Del mismo modo, el personal del almacén no tendrá acceso a la base de datos de contabilidad ni tendrá acceso a los controladores de HVAC, pero el personal de contabilidad tendrá acceso a su base de datos. Mientras tanto, los empleados tendrán acceso al servidor de correo electrónico, pero los dispositivos en la red no.
Decide las funciones que quieres
Todo esto significa que debe decidir sobre las funciones que deben comunicarse en su red, y debe decidir qué tipo de segmentación desea. "Decidir funciones" significa que necesita ver quién de su personal tiene acceso a recursos informáticos específicos y quién no. Esto puede ser difícil de mapear, pero cuando esté listo, podrá asignar funciones por título de trabajo o asignación de trabajo, lo que puede traer beneficios adicionales en el futuro.
En cuanto al tipo de segmentación, puede utilizar la segmentación física o la segmentación lógica. La segmentación física significa que todos los activos de la red en un área física estarían detrás de un firewall que define qué tráfico puede entrar y qué tráfico puede salir. Entonces, si el décimo piso tiene su propio enrutador, entonces puede segmentar físicamente a todos allí.
La segmentación lógica usaría LAN virtuales (VLAN) o direccionamiento de red para lograr la segmentación. La segmentación lógica puede basarse en VLAN o subredes específicas para definir relaciones de red o puede usar ambas. Por ejemplo, es posible que desee sus dispositivos de Internet de las cosas (IoT) en subredes específicas, de modo que, mientras su red de datos principal es un conjunto de subredes, sus controladores de HVAC e incluso sus impresoras pueden ocupar otros. La tarea allí es que tendrá que definir el acceso a las impresoras para que las personas que necesitan imprimir tengan acceso.
Los entornos más dinámicos pueden significar procesos de asignación de tráfico aún más complejos que podrían tener que usar software de programación u orquestación, pero esos problemas tienden a surgir solo en redes más grandes.
Diferentes funciones, explicadas
Esta parte se trata de asignar funciones de trabajo a sus segmentos de red. Por ejemplo, una empresa típica podría tener contabilidad, recursos humanos (RR. HH.), Producción, almacenamiento, administración y una cantidad de dispositivos conectados en la red, como impresoras o, en estos días, cafeteras. Cada una de estas funciones tendrá su propio segmento de red, y los puntos finales en esos segmentos podrán alcanzar datos y otros activos en su área funcional. Pero también pueden necesitar acceso a otras áreas, como el correo electrónico o Internet, y tal vez un área de personal general para cosas como anuncios y formularios en blanco.
El siguiente paso es ver qué funciones deben evitarse para llegar a esas áreas. Un buen ejemplo podrían ser sus dispositivos IoT que solo necesitan comunicarse con sus respectivos servidores o controladores, pero no necesitan correo electrónico, navegación por Internet o datos de personal. El personal del almacén necesitará acceso al inventario, pero probablemente no debería tener acceso a la contabilidad, por ejemplo. Tendrá que comenzar su segmentación definiendo primero estas relaciones.
Los 5 pasos básicos para la segmentación de la red
Asigne cada activo en su red a un grupo específico para que el personal de contabilidad esté en un grupo, el personal del almacén en otro grupo y los gerentes en otro grupo.
Decide cómo quieres manejar tu segmentación. La segmentación física es fácil si su entorno lo permite, pero es limitante. La segmentación lógica probablemente tenga más sentido para la mayoría de las organizaciones, pero debe saber más sobre las redes.
Determine qué activos necesitan comunicarse con qué otros activos y luego configure sus firewalls o sus dispositivos de red para permitir esto y denegar el acceso a todo lo demás.
Configure su detección de intrusos y sus servicios antimalware para que ambos puedan ver todos sus segmentos de red. Configure sus firewalls o conmutadores para que informen los intentos de intrusión.
Recuerde que el acceso a los segmentos de la red debe ser transparente para los usuarios autorizados y que no debe haber visibilidad en los segmentos para los usuarios no autorizados. Puedes probar esto intentando.
- 10 pasos de ciberseguridad que su pequeña empresa debe tomar ahora mismo 10 pasos de ciberseguridad que su pequeña empresa debe tomar ahora mismo
- Más allá del perímetro: cómo abordar la seguridad en capas Más allá del perímetro: cómo abordar la seguridad en capas
Vale la pena señalar que la segmentación de red no es realmente un proyecto de bricolaje (DIY), excepto para las oficinas más pequeñas. Pero un poco de lectura lo preparará para hacer las preguntas correctas. El Equipo de preparación para emergencias cibernéticas de los Estados Unidos o US-CERT (parte del Departamento de Seguridad Nacional de los EE. UU.) Es un buen lugar para comenzar, aunque su orientación está dirigida al control de procesos y IoT. Cisco tiene un documento detallado sobre la segmentación para la protección de datos que no es específico del proveedor.
Hay algunos proveedores que brindan información útil; sin embargo, no hemos probado sus productos, por lo que no podemos decirle si serán útiles. Esta información incluye consejos prácticos de Sage Data Security, un video de mejores prácticas de AlgoSec y una discusión de segmentación dinámica del proveedor de software de programación de redes HashiCorp. Finalmente, si eres del tipo aventurero, la consultora de seguridad Bishop Fox ofrece una guía de bricolaje de segmentación de red.
En cuanto a los otros beneficios de la segmentación más allá de la seguridad, una red segmentada puede tener beneficios de rendimiento porque el tráfico de red en un segmento puede no tener que competir con otro tráfico. Esto significa que el personal de ingeniería no encontrará que sus dibujos se retrasen debido a las copias de seguridad y que la gente de desarrollo pueda realizar sus pruebas sin preocuparse por los impactos en el rendimiento del otro tráfico de red. Pero antes de que pueda hacer algo, debe tener un plan.
