RESUMEN TÉCNICO
Más allá de firewalls y virtual appliances: hacer que la microsegmentación funcione
La microsegmentación, habilitada por VMware NSX®, hace del modelo “Zero Trust“ (confianza cero) una realidad
Para asegurar el centro de datos moderno se requiere de la microsegmentación Analistas como Gartner y Forrester están de acuerdo en que los requisitos de seguridad de un centro de datos se han vuelto mucho más complejos que aquellos que pueden manejar los firewalls (físicos) perimetrales. Estas son algunas de las razones: • Diseñados para funcionar más como guardianes en la puerta, los firewalls perimetrales, la prevención de intrusiones y los mecanismos antivirus se crearon para proteger los datos que circulan de cliente a servidor (norte a sur), no de servidor a servidor (este a oeste). • Resulta poco práctico poblar el centro de datos con la cantidad de firewalls físicos (o firewalls físicos con firewalls virtuales) que se requiere para proteger cientos de cargas de trabajo con políticas detalladas y control centralizado del acceso. • Los firewalls físicos implican demasiados costos administrativos generales para adaptarse rápidamente a las cargas de trabajo dinámicas que se encuentran en un estado de cambio casi constante; además, no tienen el contexto, la granularidad ni las capacidades automatizadas para “seguir“ la migración de cargas de trabajo. Debido a que los centros de datos continúan moviéndose hacia la virtualización de recursos de procesamiento, redes y almacenamiento, la seguridad tradicional basada en el perímetro se vuelve incluso menos eficaz. El nuevo modelo de seguridad para centro de datos tendrá las siguientes características: a) estará basado en software, b) utilizará el principio de la microsegmentación y c) aceptará el modelo Zero Trust1 (ZT). Hasta ahora, los centros de datos se basaban en “zonas de confianza“, donde se suponía que el tráfico a través de los sistemas de procesamiento similares era confiable. Pero dentro de las zonas de confianza, los malware pueden moverse de un servidor a otro sin desafíos. Según el modelo ZT, en un mundo más virtualizado no debería haber distinciones entre redes o segmentes confiables y no confiables. La protección debe ser generalizada y detallada. Con el propósito de crear un modelo ZT, necesita una red virtualizada que ofrezca microsegmentación.
NUEVO MODELO PARA LA SEGURIDAD DEL CENTRO DE DATOS • Basado en el software • Utilización del principio de la microsegmentación • Aceptación del modelo Zero Trust (ZT)
1. Leverage Micro-Segmentation to Build a Zero Trust Network, Forrester Research, 2015
RESUMEN TÉCNICO / 1
Más allá de firewalls y virtual appliances: hacer que la microsegmentación funcione
“¿Cuál es la diferencia entre la segmentación de red física y la microsegmentación?“ La seguridad de red física en el centro de datos se basa en la configuración de segmentos de seguridad, la creación de subredes y redes de área local (LAN, Local Area Network) virtuales, y la creación de políticas en torno a estos. Esencialmente, este modelo requiere de políticas de bloqueo en la ubicación física de las cargas de trabajo. Esta estructura rígida genera una administración manual que lleva tiempo, errores de configuración frecuentes, penalizaciones de rendimiento y retrasos en la implementación de las aplicaciones, solo por mencionar algunas restricciones y frustraciones. Con la plataforma VMware NSX, la microsegmentación es nativa de la arquitectura de la red y no está acoplada a esta. Es análogo al pensamiento acerca de cómo las plantas pueden manipularse a nivel molecular o celular para generar resistencia a plagas y enfermedades. Es por eso que VMware describe la microsegmentación como la habilidad de “incorporar la seguridad en el ADN de la red“. Al igual que sucede con el modelo de virtualización de servidor, un “hipervisor de red“ reproduce los servicios de red desde la capa 2 hasta la capa 7 en el software. Estos servicios se pueden ensamblar en cualquier combinación, en cuestión de segundos, para producir una configuración de red nueva. La red física se convierte en un depósito de capacidad de transporte. Las políticas de seguridad se cumplen mediante los controles de firewall que están integrados en los hipervisores ya distribuidos en todo el centro de datos con NSX. Esto significa que posee una manta de seguridad omnipresente de manera instantánea en el centro de datos (los firewalls físicos existentes y la red física pueden permanecer intactos; sin embargo, ganará mayor libertad para mezclar y combinar proveedores). Debido al lugar que NSX ocupa en el hipervisor, ofrece contexto y aislamiento al mismo tiempo: eso significa que está lo suficientemente cerca de las aplicaciones y de las cargas de trabajo como para obtener un contexto enriquecido, pero lo suficientemente alejado para aislarlas de las amenazas. A continuación, se presentan otras ventajas importantes de la microsegmentación: • Las políticas de seguridad están vinculadas a la red virtual, la máquina virtual y el sistema operativo, lo que brinda granularidad en la tarjeta de interfaz de red virtual (en esencia, la microsegmentación le permite asegurar cada máquina o carga de trabajo individual, por lo que la seguridad se puede agregar, eliminar, modificar y mover como un archivo). • Puede definir las políticas de seguridad con parámetros flexibles, como el nombre de la máquina virtual, el tipo de carga de trabajo y el tipo de sistema operativo invitado. • Las políticas de seguridad se pueden actualizar en segundos, e incluso de manera automática, para responder a amenazas de seguridad o cambios en las topologías de las aplicaciones. • Las políticas se mueven automáticamente con la carga de trabajo, incluso si cambia la dirección de IP física.
