La Microsegmentación para enfrentar las ciberamenazas

Por: Jonathan Morin

Sr. Product Marketing Manager for NSX at VMware

Generalmente disponible en la actualidad, VMware NSX para vSphere 6.4, establece una nueva norma en seguridad y planificación de las aplicaciones, e introduce la microsegmentación de contexto. 

Para quienes trabajan en el sector de la seguridad, pensar y hablar sobre las ciberamenazas que existen en el mundo es una constante, pero traigamos por un momento a nuestra memoria tiempos mejores. ¿Recuerda cuando las violaciones de seguridad no nos quitaban el sueño? La amenaza de una violación no implicaba costos de millones de dólares y la privacidad de nuestros usuarios. En realidad, sí ocurrían, pero no eran tan frecuentes ni tan conocidas como para causar la impresión que causan hoy. Poníamos un muro en el perímetro para que no pasaran los criminales… y rezábamos.

Bueno, regresemos a los tiempos modernos. Hoy sabemos que la historia es muy diferente, para bien o para mal. Las violaciones son más frecuentes, pero nuestras defensas son más avanzadas y, lo que es más importante, están en constante evolución (al igual que las infracciones). Una pieza importante de esta nueva imagen de la defensa es la microsegmentación. Con la microsegmentación, las normas de seguridad que tradicionalmente solo se aplicaban en el perímetro ahora se llevan a la aplicación. La microsegmentación ha ganado tracción masiva y ha entrado en la corriente principal, y la mayoría de los operadores de centros de datos y de la nube la están implementando o tienen intención de hacerlo. Hay innumerables historias de éxito, pero también hay desafíos. Llevar la seguridad a la aplicación abre una nueva serie de preguntas: ¿por dónde se debe empezar?, ¿cómo se tratará esto al cambiar las aplicaciones? Estas preguntas se agravan a medida que las aplicaciones se distribuyen más. Y, por supuesto, ¿cómo evolucionará la seguridad cuando las infracciones también evolucionen?.

VMware NSX fue pionera de la microsegmentación, pues empleó la capa de virtualización como el lugar ideal para implementar esta importantísima capacidad defensiva. NSX está lo suficientemente cerca de la aplicación para obtener un contexto valioso y aplicar seguridad granular, pero con la separación suficiente de la aplicación para aislar la NSX de la superficie de ataque (el punto final de la aplicación) en caso de un ataque pirata.

 

INTRODUCCIÓN A LA MICROSEGMENTACIÓN CON VISIBILIDAD DE CONTEXTO

Pero las ventajas arquitectónicas de NSX son solo una parte de la historia. Al llevar las normas de seguridad de la red solo más allá de las direcciones IP y los puertos, NSX ha estado utilizando durante años atributos en el contexto de la aplicación (nombre de VM, versión del sistema operativo, alcance regulatorio y más) para crear normas. Este enfoque no solo es más seguro, sino más adecuado y se puede automatizar fácilmente, en comparación con las normas basadas en ideas como las direcciones IP, que a menudo cambian. Con VMware NSX para vSphere 6.4, VMware lleva esto a un nuevo nivel con Context-Aware Micro-segmentation (Microsegmentación con visibiliadad de contexto), lo que redunda en una mejor seguridad de las aplicaciones al utilizar todo el contexto de la aplicación.

¿QUÉ HAY DE NUEVO? 

Gran parte del contexto de la aplicación que NSX utiliza se ha aceptado desde hace algún tiempo, ¿qué hay de nuevo entonces?

