La WAN definida por software ha dado paso a un nuevo enfoque de la segmentación y la seguridad de la red. Todos los principales proveedores de SD-WAN incluyen algún tipo de segmentación de red en sus productos y promueven esta técnica como una forma de abordar la seguridad y el aislamiento de rutas.
Una estrategia de segmentación de red adecuada requiere que las empresas tengan un conocimiento sólido de sus sistemas y objetivos. SD-WAN proveedores tienen sus propias definiciones de segmentación de red y ningún proveedor tiene una estrategia de segmentación cohesiva que satisfaga holísticamente las necesidades de una organización.
Es probable que surjan numerosas consideraciones de segmentación, desde la autenticación y la autorización hasta la gestión de roles y las políticas de seguridad, por lo que la necesidad crítica de investigación es clave para crear una estrategia de segmentación de red eficiente utilizando SD-WAN.
Las técnicas de segmentación heredadas siempre han supuesto un gran reto
Tradicionalmente, los equipos de red han segmentado las redes utilizando diversas herramientas para crear un aislamiento de rutas en distintos procesos. Eran comunes varios esquemas de enrutamiento por etiquetas o instancias de enrutamiento virtualizado, al igual que las listas de control de acceso de seguridad (ACL).
Casi todos los métodos funcionaban en algún punto entre la capa 2 y la 4, y la mayoría eran complicados y laboriosos de implantar y gestionar.
El aislamiento no dependía de la identidad, sino de la ubicación de la dirección IP. Este método funcionaba en los días en que una máquina ejecutaba un servicio o un usuario estaba en un dispositivo de punto final, pero esos días ya pasaron.
Ahora tenemos varios servicios en un terminal, y los servicios se mueven o escalan dinámicamente en respuesta a una miríada de estímulos. El aislamiento basado estrictamente en una dirección IP ya no es suficiente ni escalable.
Además, la seguridad era rudimentaria, basada en la identidad o la ubicación, y gestionada por ACL que rápidamente se hacían difíciles de controlar incluso en volúmenes pequeños.
La aplicación de la seguridad de máquinas y aplicaciones no era mejor. Hacer un seguimiento de quién debería tener acceso a qué se convirtió en un ejercicio inútil y los errores en la precedencia de acceso de seguridad eran comunes. No es de extrañar que surgiera un nuevo enfoque de segmentación.
Segmentación de red y SD-WAN
En esencia, la segmentación de la red pretende evitar que un proceso atraviese la red lateralmente. En otras palabras, la instancia de un usuario de un procesador de textos no tiene por qué acceder a una base de datos en el sistema de otro usuario.
Del mismo modo, un sistema front-end programado para acceder a una única base de datos no necesita comunicarse con otros sistemas de la red. Una buena estrategia de segmentación aísla los procesos únicamente a los componentes y sistemas a los que necesitan acceder.
Uno de los obstáculos asociados a una estrategia de segmentación de la red es clasificar las distintas herramientas de segmentación que ofrecen los proveedores de SD-WAN.
Algunos proveedores adoptan un enfoque más centrado en la red, basándose en el aislamiento y la segmentación de rutas en las capas 3 y 4, otros adoptan un enfoque más centrado en las aplicaciones a partir de la capa 7 y otros segmentan utilizando una combinación de tecnologías en diferentes capas.
Todos pretenden lo mismo, pero el objetivo es establecer una barrera de seguridad entre el sistema y los procesos del usuario.
Los incidentes de seguridad son habituales hoy en día y se producen con una frecuencia alarmante. Por ello, los controles de seguridad deben ser una preocupación primordial a la hora de elegir cualquier producto SD-WAN.
No basta con segmentar la red de forma estática. Una buena plataforma SD-WAN debe auditar y responder a los eventos de seguridad casi en tiempo real, al tiempo que mitiga cualquier daño que pudiera producirse en una brecha.
Otras características importantes de la segmentación empresarial son las siguientes:
- Despliegue automatizado;
- Soporte para el aislamiento de rutas;
- Una estrategia de acceso y autorización.
Pasar de una red tradicionalmente no segmentada a otra basada en un diseño altamente segmentado requiere una gran previsión y un sólido conocimiento de los requisitos empresariales.
Segmentar para hacer algo nuevo no es una buena razón para aplicar una estrategia de segmentación. Ningún proveedor tiene una estrategia completa de segmentación de la red.
Los equipos de redes corporativas pueden superar el reto de unir varios productos diferentes con sólo entender su red actual y por qué quieren segmentarla.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnologías de la Información y la Comunicación que opera en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones de infraestructura informática y de telecomunicaciones personalizadas.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, porque creemos que así es como adquirimos las habilidades y conocimientos que necesitamos para innovar y generar valor para las empresas en las que operamos.
