La WAN definida por software ha dado paso a un nuevo enfoque de la segmentación y la seguridad de la red. Todos los principales proveedores de SD-WAN incluyen alguna forma de segmentación de red en sus productos, promoviendo la técnica como una forma de abordar la seguridad y el aislamiento de rutas.
Una estrategia de segmentación de red adecuada requiere que las empresas tengan un conocimiento sólido de sus sistemas y objetivos. Los proveedores de SD-WAN tienen sus propias definiciones de segmentación de red y ningún proveedor tiene una estrategia de segmentación cohesiva que aborde de forma holística las necesidades de una organización.
Es probable que surjan numerosas consideraciones en materia de segmentación, desde la autenticación y la autorización hasta la gestión de funciones y las políticas de seguridad, por lo que es fundamental investigar para crear una estrategia de segmentación de red eficaz mediante SD-WAN.
Las técnicas de segmentación heredadas siempre han supuesto un gran reto
Tradicionalmente, los equipos de red segmentaban las redes utilizando diversas herramientas para aislar las rutas entre los distintos procesos. Eran habituales varios esquemas de enrutamiento por etiquetas o instancias de enrutamiento virtualizado, al igual que las listas de control de acceso de seguridad (ACL).
Casi todos los métodos funcionaban en algún punto de la Capa 2 a la Capa 4, y la mayoría eran complicados y engorrosos de implantar y gestionar.
El aislamiento no dependía de la identidad, sino de la ubicación de la dirección IP. Este método funcionaba cuando una máquina ejecutaba un servicio o un usuario estaba en un dispositivo de punto final, pero esos días han quedado atrás.
Ahora tenemos múltiples servicios en un punto final, y los servicios se mueven o escalan dinámicamente en respuesta a una miríada de estímulos. El aislamiento basado estrictamente en una dirección IP ya no es suficiente ni escalable.
Además, la seguridad era rudimentaria, basada en la identidad o la ubicación, y gestionada por ACL que rápidamente se hacían difíciles de controlar incluso en volúmenes pequeños.
La aplicación de la seguridad de máquinas y aplicaciones no era mejor. Hacer un seguimiento de quién debería tener acceso a qué se convirtió en un ejercicio inútil y los errores en la precedencia de acceso de seguridad eran habituales. No es de extrañar que surgiera un nuevo enfoque de la segmentación.
Segmentación de red y SD-WAN
En esencia, el objetivo de la segmentación de red es impedir que un proceso atraviese la red lateralmente. En otras palabras, la instancia del procesador de textos de un usuario no tiene por qué acceder a una base de datos en el sistema de otro usuario.
Del mismo modo, un sistema front-end programado para acceder a una única base de datos no necesita comunicarse con otros sistemas de la red. Una buena estrategia de segmentación aísla los procesos únicamente a los componentes y sistemas a los que necesitan acceder.
Un obstáculo asociado a la estrategia de segmentación de red es la búsqueda entre las distintas herramientas de segmentación que ofrecen los proveedores de SD-WAN.
Algunos proveedores adoptan un enfoque más centrado en la red, basándose en el aislamiento de rutas y la segmentación en las capas 3 y 4, otros adoptan un enfoque más centrado en las aplicaciones a partir de la capa 7, y otros segmentan utilizando una combinación de tecnologías en diferentes capas.
Todos persiguen lo mismo, sin embargo, el objetivo es establecer una barrera de seguridad entre el sistema y los procesos del usuario.
Los incidentes de seguridad son habituales hoy en día y se producen con una frecuencia alarmante. Por tanto, los controles de seguridad deben ser una preocupación primordial a la hora de elegir cualquier producto SD-WAN.
No basta con segmentar la red de forma estática. Una buena plataforma SD-WAN debe auditar y responder a los eventos de seguridad casi en tiempo real, al tiempo que mitiga cualquier daño que pueda producirse en una brecha.
Otras características importantes de la segmentación empresarial son las siguientes:
- Despliegue automatizado;
- Soporte para el aislamiento de rutas;
- Una estrategia de acceso y autorización.
Pasar de una red tradicionalmente no segmentada a otra basada en un diseño altamente segmentado requiere una gran previsión y un sólido conocimiento de los requisitos empresariales.
Segmentar para hacer algo nuevo no es una buena razón para desplegar una estrategia de segmentación. Ningún proveedor tiene una estrategia de segmentación de red completa.
Los equipos de redes empresariales pueden superar el reto de unir varios productos dispares con sólo entender su red actual y por qué quieren segmentarla.
Acerca de Conversys
Conversys IT Solutions es un proveedor de servicios y soluciones de Tecnología de la Información y Comunicación con operaciones en todo Brasil.
Con un equipo técnico y comercial altamente cualificado y una red de socios que incluye a los principales fabricantes mundiales de tecnología, Conversys IT Solutions es capaz de ofrecer a sus clientes soluciones personalizadas para Infraestructuras de TI y Telecomunicaciones.
Invertimos en nuestros empleados y socios y nos esforzamos por mantener una relación duradera con nuestros clientes, pues creemos que así adquirimos las habilidades y conocimientos necesarios para innovar y crear valor para las empresas en las que operamos.
