No hay nada micro en la microsegmentación

Comencé mi exploración del espacio de la microsegmentación deconstruyendo semánticamente el título. ¿El resultado? Las soluciones de microsegmentación ayudan a definir segmentos de red tan pequeños como una sola entidad. Si bien creo que este es un enfoque útil para comprender la tecnología de manera intuitiva, mis pocas horas de investigación han demostrado que el alcance de la microsegmentación es enorme. Es tan grande que tengo que invalidar la definición inicial de «segmento de red de una entidad» para capturar la tecnología de la manera más exhaustiva posible. Esto significa que la microsegmentación no es un ejercicio de entidad única y no se define únicamente mediante construcciones de red.

La microsegmentación es una construcción de entidades múltiples

En términos absolutos, cuando define un microsegmento, dicta las políticas aplicadas a una sola entidad, permitiendo cierto tráfico o solicitudes mientras bloquea otras. Sin embargo, el tráfico siempre fluye entre dos entidades, por lo que se deben considerar ambos puntos finales.

En un extremo, tienes la entidad que deseas aislar, digamos un contenedor. Por otro lado, tienes todas las demás entidades que se comunicarán con el contenedor que deseas aislar. Vale la pena señalar que estas solicitudes probablemente sean bidireccionales, pero en aras de la simplicidad, asumiremos solo tráfico entrante.

Cuando se busca aislar un contenedor, las políticas sofisticadas (además de permitir/bloquear) deben considerar solicitudes de una amplia gama de entidades, incluidos otros contenedores, máquinas virtuales, desarrolladores y administradores, que funcionan como microservicios como servicio (FaaS). API externas, aplicaciones monolíticas, dispositivos IoT y dispositivos OT.

Las tecnologías subyacentes que pueden definir políticas entre contenedores y todos estos otros tipos de entidades incluyen interfaces de red de contenedores para la comunicación de contenedor a contenedor, mallas de servicios para la comunicación de contenedor de servicio a servicio, controladores de acceso para la carga de trabajo de la nube o del centro de datos. comunicación de contenedor, shell seguro para comunicación de administrador a contenedor, etc.

Rápidamente resulta obvio que la definición de estas políticas involucra muchos componentes que cubren todas las disciplinas. Algunas soluciones optan por utilizar agentes como punto único para gestionar políticas, pero las organizaciones prefieren cada vez más las soluciones sin agentes.

Cuando se trabaja con una solución de microsegmentación, las actividades diarias de definir y gestionar estas políticas no implicarán trabajar directamente con todas estas tecnologías porque abstraen todos estos aspectos y proporcionan una GUI intuitiva.

La razón por la que resalto esto es para evaluar una solución. Dependiendo de los tipos de activos que necesite proteger, las entidades respaldadas son, con diferencia, el aspecto más importante de la evaluación. Si desea proteger los dispositivos IoT, pero una solución no lo admite, debe excluirla inmediatamente.

La microsegmentación no se basa sólo en la red

Aquellos con experiencia en redes, incluido yo mismo, tomamos prestado el concepto de segmentación de los segmentos de red definidos por el firewall. Es útil y relevante, y puede ver este concepto trasladado a soluciones de firewall distribuidas proporcionadas por empresas como Aviatrix, VMware y Nutanix.

Pero hay otras dos formas de aislar entidades además de utilizar construcciones de red:

1. Utilizar la aplicación de políticas basadas en identidad. Esto ofrece controles que son independientes de las construcciones de red, como las IP. El acceso se puede regular mediante atributos como el tipo de sistema operativo, el estado del parche, el nombre de la máquina virtual, los grupos de Active Directory y las identidades nativas de la nube, como etiquetas, etiquetas y espacios de nombres. Las soluciones también pueden asignar etiquetas o categorizar entidades de forma nativa para eliminar dependencias de sistemas de etiquetado de terceros.
2. Uso de la aplicación de políticas basada en procesos. Por ejemplo, las soluciones de microsegmentación pueden monitorear los procesos que se ejecutan en cada entidad y capturar el contexto detallado de cada proceso y sus bibliotecas asociadas. Los hashes de procesos y bibliotecas se pueden evaluar con respecto a los datos de amenazas para identificar la ejecución de código malicioso y detectar variaciones de procesos buenos conocidos. Los procesos pueden incluir aplicaciones, servicios, demonios o scripts, y detalles como el nombre del proceso, la ruta, los argumentos, el contexto del usuario y los procesos principales. Si se detecta un proceso malicioso, la entidad queda aislada de la comunicación con el resto de la red.

Al final del día, no se pueden cortar las comunicaciones sin involucrar a la red, pero la política de microsegmentación en sí no tiene por qué depender de construcciones de red, como las 5 tuplas.

Los siguientes pasos

Al evaluar soluciones de microsegmentación, recomiendo abordarlas como diseñadores de políticas de seguridad altamente sofisticados. A menudo, una entidad sólo puede aislarse bloqueando puertos. Por lo tanto, la eficacia de la solución depende de si puede admitir todas las entidades que necesita proteger y de lo fácil que sea gestionar todas las permutaciones de políticas.

Para obtener más información, eche un vistazo a los informes Radar de microsegmentación y Criterios clave de GigaOm. Estos informes brindan una descripción general completa del mercado, describen los criterios que debe considerar en una decisión de compra y evalúan el desempeño de varios proveedores en función de esos criterios de decisión.

Si aún no es suscriptor de GigaOm, puede acceder a la investigación mediante una prueba gratuita.