La seguridad de red es un término amplio que cubre una multitud de tecnologías, dispositivos y procesos.
En su término más simple, es un conjunto de reglas y configuraciones diseñadas para proteger la integridad, confidencialidad y accesibilidad de las redes informáticas y los datos utilizando tecnologías de software y hardware.
Cada organización, independientemente de su tamaño, industria o infraestructura, requiere cierto grado de soluciones de seguridad de red para protegerla del panorama cada vez mayor de amenazas cibernéticas en la actualidad.
Las arquitecturas de seguridad de red o de ciberseguridad de tu organización son muy importantes para poder proteger a tu organización frente a amenazas externas.
Las amenazas cibernéticas y las infracciones de seguridad cibernética se presentan de diversas formas y evolucionan continuamente.
De ahí que sea pertinente que una organización como la suya esté altamente alerta en materia de seguridad de red y familiarizada con las principales arquitecturas, medidas y estrategias para militar contra posibles amenazas.
Sin una seguridad de red sólida, su organización es vulnerable a una serie de amenazas. Siga leyendo para conocer el propósito de la arquitectura de ciberseguridad.
¿Qué es la Arquitectura de Seguridad de Red o de Ciberseguridad?
La arquitectura de ciberseguridad, también conocida como " arquitectura de seguridad de red ", es un marco que especifica la estructura organizativa, los estándares, las políticas y el comportamiento funcional de una red informática, incluidas las características de seguridad y de red.
La arquitectura de seguridad de red también es la forma en que se organizan, sincronizan e integran varios componentes de su sistema informático o cibernético.
Un marco de arquitectura de seguridad de red o de cibersegurida es un componente de la arquitectura general de un sistema. Está diseñado y construido para brindar orientación durante el diseño de un producto/sistema completo.
La arquitectura de seguridad de red ayuda a posicionar los controles de seguridad y las contramedidas de incumplimiento y cómo se relacionan con el marco general de sistemas de su empresa.
El objetivo principal de estos controles es mantener los atributos de calidad críticos de su sistema, como la confidencialidad, la integridad y la disponibilidad.
También es la sinergia entre el conocimiento del hardware y el software con la competencia en programación, las habilidades de investigación y el desarrollo de políticas.
Veamos a continuación las arquitecturas de seguridad de red o tipos de seguridad de red usadas hoy en día.
Seguridad de red perimetral tradicional
La seguridad perimetral de la red tradicional se compone de muchas partes diferentes, todas las cuales trabajan juntas para proporcionar una solución de seguridad para la red.
Tradicionalmente, la seguridad de la red comenzará con la autenticación del usuario, generalmente utilizando un nombre de usuario y contraseña (clave de seguridad de red)
Este método también se conoce como autenticación de un factor, con la autenticación de dos factores habrá otro elemento que se debe verificar, como un teléfono móvil, una unidad USB o incluso algún tipo de token.
En el extremo más avanzado del espectro, también hay una autenticación de tres factores, que involucrará la biología o biometría del usuario, como la retina o la exploración de huellas dactilares.
Una vez que se haya verificado al usuario, un firewall se asegurará de que se siga el protocolo de acceso al establecer restricciones sobre lo que el usuario puede acceder dentro de la red.
Este es un método muy efectivo para evitar que las personas accedan a la red cuando no están autorizadas. Además, las comunicaciones entre dos hosts en la red se pueden cifrar para proporcionar un nivel adicional de seguridad a la red.
Algunas empresas también pueden implementar honeypots. Un honeypot es esencialmente un recurso de red que actúa como un señuelo dentro de la propia red.
Estos pueden usarse como una herramienta de vigilancia o como un sistema de alerta temprana porque los honeypots no se usan para ningún propósito comercial legítimo.
Esto significa que si se accede a un honeypot, normalmente algo está mal. Los ataques a los honeypots pueden ser analizados por equipos de seguridad para mantenerse al día con nuevos ataques.
Estos resultados se pueden aplicar para aumentar aún más el nivel de seguridad de red real al resaltar las vulnerabilidades desconocidas anteriormente.
De manera similar a los honeypots, las redes de malla son redes de señuelo que se configuran con fallas de seguridad deliberadas.
