Síguenos:
Ciberseguridad
20 de Septiembre de 2016

Microsegmentación: un nuevo tipo de seguridad para entornos virtualizados

Microsegmentación: un nuevo tipo de seguridad para entornos virtualizados

Microsegmentación: un nuevo tipo de seguridad para entornos virtualizados

Escrito por , 20/09/2016

Las redes overlays son ya una realidad en los data centers y la aplicación más existosa de SDN hasta el momento, como explicaba en un post anterior. Hoy me centraré en uno de sus principales casos de uso: la microsegmentación.

El modelo tradicional de seguridad de redes se basa en una pieza clave, el firewall o cortafuegos, un dispositivo que permite o deniega el tráfico en base a un conjunto de reglas definidas por el administrador. En una primera fase estas reglas se basaban en direcciones IP y puertos TCP/UDP. Los firewalls de nueva generación introdujeron la capacidad de filtrar en función de la aplicación (Facebook, Google…).

Aunque en algunos CPD pueden encontrarse hasta tres niveles de seguridad, en un data center de cliente lo normal es encontrar dos niveles de cortafuegos: el denominado perimetral, que se encarga de garantizar el acceso seguro a Internet y de proteger a los portales públicos corporativos, y una segunda capa que protege los servidores de aplicaciones y los servicios internos de la compañía. Este modelo, que funciona y sigue vigente, tiene una deficiencia fundamental. El cortafuegos aisla el tráfico entre redes en función de la política de seguridad definida, pero todos los elementos de una misma red pueden “verse” sin ningún tipo de control. Este riesgo ha sido asumible por las organizaciones hasta la llegada y explosión de la virtualización, que ha multiplicado el número de servidores en cada red.

La solución ha llegado entonces de la mano de SDN y de la microsegmentación. Para entender su funcionamiento cabe recordar los componentes de un entorno virtualizado: máquinas virtuales (VMs), hipervisor y el conmutador virtual.

En este escenario, la microsegmentación es una tecnología que consiste en habilitar la capacidad de filtrado de un firewall en cada uno de los interfaces de una máquina virtual. Este cortafuegos específico puede ser clásico o de nueva generación (generalmente con integraciones de fabricantes de seguridad especializados).

A estas alturas normalmente surge una pregunta, que es cómo administrar dos o tres firewalls por cada una de las cientos de máquinas virtuales que suele haber ya en cualquier data center. La respuesta es sencilla: la microsegmentación permite gestionar todos estos cortafuegos virtuales como un único firewall virtual distribuido, gracias a políticas basadas en objetos y no en direcciones IP.

El avance tecnológico que supone la microsegmentación es enorme. Ahora cada máquina virtual puede estar protegida con todo grado de detalle en los flujos permitidos incluso con los distintos tipos de elementos que haya en su red; de esta forma se mitiga en gran parte el peligro que supone que, una vez comprometido un servidor, sea posible saltar a cualquier otra máquina virtual de su red.

La microsegmentación es, por tanto, una nueva parte de la arquitectura de seguridad del data center, complementaria a los firewalls actuales. Una herramienta más para proteger las aplicaciones del cliente.

Pero la capacidad de esta nueva tecnología sigue creciendo. Ya hay productos en el mercado capaces de generar reglas dinámicas en el firewall virtual distribuido, de forma que cuando se genera una nueva máquina virtual es detectada y, en base a sus características, es asignada automáticamente a las reglas ya existentes. Por ejemplo, la creación de un nuevo portal web va asociada a su inclusión inmediata (sin intervención manual) en todas las políticas de seguridad para servidores frontales.

Esta nueva característica de la microsegmentación es, sin duda, una auténtica revolución en el proceso de provisión de servicos IT que se sigue actualmente en las empresas. Y no será la última.

Imagen: Blue Coat Photos

Sobre el autor

Roberto Fraile Herrera

Roberto Fraile Herrera

Ingeniero de Telecomunicaciones con más de 15 años de experiencia. Trabajo para Grandes Clientes desde el área de Ingeniería especializada de redes LAN de Telefónica España. Apasionado de la tecnología y la transformación a la que nos lleva. Inquieto por definición, siempre abierto a aprender.
Ver todos sus artículos »