En la actualidad, la seguridad y eficiencia de las redes son aspectos cruciales para cualquier organización. La segmentación y microsegmentación de redes son prácticas esenciales que permiten mejorar la gestión, seguridad y rendimiento de las infraestructuras de red. En este artículo exploramos en detalle estas técnicas, destacando sus beneficios, aplicaciones y diferencias clave. A través de la segmentación, se pueden crear redes más pequeñas y controladas, mientras que la microsegmentación ofrece un enfoque aún más granular, proporcionando una mayor visibilidad y control sobre los activos de la red. Ambas técnicas son fundamentales para proteger los sistemas contra ciberataques y optimizar el funcionamiento de las redes.
Segmentación
La segmentación de red es una práctica habitual que se recomienda aplicar a redes de cualquier tamaño. Consiste en dividir la red creando redes más pequeñas, generalmente mediante el uso de redes virtuales (VLANs), en las que se agrupen en la misma red elementos con el mismo propósito, por ejemplo, servidores IT en un segmento separado de los usuarios corporativos, servidores OT, etc. La comunicación entre dispositivos de distintos segmentos tiene que pasar por un elemento de nivel 3, capaz de enrutar entre las redes.
Esta segmentación de elementos en distintas redes ya aporta beneficios en sí misma, aunque lo más adecuado es que la comunicación entre los segmentos esté controlada por un firewall, de forma que se permita únicamente el tráfico que los administradores consideren necesario, y además quede un registro de las comunicaciones entre los segmentos.
Los beneficios de la segmentación se resumen así:
- Reducción de los dominios de broadcast, que se traduce en una reducción de la congestión de la red y, por tanto, en la mejora del rendimiento de la red
- Mejora de la seguridad y limitación del campo de movimiento lateral (salto de una amenaza a otros hosts dentro de la misma red).
- Si la interconexión de las redes se realiza utilizando un firewall, se añaden estas ventajas:
- Limitación de los daños causados por un ciberataque
- Protección de dispositivos vulnerables en redes más controladas y con acceso limitado
- Se obtiene un mayor control e información de los flujos de tráfico entre las subredes, lo que deriva en un mejor conocimiento de la red y facilita la resolución de incidencias.
- Se reducen los costos asociados al cumplimiento normativo porque limita los sistemas dentro del alcance de la normativa. De este modo, la segmentación va a separar los sistemas bajo los procesos de auditoría, así se podrán aplicar los requisitos de cumplimiento exclusivamente a aquella red que los requiere, y se ejecutará la auditoría sólo a los sistemas que entren bajo su paraguas.
- La segmentación se puede implementar sobre la arquitectura existente, sin necesidad de adquirir nuevos elementos de red, simplemente reconfigurando la electrónica de red.
Como contrapartida tiene el siguiente inconveniente:
- La segmentación supone el cambio de direccionamiento IP de los dispositivos que se mueven a un segmento diferente. Esto puede ser un problema, especialmente en entornos de OT.
Microsegmentación
La microsegmentación es una técnica de seguridad de red que permite a los administradores segmentar aún más un entorno para lograr una visibilidad de todos los activos en el mismo segmento o dominio de transmisión. La granularidad se logra dividiendo de manera lógica el entorno de red en segmentos de seguridad distintos hasta el nivel de carga de trabajo individual. Debido a que las políticas se aplican a cargas de trabajo individuales, la microsegmentación consigue compartimentar la red de tal modo que ofrece una mayor resistencia a los ataques y, si se produce una infracción, limita la capacidad de un atacante de moverse entre aplicaciones comprometidas.
Se puede aplicar tanto a los CPDs locales como a los desplegados en la nube, por tanto, son susceptibles de microsegmentarse cualquier tipo de servidor, máquina virtual, contenedor o microservicio. Por este motivo, la microsegmentación también se conoce como segmentación de aplicaciones o segmentación este-oeste en un centro de datos multicloud. Se puede introducir a niveles tan granulares como se desee: a nivel de red, dispositivo, aplicación o carga de trabajo específica, donde la carga de trabajo puede ser un programa o aplicación concreto que utilice memoria y CPU, para aislarlas entre sí y protegerlas individualmente.
Ventajas que aporta la microsegmentación:
- Granularidad, mayor control e información.
- Permite implementar políticas muy específicas a las que no afectan la suplantación de direcciones IP o los intentos de ejecutar ataques a través de puertos permitidos.
- Proporciona un enfoque de seguridad de zero-trust para:
- Reducir las superficies de ataque.
- Evitar el movimiento lateral de amenazas.
- Fortalecer el cumplimiento normativo.
Las diferencias más notorias entre Segmentación de red y Microsegmentación son estas:
| Segmentación de red | Microsegmentación |
|---|---|
| Nivel perimetral; opera en zonas y subredes | Controla el movimiento lateral entre los hosts |
| Políticas amplias | Políticas granulares |
| Visibilidad y control del tráfico norte-sur | Visibilidad y control del tráfico tanto de norte a sur como de este a oeste |
Desde Perseus colaboramos con nuestros clientes para ayudarles a segmentar sus redes, en muchos casos plantas de producción, donde separamos en distintas redes los dispositivos de OT del resto, generalmente usando sus utilizando sus propios firewalls para controlar el tráfico entre las subredes.
La teoría de arquitectura de red de los sistemas de infraestructuras industriales que se está aplicando sigue el modelo Purdue, que proporciona una estructura clara y organizada para la segmentación de redes en entornos industriales, permitiendo una mejor gestión y seguridad de los sistemas. Al seguir este modelo, se pueden implementar políticas de seguridad más efectivas y controlar el acceso a los diferentes niveles de la red, reduciendo así el riesgo de ciberataques y mejorando la resiliencia de la infraestructura. A continuación se muestra el modelo jerárquico que propone:
En otras ocasiones, los proyectos en los que colabora activamente Perseus persiguen reducir la degradación del rendimiento de las redes por tratarse de grandes dominios de broadcast, haciendo hincapié en el diseño de la nueva arquitectura en colaboración con los administradores de las redes, para que les facilite la gestión y conocimiento de su red.
Carmen Osuna Miranda
Área de Integración
