La segmentación de redes en las redes de computadoras es el acto o la práctica de dividir una red de computadoras en subredes , cada una de las cuales es un segmento de red . Las ventajas de dicha división son principalmente para aumentar el rendimiento y mejorar la seguridad.
Ventajas
- Congestión reducida : se logra un rendimiento mejorado, porque en una red segmentada hay menos hosts por subred, minimizando así el tráfico local
- Seguridad mejorada :
- Las transmisiones estarán contenidas en la red local. La estructura de la red interna no será visible desde el exterior.
- Hay una superficie de ataque reducida disponible para pivotar si uno de los hosts en el segmento de red se ve comprometido. Los vectores de ataque comunes, como LLMNR y el envenenamiento de NetBIOS , pueden aliviarse parcialmente mediante la segmentación adecuada de la red, ya que solo funcionan en la red local. Por esta razón, se recomienda segmentar las distintas áreas de una red por uso. Un ejemplo básico sería dividir los servidores web, los servidores de bases de datos y las máquinas de usuario estándar, cada uno en su propio segmento.
- Al crear segmentos de red que contienen solo los recursos específicos de los consumidores a los que autoriza el acceso, está creando un entorno de privilegios mínimos [1] [2]
- Contener problemas de red : limitar el efecto de fallas locales en otras partes de la red.
- Control del acceso de visitantes : el acceso de visitantes a la red se puede controlar mediante la implementación de VLAN para segregar la red.
Seguridad mejorada
Cuando un ciberdelincuente obtiene acceso no autorizado a una red, la segmentación o "zonificación" puede proporcionar controles efectivos para limitar el movimiento adicional a través de la red. [3] PCI-DSS (Estándar de seguridad de datos de la industria de tarjetas de pago) y estándares similares brindan orientación sobre cómo crear una separación clara de datos dentro de la red, por ejemplo, separando la red para autorizaciones de tarjetas de pago de aquellas para puntos de servicio (hasta ) o tráfico wi-fi de clientes. Una política de seguridad sólida implica segmentar la red en varias zonas, con diferentes requisitos de seguridad, y hacer cumplir rigurosamente la política sobre lo que se permite moverse de una zona a otra. [4]
Controlar el acceso de visitantes
Las finanzas y los recursos humanos normalmente necesitan acceso a través de su propia VLAN a sus servidores de aplicaciones debido a la naturaleza confidencial de la información que procesan y almacenan. Otros grupos de personal pueden requerir sus propias redes segregadas, como administradores de servidores, administración de seguridad, gerentes y ejecutivos. [5]
Por lo general, se requiere que los terceros tengan sus propios segmentos, con diferentes contraseñas de administración para la red principal, para evitar ataques a través de un sitio de terceros comprometido y menos protegido. [6] [7]
Medios de segregación
La segregación generalmente se logra mediante una combinación de firewalls y VLAN (redes de área local virtual). Las redes definidas por software (SDN) pueden permitir la creación y gestión de redes microsegmentadas.
Ver también
Referencias
- ↑ Carter, Kim (2019). "Red: Identificar riesgos" . Info-Sec holístico para desarrolladores web . Leanpub . Consultado el 11 de abril de 2019 .
- ^ Carter, Kim (2019). "Red: Falta de segmentación" . Info-Sec holístico para desarrolladores web . Leanpub . Consultado el 11 de abril de 2019 .
- ^ Reichenberg, Nimmy (20 de marzo de 2014). "Mejora de la seguridad mediante una adecuada segmentación de la red" . Semana de la seguridad .
- ^ Barker, Ian (21 de agosto de 2017). "Cómo la segmentación de la red puede ayudar a contener los ciberataques" . betanews.com . Consultado el 11 de abril de 2019 .
- ^ Reichenberg, Nimmy; Wolfgang, Mark (24 de noviembre de 2014). "Segmentación por seguridad: cinco pasos para proteger su red" . Mundo de la red . Consultado el 11 de abril de 2019 .
- ^ Krebs, Brian (5 de febrero de 2014). "Target Hackers rompió en Via HVAC Company" . KrebsonSecurity.com .
- ^ Fazio, Ross E. "Declaración sobre la violación de datos de Target" (PDF) . faziomechanical.com . Servicios mecánicos Fazio. Archivado desde el original (PDF) el 28 de febrero de 2014 . Consultado el 11 de abril de 2019 .