Estos están diseñados para atraer a los atacantes a fin de que puedan analizarse sus métodos para aumentar la seguridad de red real. Actualmente, cada vez más empresas utilizan la segmentación de la red y la agregan a sus sistemas para reforzar su seguridad.
A pesar de los aspectos positivos de la seguridad perimetral tradicional, este procedimiento no es completamente confiable para evitar que los troyanos y los gusanos informáticos se propaguen a través de su red.
Tradicionalmente, para combatir esto se utilizará un software antivirus o un sistema de prevención de intrusiones. Pueden detectar y prevenir la propagación de estos ataques.
Además, si bien este sistema es excelente para prevenir amenazas externas, no es efectivo para prevenir amenazas internas.
A medida que aumenta el número de personas que trabajan de forma remota desde su propio dispositivo, también aumenta el riesgo de que los dispositivos contaminados se conecten a la red de la empresa, lo que podría poner en riesgo la red.
Esto ha llevado a la creciente popularidad de las arquitecturas Zero-Trust.
VPNs de acceso remoto
Una VPN ( red privada virtual ) trabaja para crear una red privada a través de una red que inicialmente es pública.
Esto permite al usuario de la VPN enviar y recibir datos de la misma manera que si estuvieran realmente conectados a la red privada principal.
Esto significa que cualquier aplicación que se ejecute a través de una VPN podrá utilizar las funciones, funciones de seguridad y administración de la red privada a la que está conectada la VPN.
La tecnología VPN se desarrolló inicialmente para permitir que los usuarios remotos y las diferentes sucursales de la oficina tuvieran acceso a las aplicaciones y otros elementos que se alojarían en la red de la sucursal de la oficina principal. Para obtener acceso a la VPN, los usuarios deben autenticarse usando una contraseña o Certificados de seguridad.
Cuando una empresa utiliza la tecnología VPN, puede ayudar a garantizar que los trabajadores remotos y otras oficinas puedan establecer una conexión segura a la red de la oficina central sin el riesgo de que un atacante se infiltre en la red a través del usuario remoto.
Segmentación de la red
En el contexto de las redes de computadoras, la práctica de la segmentación de redes es cuando se divide una red de computadoras en un grupo de subredes. Cada una de estas subredes se denomina segmento de red.
Una de las ventajas de seguridad de segmentar sus redes es que cualquier difusión de los segmentos se mantendrá dentro de la propia red interna. Como resultado de esto, la estructura de la red solo será visible en el interior.
Otra ventaja de segmentar sus redes es que si un segmento de su red se ve comprometido, hay un espacio de superficie reducido para que un atacante se mueva.
Además, ciertos tipos de ataques cibernéticos solo funcionan en redes locales, lo que significa que si segmenta las diferentes áreas de sus sistemas, tome estas decisiones según su uso.
Por ejemplo, si tuviera que crear redes separadas para su base de datos, servidores web y dispositivos de sus usuarios, esto ayudaría a mantener su red un poco más segura.
La segmentación de la red también se puede utilizar para garantizar que las personas solo tengan acceso a los recursos que necesitan.
Esto se llevaría a cabo distribuyendo tácticamente sus recursos a varias redes y asignando individuos específicos a cada segmento de la red.
El uso adecuado de la segmentación de la red para mejorar los niveles de seguridad de red implicaría dividir la segmentación de su red en esas subredes diferentes y otorgar a cada subred un cierto nivel de autorización requerida para el acceso.
Luego, debe tomar medidas para asegurarse de que se haya implementado un protocolo para restringir lo que puede moverse entre cada subred.
Controles de acceso basados en roles
Los controles de acceso basados en roles (RBAC) ayudan a restringir el acceso a ciertos sistemas, según el nivel de autorización que un usuario tenga.
Una gran mayoría de las empresas con más de 500 empleados hacen uso de controles de acceso basados en roles y, con mayor frecuencia, las pequeñas y medianas empresas están empezando a utilizar esta tecnología.
Para hacer el uso más efectivo de RBAC, una compañía dividirá sus perfiles de usuario por ciertas categorías. En general, se basarán en el rol del trabajo, el nivel de antigüedad y los recursos que cada individuo necesitará en función de los dos primeros factores.
