INFORME TÉCNICO

Lo que siempre quiso saber sobre la microsegmentación pero nunca se atrevió a preguntarlo

La microsegmentación, habilitada por VMware NSX®, convierte en realidad el modelo de «confianza cero» La protección del centro de datos moderno requiere una microsegmentación

Analistas como Gartner y Forrester coinciden en que los requisitos de seguridad del centro de datos son ahora mucho más complejos de lo que los cortafuegos perimetrales (físicos) pueden gestionar. He aquí algunos de los motivos: • Concebidos para actuar más como guardianes en la puerta, los cortafuegos perimetrales, la prevención de intrusiones y los mecanismos antivirus están diseñados para proteger los datos que se transmiten de cliente a servidor (norte-sur), no de servidor a servidor (este-oeste). •

No es práctico rellenar un centro de datos con el número de cortafuegos físicos (o cortafuegos físicos con cortafuegos virtuales) necesario para proteger cientos de cargas de trabajo con políticas detalladas y control de acceso centralizado.

•

Los cortafuegos físicos implican unos gastos administrativos para la adaptación rápida a las cargas de trabajo dinámicas que se encuentran en un estado de cambio casi constante y no tienen tampoco el contexto, la granularidad o las capacidades automatizadas para «seguir» la migración de la carga de trabajo.

A medida que los centros de datos siguen dirigiéndose hacia la virtualización para el cálculo, la interconexión y los recursos de almacenamiento, la seguridad tradicional basada en el perímetro es cada vez menos efectiva. El nuevo modelo para la seguridad del centro de datos: a) se basará en software, b) utilizará el principio de microsegmentación y c) adoptará un modelo de «confianza cero»1 (ZT). Hasta ahora, los centros de datos se basaban en «zonas de confianza», en las que se suponía que el tráfico entre sistemas informáticos similares era de confianza. Sin embargo, los programas maliciosos pueden desplazarse a sus anchas de servidor a servidor dentro de las zonas de confianza. El modelo ZT considera que, en un mundo más virtualizado, no deberían distinguirse las redes o los segmentos de confianza de los que no los son; la protección debe ser generalizada y granular. Para crear un modelo ZT, necesita una red virtualizada que proporcione microsegmentación.

NUEVO MODELO DE SEGURIDAD DEL CENTRO DE DATOS • Basado en software • Uso del principio de microsegmentación • Inclusión de un modelo de «confianza cero» (ZT)

1. «Leverage Micro-Segmentation to Build a Zero Trust Network», Forrester Research, 2015

INFORME TÉCNICO / 1

Lo que siempre quiso saber sobre la microsegmentación pero nunca se atrevió a preguntarlo

«¿Qué diferencia hay entre la segmentación y la microsegmentación de la red física?» La seguridad de la red física en el centro de datos se basa en la configuración de segmentos de seguridad, la creación de subredes y LAN virtuales y el establecimiento de políticas alrededor de estas. En esencia, este modelo requiere políticas de bloqueo en la ubicación física de las cargas de trabajo. Ese tipo de construcción tan rígida conlleva una administración manual que exige mucho tiempo, errores de configuración frecuentes, disminución del rendimiento y retrasos en la implementación de aplicaciones, por nombrar solo algunas limitaciones y frustraciones derivadas. Con la plataforma VMware NSX, la microsegmentación no se agrega, sino que es nativa para la arquitectura de red. Es análogo a la forma en la que las plantas pueden modificarse a nivel molecular o celular para dotarlas de resistencia a las plagas y las enfermedades. Este es el motivo por el que VMware describe la microsegmentación como poder implementar la seguridad en el ADN de la red. De manera muy similar al modelo de virtualización de servidores, el «hipervisor de red» reproduce los servicios de red de la capa 2 a la capa 7 en forma de software. Estos servicios pueden combinarse de cualquier modo para ensamblarlos en cuestión de segundos y generar una nueva configuración de red. La red física se convierte en un depósito de capacidad de transporte. Las políticas de seguridad se aplican mediante controles del cortafuegos que están integrados en los hipervisores y que ya se han distribuido por todo el centro de datos con NSX. De esta forma, usted dispone de una seguridad instantáneamente omnipresente que cubre el centro de datos (los cortafuegos físicos y la red física existentes pueden permanecer sin cambios, aunque ganará una mayor libertad si mezcla e iguala los proveedores). Debido a su lugar en el hipervisor, NSX ofrece a la vez contexto y aislamiento: eso significa que está lo bastante cerca de las aplicaciones y las cargas de trabajo como para disponer de un contexto completo, pero lo bastante lejos para aislar esos activos de las amenazas. A continuación, se indican otros beneficios sustanciales de la microsegmentación: •

Las políticas de seguridad están asociadas a su red virtual, máquina virtual y sistema operativo, lo cual añade granularidad a la tarjeta de interfaz de la red virtual (en esencia, la microsegmentación le permite englobar la seguridad alrededor de cada máquina o carga de trabajo individual; de ahí que la seguridad se pueda agregar, eliminar, cambiar o desplazar como un archivo).