NSX ofrece contexto y aislamiento al mismo tiempo: eso significa que está lo suficientemente cerca de las aplicaciones y de las cargas de trabajo como para obtener un contexto enriquecido, pero lo suficientemente alejado para aislarlas de las amenazas.
RESUMEN TÉCNICO / 2
Más allá de firewalls y virtual appliances: hacer que la microsegmentación funcione
“¿Qué proyectos de seguridad se benefician más con la microsegmentación?“ Puede implementar la virtualización de redes a su propio ritmo, comenzando de a poco y expandiéndose en fases planeadas o de manera oportunista. Su estrategia de seguridad puede venir a continuación de la implementación de la virtualización de redes o ser el eje impulsor de la virtualización de redes. Estos son tres ejemplos de proyectos:
Seguridad del centro de datos Hemos analizado cómo la microsegmentación puede proteger cada carga de trabajo en el centro de datos con políticas de seguridad detalladas. El control centralizado y la automatización son igual de importantes para proteger cientos y cientos de cargas de trabajo. Cuando se crea una máquina virtual (VM, Virtual Machine), sus políticas de seguridad se adjuntan automáticamente a ella. Cuando la máquina virtual se mueve, las políticas la siguen. Cuando se desmantela la máquina virtual, las políticas se eliminan automáticamente. Con la automatización, no hay posibilidad de que las reglas de firewall se vuelvan obsoletas y creen una vulnerabilidad potencial.
RED DE SOCIOS DE SEGURIDAD DE VMWARE La seguridad es, por naturaleza, un entorno de proveedores múltiples en el centro de datos. Los controles de seguridad son nativos de NSX, lo que significa que brinda una plataforma para la integración. Los productos de seguridad líderes del sector se pueden implementar automáticamente y se adaptan de manera dinámica. Estos son algunos de los socios de seguridad de VMware: • Check Point
Protección de los entornos de usuarios de escritorios Con la microsegmentación, puede crear un perímetro personal de defensa alrededor del usuario de escritorio individual. Si el usuario descarga un virus, por ejemplo, la “zona desmilitarizada personal“ evitará la propagación desde el entorno de escritorio y cualquier otro entorno de escritorio que comparta información, y entre el entorno de escritorio y el centro de datos.
Zonas desmilitarizadas en cualquier lugar La microsegmentación le brinda la capacidad de aislar cualquier segmento y colocarlo dentro de dicha zona. Las políticas avanzadas y el cumplimiento no dependen de la dirección IP. La creación de una zona desmilitarizada ya no está restringida a un lugar específico en la red, pero sí se asocia con la carga de trabajo que está protegiendo. Incluso los “atributos“ no deben determinarse por topología ni convenciones de nomenclatura de firewall secretas. Los administradores pueden establecer políticas y servicios de seguridad que se mapeen a una carga de trabajo individual según el rol, el agrupamiento lógico (como todos los sistemas de Recursos Humanos) y el sistema operativo del escritorio o que incluso se mapeen a “todas las VM que manejen información sensible“.
• Fortinet
Conclusión
• Intel Security/McAfee
Las infracciones de alto perfil de centros de datos continúan causando daños e interrupciones costosos. En respuesta, las organizaciones de TI han aumentado la inversión en seguridad física tradicional, pero estas considerables inversiones no detuvieron el aumento de los ataques, por la simple razón de que la seguridad de red física, en especial los firewalls perimetrales, no son la respuesta completa a la seguridad de un centro de datos.
• Palo Alto Networks • Symantec • Trend Micro
Muchos consideran que la microsegmentación es un mejor modelo para los centros de datos, particularmente debido a que TI evoluciona hacia el modelo del centro de datos definido por software (SDDC, Software-defined Data Center) y de la nube híbrida. VMware NSX permite que la microsegmentación sea una realidad funcional. Por primera vez, los administradores pueden aplicar políticas detalladas para aislar y proteger las aplicaciones y las cargas de trabajo. La seguridad de red puede ser tan generalizada como los centros de datos lo requieran y tan dinámica como los activos que esta protege. Más información: vmware.com/latam/products/nsx
VMware, Inc. 3401 Hillview Avenue Palo Alto CA 94304 USA Tel 877-486-9273 Fax 650-427-5001 www.vmware.com/latam Copyright © 2016 VMware, Inc. Todos los derechos reservados. Este producto está protegido por las leyes de copyright y de propiedad intelectual de los EE. UU. e internacionales. Los productos de VMware están protegidos por una o más patentes enumeradas en http://www.vmware.com/go/patents. VMware es una marca registrada o marca comercial de VMware, Inc. en los Estados Unidos y otras jurisdicciones. Todas las demás marcas y nombres mencionados en este documento pueden ser marcas comerciales de sus respectivas empresas. N.° de elemento: 15VM061-Micro-Segmentation-Technical Brief-102_ES-LA 05/16