Por ejemplo, si una organización utilizara RBAC y un miembro junior del equipo de finanzas iniciara sesión en su red, el empleado tendría acceso a los datos financieros de nivel inferior que deberán ver dentro de su función laboral.
Sin embargo, su acceso se limitaría a esto. No podrían, por ejemplo, ver ningún archivo o información relacionada con el equipo legal o archivos que solo deben ser vistos por miembros del equipo financiero de mayor rango, como el Director Financiero.
Cuando una empresa utiliza RBAC, puede ser una forma increíblemente efectiva de asegurarse de que los datos confidenciales solo sean vistos por las personas que tienen permiso para verlos. También puede ayudar a prevenir fugas internas deliberadas de información.
Perímetro definido por software (SDP)
¿Qué es un perímetro definido por software?
Una de las formas en que puede crear una arquitectura de cero confianza dentro de su organización es crear o usar un SDP. Veremos qué es un SDP para que pueda hacer eso.
Dado que el almacenamiento en la nube se ha vuelto más común en la actualidad, ha habido un mayor riesgo de ataques cibernéticos en estos sistemas en la nube debido a que los servidores en la nube no pueden protegerse con las medidas de seguridad perimetrales tradicionales.
Esto llevó a la creación de Perímetro definido por software en 2013. Perímetro definido por software es un grupo de trabajo de investigación. Su objetivo principal es crear un sistema de seguridad que pueda ayudar a prevenir ataques en sistemas en la nube.
Cualquier hallazgo de su investigación será de uso gratuito para el público y no estará sujeto a ninguna tarifa de uso ni a ninguna otra restricción.
Desde el inicio del grupo de trabajo, decidieron intentar enfocarse en construir una solución de seguridad que sea rentable, pero aún así increíblemente flexible y efectiva. Durante su trabajo, el equipo identificó tres requisitos de diseño esenciales.
En primer lugar, decidieron que su arquitectura de seguridad necesitaría confirmar el ID del usuario, el dispositivo que están usando y los permisos que tienen para acceder a ciertos directorios.
Luego, decidieron que la verificación mediante criptografía (que también se usa como tecnología fundamental detrás de lo que todos conocemos hoy como blockchain ) sería la mejor opción para garantizar que se aplicaría su protocolo de seguridad. Finalmente, se decidió que las herramientas necesarias para lograr los dos primeros requisitos son herramientas de seguridad que tienen un historial probado y están en el dominio público.
SDP tomó la decisión de que su arquitectura de seguridad debería basarse en un canal de control. Este canal de control haría uso de componentes estándar que el equipo pensó que serían los más adecuados para la tarea. Estos componentes fueron SAML, PKI y TLS mutuo.
El grupo de trabajo finalmente publicó un documento basado en esta idea para evaluar si había o no demanda de tal sistema. Aquí es donde lo llamaron Perímetro definido por software.
Hubo mucho interés en el trabajo que estaba haciendo SDP y esto llevó al lanzamiento de la versión uno de sus sistemas en abril de 2014.
Su primer diseño fue el de un host de inicio, que le daría al controlador información sobre qué dispositivo está utilizando y quién lo está utilizando.
Esta información se transmitiría junto con una conexión TLS mutua. Una vez hecho esto, el controlador se conectará a una CA emisora para confirmar la identidad del dispositivo y también se conectará a un proveedor de ID para que puedan verificar la identificación del usuario.
Una vez que se haya confirmado esta información, el controlador proporcionará una o varias conexiones TLS mutuas, estas conexiones enlazarán el host de iniciación mencionado anteriormente y cualquier host de aceptación requerido. Este sistema funciona con un efecto significativo, ya que puede evitar cualquier tipo de ataque de red, incluidos Man-in-the-Middle , DDoS y Amenaza Persistente Avanzada .
La arquitectura de SDP versión uno
Los productos SDP originales para uso comercial se implementaron utilizando una red de superposición para aplicaciones empresariales, como el acceso remoto a datos de alto valor o para proteger el sistema de la nube de ataques. El host de inicio para el SDP tomó la forma del cliente y el host de aceptación se convirtió en la puerta de enlace.