•

Puede definir políticas de seguridad con parámetros flexibles, como el nombre de la máquina, el tipo de carga de trabajo y el tipo de sistema operativo invitado.

•

Las políticas de seguridad se pueden actualizar en unos segundos (e incluso automáticamente) para responder a amenazas de seguridad o cambios en las topologías de las aplicaciones.

•

Las políticas se transfieren automáticamente junto con la carga de trabajo, aunque la dirección IP física cambie.

NSX ofrece a la vez contexto y aislamiento: eso significa que está lo bastante cerca de las aplicaciones y las cargas de trabajo como para disponer de un contexto completo, pero lo bastante lejos para aislar esos activos de las amenazas.

INFORME TÉCNICO / 2

Lo que siempre quiso saber sobre la microsegmentación pero nunca se atrevió a preguntarlo

«Qué proyectos de seguridad se benefician más de la microsegmentación?» Puede implementar la virtualización de red a su propio ritmo, empezando con pequeños pasos y realizando ampliaciones en fases programadas o según sea oportuno. Su estrategia de seguridad puede seguir la implementación de la virtualización de red o ser un factor de dicha virtualización. Le mostramos tres ejemplos de proyecto:

Seguridad del centro de datos Hemos tratado la forma en que la microsegmentación puede proteger todas las cargas de trabajo del centro de datos con políticas de seguridad detalladas. El control centralizado y la automatización son igual de importantes para proteger cientos y cientos de cargas de trabajo. Cuando se crea una máquina virtual, sus políticas de seguridad se agregan automáticamente. Cuando la máquina virtual se desplaza, las políticas la siguen. Cuando la máquina virtual se retira, las políticas se eliminan automáticamente. Con la automatización, no existe la posibilidad de que las reglas del cortafuegos se vuelvan obsoletas y creen una vulnerabilidad potencial.

Entornos de usuario de escritorio seguros

ECOSISTEMA DE PARTNERS DE SEGURIDAD DE VMWARE

Mediante la microsegmentación, puede crear una defensa de perímetro personal alrededor del usuario de escritorio individual. Si el usuario descarga un virus, por ejemplo, la «DMZ personal» evitará que se extienda desde el escritorio a cualquiera de los demás escritorios que compartan información y entre el escritorio y el centro de datos.

La seguridad en el centro de datos es intrínsecamente un entorno de múltiples proveedores. Los controles de seguridad son nativos de NSX, lo que significa que proporciona una plataforma para la integración. Los productos de seguridad líderes del sector pueden implementarse de forma automática y adaptarse de forma dinámica. Estos son algunos de los partners de seguridad de VMware.

La microsegmentación le ofrece la posibilidad de aislar cualquier segmento y colocarlo dentro de una DMZ. Las políticas avanzadas y el cumplimiento no dependen de las direcciones IP. La creación de una DMX ya no está restringida a un lugar específico de la red, sino que se asocia a la carga de trabajo que protege.

• Check Point • Fortinet • Intel Security/McAfee • Palo Alto Networks • Symantec • Trend Micro

DMZ en cualquier lugar

Ni siquiera los «atributos» vienen determinados por la topología o por nomenclaturas de cortafuegos arcanas. Los administradores pueden establecer políticas y servicios de seguridad que se asignen a una carga de trabajo individual basada en funciones, agrupamiento lógico (como todos los sistemas de recursos humanos), sistema operativo de escritorio o incluso «todas las máquinas virtuales que gestionan información confidencial».

Conclusión Los casos destacados de vulneraciones de los centros de datos siguen produciendo costosos daños e interrupciones. Como respuesta, las organizaciones de TI han aumentado el gasto en seguridad física tradicional, pero esas elevadas inversiones no han detenido la escalada de los ataques por el simple hecho de que la seguridad de la red física, especialmente los cortafuegos perimetrales, no es la respuesta completa para proteger el centro de datos. La microsegmentación se ha considerado, en general, un modelo mejor para los centros de datos, sobre todo a medida que las TI se desplazan hacia el centro de datos definido por software (SDDC) y el modelo de cloud híbrida. VMware NSX convierte la microsegmentación en una realidad práctica. Por primera vez, los administradores pueden aplicar políticas detalladas para aislar y proteger aplicaciones y cargas de trabajo. La seguridad de la red puede ser tan generalizada como lo requieran los centros de datos y tan dinámica como los activos que protegen. Más información en vmware.com/es/products/nsx

VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com C/ Rafael Botí, 26 - 2ª planta, 28023 Madrid, España. Tel. +34 914125000 Fax +34 914125001 www.vmware.es Copyright © 2015 – 2016 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de Estados Unidos e internacionales sobre copyright y derechos de propiedad intelectual. Los productos de VMware están protegidos por una o más de las patentes incluidas en http://www.vmware.com/es/patents. VMware es una marca comercial o marca registrada de VMware, Inc. en Estados Unidos o en otras jurisdicciones. Todas las demás marcas y nombres mencionados en este documento pueden ser marcas comerciales de sus respectivas empresas. N.º de artículo: 15VM061-Micro-Segmentation-Technical Brief12/15