  • Detección y aplicación de la aplicación de flujo de red en la Capa 7: Aunque las herramientas de NSX como el Endpoint Monitoring miran dentro de la aplicación, la capa de red también debe tener la posibilidad  de distinguir desde su propia y singular posición qué aplicación se está ejecutando. Con NSX para vSphere 6.4, NSX realiza la Deep Packet Inspection/Inspección profunda de paquetes (más allá del encabezado TCP/UDP) para identificar la aplicación en el flujo de la red. De esta forma, las normas de microsegmentación desde el punto de vista de la red no tienen que depender únicamente de la información quintuplicada para inferir de qué aplicación se trata. Comenzamos con un conjunto básico de más de cincuenta firmas de aplicaciones que se encuentran por lo general en el centro de datos este-oeste y en el tráfico de la nube que crecerá con el tiempo. Piense en HTTP, SSH, DNS, etc.
  • Seguridad de sesión de escritorio virtual y remoto (RDSH) por usuario: Uno de los puntos de partida más populares para la microsegmentación ha sido asegurar los escritorios virtuales. Es sencillo y bloquea un área que, de lo contrario, sería vulnerable: entre los escritorios virtuales no debe circular tráfico. En algunos entornos, es simple de implementar. Pero en muchos entornos, diferentes usuarios ejecutan sesiones de escritorio en un solo anfitrión. Con la versión más reciente, NSX puede implementar la seguridad en estos entornos en función del usuario y de aquello a lo que deben tener acceso. Esto también abre este caso de uso a una variedad mucho más amplia de entornos, entre ellos Citrix y Microsoft.

HACER LAS COSAS MÁS FÁCILES … 

  • Administrador de reglas de aplicaciones: Además de ser más intuitiva las normas y estar impulsadas por las aplicaciones, VMware también está dedicando mucho tiempo a modelar las personas y los procesos involucrados en las implementaciones de NSX y la implementación de microsegmentación, y seguimos agregando herramientas que ayudan a los usuarios a realizar con éxito sus implementaciones. Por ejemplo, ha habido un uso generalizado de vRealize Network Insight para obtener una amplia visibilidad, lo que ayuda a los usuarios y administradores a tener una idea más completa de lo que sucede en todo el centro de datos. A partir de NSX para vSphere 6.3, el Application Rule Manager (Administrador de reglas de aplicaciones), toma los flujos permitidos observados en la red y envía las políticas directamente al cortafuego distribuido con unos pocos clics. Con NSX para vSphere 6.4, el Administrador de reglas de aplicaciones no solo sugiere reglas, sino que también sugiere grupos de seguridad de aplicaciones para ayudar a construir una estrategia de microsegmentación más cohesiva y adecuada en todo el centro de datos. Un cliente del programa Beta utilizaba el Administrador de reglas de aplicaciones por primera vez y descubrió que le tomaba un tercio del tiempo microsegmentar sus aplicaciones.
  • Mejoras en la facilidad de uso: También encontrará usted integración con la GUI de HTML5 vSphere, lo que simplifica la GUI y representa un paso impactante en una jornada de HTML5, mejoras en el tablero y registro, una experiencia de actualización completamente rediseñada con el Upgrade Coordinator (Coordinador de actualizaciones) y una larga lista de mejoras operativas que encontrará mirándole desde las notas de la versión.

MUCHÍSIMO MÁS …

Aun cuando estos casos de uso de NSX centrados en la seguridad han progresado, nuestra plataforma de virtualización de red favorita también ha agregado un conjunto completo de funcionalidades centradas en la red. En las mismas notas de la presentación, usted verá nuevas características de enrutamiento (NAT64 para traducción de IPv6 a IPv4, BGP y enrutamiento estático sobre GRE), capacidad de JSON para automatización personalizada, mejoras de varios sitios con CDO, numerosas mejoras de escala, mejoras de resistencia (BFD, tolerancia frente a fallos de ESG, tolerancia frente a fallos de L3VPN), monitores de condición y mucho más para relacionar aquí. Será conveniente volver a consultar este blog en las próximas semanas a medida que continuemos desempacando las bondades de NSX para vSphere 6.4.

Cuando las amenazas contra la seguridad continúan evolucionando, también deben hacerlo nuestras defensas. Sin embargo, buscar el perfeccionamiento de nuestros controles de seguridad es solo la mitad de la batalla. También deben ser fáciles de implementar y manejar para poder operar a escala. VMware NSX para vSphere 6.4 se desarrolló con estos dos objetivos en mente. Felicitaciones a nuestros clientes que se han unido a nosotros y nos han brindado valiosos comentarios que han impulsado gran parte de la innovación en NSX para vSphere 6.4, disponible ahora. Esperamos continuar trabajando con todos ustedes a medida que avanzamos en esta travesía.