Estrategias de segmentación

Por segmentación se entiende al aislamiento de los recursos de otras partes de la organización. Es una manera eficaz de detectar y contener movimientos no admitidos.

Un enfoque para la segmentación es el aislamiento de red. No se recomienda este enfoque porque los distintos equipos técnicos pueden no estar alineados con los casos de uso empresarial y las cargas de trabajo de aplicaciones. Un resultado de esta discrepancia es la complejidad, como se ve especialmente en redes locales, que puede dar lugar a una velocidad reducida o, en casos peores, a excepciones de firewall de red generales. Aunque el control de red debe considerarse como una estrategia de segmentación, debe formar parte de una estrategia de segmentación unificada.

La seguridad de la red ha sido el eje tradicional de los esfuerzos de seguridad de la empresa. Sin embargo, la informática en la nube ha aumentado el requisito de que los perímetros de red sean más porosos, y muchos atacantes han dominado el arte de los ataques en elementos del sistema de identidad (que casi siempre omiten los controles de red). Estos factores han aumentado la necesidad de centrarse principalmente en los controles de acceso basados en identidad para proteger los recursos en lugar de los controles de acceso basados en red.

Una estrategia de segmentación efectiva guiará a todos los equipos técnicos (TI, seguridad, aplicaciones) a aislar de forma coherente el acceso mediante redes, aplicaciones, identidades y otros controles de acceso. La estrategia debe tener como objetivo:

  • Alinearse con las aplicaciones y los procedimientos empresariales para minimizar la fricción en las operaciones.
  • Agregar dificultades para los atacantes con el fin de contener el riesgo. Para hacer esto:
    • Aísla las cargas de trabajo confidenciales del riesgo de otros recursos.
    • Aísla los sistemas de alta exposición para que no se usen como una dinamización de otros sistemas.
  • Supervisar las operaciones que pueden provocar posibles infracciones de la integridad de los segmentos (uso de cuentas, tráfico inesperado).

Estas son algunas recomendaciones para crear una estrategia unificada:

  • Garantizar la alineación de los equipos técnicos con una estrategia única que se basa en la evaluación de los riesgos empresariales.
  • Establecer un perímetro moderno basado en principios de confianza cero centrados en la identidad, los dispositivos, las aplicaciones y otras señales. Esto ayuda a superar las limitaciones de los controles de red para protegerse de nuevos recursos y tipos de ataque.
  • Reforzar los controles de red en las aplicaciones heredadas mediante la exploración de estrategias de microsegmentación.
  • Centralice la responsabilidad de la organización para la administración y la seguridad de las funciones de red principales, como los vínculos entre locales, las redes virtuales, las subredes y los esquemas de direcciones IP, así como los elementos de seguridad de red, como los dispositivos de red virtual, el cifrado de la actividad de red virtual en la nube y el tráfico entre locales, así como otros componentes tradicionales de seguridad de red.

Modelo de referencia

Comience con este modelo de referencia, que puede adaptar a las necesidades de la organización. Este modelo muestra cómo se pueden segmentar las funciones, los recursos y los equipos.

Enterprise tenant

Segmentos de ejemplo

Considere la posibilidad de aislar recursos compartidos e individuales, tal como se muestra en la imagen anterior.

Segmento de servicios principales

Este segmento hospeda los servicios compartidos que se usan en toda la organización. Estos servicios compartidos suelen incluir Active Directory Domain Services, DNS/DHCP y herramientas de administración del sistema hospedadas en máquinas virtuales de infraestructura como servicio (IaaS) de Azure.

Segmentos adicionales

Otros segmentos pueden contener recursos agrupados basados en determinados criterios. Por ejemplo, los recursos que se usan en una carga de trabajo o aplicación específica pueden estar contenidos en un segmento independiente. También puede segmentar o subsegmentar por fase del ciclo de vida, como desarrollo, pruebas y producción. Algunos recursos pueden solaparse, como las aplicaciones, y pueden utilizar redes virtuales para las fases del ciclo de vida.

Líneas de responsabilidad claras

Estas son las funciones principales de este modelo de referencia. Los permisos para estas funciones se describen en Roles y responsabilidades del equipo.

Función Ámbito Responsabilidad
Administración de directivas (segmentos principales e individuales) Algunos o todos los recursos. Supervisar y aplicar el cumplimiento de normas externas (o internas), estándares y directivas de seguridad, y asignar el permiso adecuado a dichos roles.
Operaciones de TI central (principales) En todos los recursos. Conceder permisos al departamento de TI central (a menudo, el equipo de infraestructura) para crear, modificar y eliminar recursos, como máquinas virtuales y almacenamiento.
Grupo de redes central (segmentos principales e individuales) Todos los recursos de red. Centralice la seguridad y administración de redes para reducir la posibilidad de que se produzcan estrategias incoherentes que creen posibles riesgos de seguridad que los atacantes puedan aprovechar. Como todas las divisiones de las organizaciones de desarrollo y TI no tienen el mismo nivel de conocimientos y sofisticación sobre la seguridad y la administración de redes, las organizaciones se benefician del aprovechamiento de las herramientas y los conocimientos de un equipo de red centralizado.
Garantizar la coherencia y evitar los conflictos técnicos, asignar las responsabilidades de los recursos de red a una sola organización de redes central. Estos recursos deben incluir redes virtuales, subredes, grupos de seguridad de red (NSG) y las máquinas virtuales que hospedan las aplicaciones de red virtual.
Permisos de rol de recursos (principales) - Para la mayoría de los servicios principales, los privilegios administrativos se conceden mediante la propia aplicación (Active Directory, DNS, DHCP, herramientas de administración del sistema). No se requieren permisos adicionales de recursos de Azure. Si el modelo organizativo requiere que estos equipos administren sus propias máquinas virtuales, almacenamiento u otros recursos de Azure, puede asignar estos permisos a esos roles.
Operaciones de seguridad (segmentos principales e individuales) Todos los recursos. Evaluar los factores de riesgo, identificar posibles mitigaciones y aconsejar a las partes interesadas de la organización que aceptan el riesgo.
Operaciones de TI (segmentos individuales) Todos los recursos. Conceder permisos para crear, modificar y eliminar los recursos. El propósito del segmento (y los permisos resultantes) dependerá de la estructura de la organización.
  • Los segmentos con recursos administrados por una organización de TI centralizada pueden conceder al departamento de TI central (con frecuencia, el equipo de infraestructura) permiso para modificar estos recursos.
  • Los segmentos administrados por funciones o unidades de negocio independientes (por ejemplo, un equipo de TI de Recursos Humanos) pueden conceder a esos equipos permisos para todos los recursos del segmento.
  • Los segmentos con equipos de DevOps autónomos no necesitan conceder permisos en todos los recursos, ya que el rol del recurso (a continuación) concede permisos a los equipos de la aplicación. Para emergencias, use la cuenta de administrador de servicios (cuenta de emergencia).
Administrador del servicio (segmentos principales e individuales) Use el rol Administrador del servicio solo para emergencias (y la configuración inicial, si es necesario). No use este rol para las tareas diarias.

Pasos siguientes

Comience con este modelo de referencia y administre los recursos de varias suscripciones de forma coherente y eficaz con los grupos de administración.