La segmentación de la red es una técnica de seguridad de la red que la divide en diferentes subredes más pequeñas, que permiten a los equipos de red compartimentar las subredes y dar controles y servicios de seguridad exclusivos a cada subred.
El proceso de segmentación de la red es dividir una red física en varias subredes lógicas. Una vez la red se ha subdividido en unidades más pequeñas y manejables, se aplican controles a los segmentos individuales compartimentados.
Ventajas de la segmentación de la red y motivos para utilizarla
La segmentación de la red proporciona servicios de seguridad específicos para cada segmento de red, lo que brinda más control sobre el tráfico de red, optimiza el rendimiento de la red y mejora la situación de seguridad.
La primera ventaja es una mejora en la seguridad. Es bien sabido que, en lo que a seguridad respecta, no importa lo sólidos que sean la mayoría de los aspectos si hay alguno que sea un punto débil. Una amplia red plana presenta inevitablemente una gran superficie de ataque. Sin embargo, cuando una red amplia se divide en subredes más pequeñas, aislar el tráfico de la red en estas subredes reduce la superficie de ataque e impide el desplazamiento lateral. Por lo tanto, si se vulnera el perímetro de la red, los segmentos de la red evitan que los atacantes se desplacen lateralmente en su interior.
Además, la segmentación proporciona una forma lógica de aislar un ataque activo antes de que se propague por la red. Por ejemplo, la segmentación garantiza que un programa malicioso en un segmento no afecte a los sistemas de otro. Segmentar la red limita la extensión de un ataque y reduce la superficie de ataque al mínimo absoluto.
Ahora hablemos del rendimiento. La segmentación reduce la congestión de la red, lo que elimina el tráfico innecesario en un segmento en particular y mejora el rendimiento de la red. Por ejemplo, los dispositivos médicos de un hospital se pueden ubicar en una subred distinta a la de los visitantes, de forma que los dispositivos médicos no se vean afectados por el tráfico de los invitados que navegan por Internet.
Como resultado de la segmentación de la red, tenemos menos hosts por subred, minimizamos el tráfico local en cada subred y limitamos el tráfico externo solo al designado para la subred.
Funcionamiento de la segmentación de la red
La segmentación de la red crea múltiples segmentos aislados dentro de una red más grande, cada uno de los cuales puede tener diferentes requisitos y políticas de seguridad. Estos segmentos contienen tipos específicos de aplicaciones o terminales que tienen el mismo nivel de confianza.
Hay varias formas de segmentar la red. Veremos la segmentación basada en el perímetro implementada con VLAN y, a continuación, la segmentación que se efectúa a más profundidad mediante técnicas de virtualización de red.
Segmentación basada en el perímetro
La segmentación basada en el perímetro crea segmentos internos y externos basados en la confianza: los elementos internos del segmento de red se consideran fiables, los elementos externos no. Como resultado, apenas se restringen los recursos internos, que suelen funcionar en una red plana con una mínima segmentación interna de la red. El filtrado y la segmentación tienen lugar en puntos de red fijos.
Además, para desplazarse entre segmentos, es necesario que existan políticas. Con una política, puede detener o limitar el flujo de tráfico de un segmento a otro (según el tipo, el origen y el destino del tráfico).
El cortafuegos de red es una herramienta común que se utiliza para la segmentación basada en el perímetro. En origen se utilizaba para controlar el tráfico norte-sur de la red, pero permitía la comunicación entre cualquier elemento dentro del segmento.
Virtualización de red
Hoy en día, muchas organizaciones mantienen una variedad de áreas de red con funciones específicas que requieren la segmentación en muchos puntos de la red. Además, cada vez hay más tipos de terminales con los que la red debe ser compatible, cada uno con un nivel de confianza distinto.
Como resultado, la segmentación basada en el perímetro ya no es suficiente. Con la llegada de desarrollos como la nube, el uso de dispositivos personales en el trabajo (BYOD) y los dispositivos móviles, el perímetro se ha difuminado y ya no tiene unos límites claros. Ahora, para mejorar la seguridad y el rendimiento de la red, es necesario segmentarla más y de manera más profunda. Además, con los patrones de tráfico este-oeste actuales, la segmentación de la red es aún más necesaria. Aquí es donde entra en juego la virtualización de red, ya que posibilita una mejor segmentación.
En su forma más simple, la virtualización de redes es el aprovisionamiento de servicios de red y seguridad independientes de la infraestructura física. Al permitir la segmentación en toda la red, y no solo en el perímetro, la virtualización es fundamental para impulsar una segmentación de la red más eficiente. En efecto, la segmentación basada en el perímetro a la que antes estábamos acostumbrados ahora está virtualizada y distribuida, junto con políticas de seguridad flexibles y detalladas, en todos y cada uno de los segmentos de la red.