Cliente SDP
El propio cliente SDP es responsable de una gran variedad de funciones. Dos de estos incluyen la verificación del dispositivo que se está utilizando y la identificación del usuario que se está utilizando, así como el enrutamiento de las aplicaciones incluidas en la lista blanca a las aplicaciones protegidas que han sido autorizadas.
El Cliente SDP tiene una configuración en tiempo real para asegurarse de que la conexión VPN TLS mutua solo esté vinculada a los elementos que el usuario individual está autorizado a usar.
Esto significa que el cliente SDP cumple la función de imponer restricciones al acceso a ciertos puntos de datos según el nivel de autoridad del usuario. Esto se lleva a cabo después de que la ID del usuario y el dispositivo hayan sido verificados.
Puerta de enlace SDP
La puerta de enlace SDP sirve como el punto donde se termina la conexión TLS mutua con el cliente SDP. En un sentido topológico, la puerta de enlace se implementará para estar tan cerca de la aplicación protegida como sea práctico.
La puerta de enlace SDP recibirá la dirección IP y su certificado, una vez que se haya confirmado la identidad del dispositivo que solicita el acceso y se haya revelado su nivel de permiso.
Controlador SDP
El Controlador SDP cumple la función de un intermediario de confianza entre las funciones de seguridad backend, como el Proveedor de Identidad y la Autoridad de Certificación, para el propio Cliente SDP.
Una vez que el cliente SDP haya logrado la verificación y se haya examinado el nivel de autoridad para el usuario, el controlador SDP comenzará a configurar el cliente SDP y la puerta de enlace SDP para que puedan establecer una conexión en tiempo real a través de un TLS mutuo.
Propiedades de seguridad de la arquitectura SDP
Cuando implementas correctamente estas tres características, la arquitectura SDP puede proporcionar una propiedad excelente y única para tu sistema de seguridad. Estas características se enumeran a continuación.
Ocultar información
No hay información de DNS, ni hay puertos visibles dentro de la infraestructura de aplicación protegida. Debido a esto, los activos que están protegidos por SDP se denominan activos "oscuros" porque no se pueden descubrir, incluso si los busca.
Autenticación previa
La identidad del dispositivo que intenta acceder siempre se verificará antes de otorgarle una conexión. La identidad del dispositivo se confirmará mediante un token de MFA que se integrará en el TCP o en la arquitectura TLS mutua.
Los usuarios con autorización previa en un sistema SDP solo tienen acceso a los servidores a los que necesitan acceder debido a su función. El sistema utilizado para confirmar la identidad comunicará las autorizaciones del usuario al controlador SDP. Esto se lleva a cabo utilizando una aserción SAML.
Acceso a la capa de aplicación
Incluso cuando a un usuario se le otorga acceso a la aplicación, esto solo será a nivel de aplicación y no a nivel de red. El SDP también incluirá en la lista blanca ciertas aplicaciones en el dispositivo que está utilizando el host, lo que ayuda a mantener las comunicaciones del sistema en un nivel de aplicación a aplicación.
Extensibilidad
La arquitectura de SDP se crea en la parte posterior de varias partes diferentes basadas en estándares. Estos incluyen certificados mutuos de TSL, SAML y seguridad.
Debido a que se compone de partes basadas en estándares, la arquitectura SDP se puede vincular e integrar fácilmente con otros tipos de sistemas de seguridad, incluidos los sistemas de cifrado de datos y los sistemas de certificación remota.
Mediante el uso combinado de la autenticación previa con las autorizaciones previas, las empresas pueden crear redes que son invisibles para los hosts no identificados, mientras que solo proporcionan los permisos necesarios para los usuarios conocidos, según su función organizativa.
Una de las partes clave de SDP es que la autenticación previa y la autorización previa deben ocurrir antes de que se otorgue una conexión TCP entre el usuario y la aplicación protegida.
Además de esto, a los usuarios autorizados solo se les otorgarán permisos para ciertas aplicaciones para garantizar que los dispositivos comprometidos no puedan moverse lateralmente a través de la red.
