Restrinja y contenga las amenazas con la segmentación de red

Contenga las amenazas con la segmentación de red

Una red abierta y sin segmentar es todo un regalo para los ciberatacantes.

Cuando un atacante encuentra y explota el punto de entrada más vulnerable, la red se puede convertir para él en lo que sería una tienda de caramelos para un niño. Una vez dentro, podría atacar otras partes de la red con un acceso más fácil y, en teoría, también cualquier cosa que esté conectada a ella: diseños o recetas de productos, controles de máquinas o incluso las finanzas de la empresa.

Y no solo las amenazas externas son un peligro para las redes sin segmentación. Las amenazas internas —sean empleados descontentos o errores humanos como los cambios incorrectos en el sistema— también pueden sembrar el caos cuando no existen fronteras en la red ni limitaciones de acceso.

Esa es la razón por la que la segmentación de la red debe formar parte de la estrategia de seguridad industrial de todas las empresas.

La segmentación de red divide la red en varias redes más pequeñas, permitiendo así definir zonas de confianza. Con este enfoque, se puede limitar el acceso de las amenazas externas a la seguridad y contener el daño que pudieran provocar. Y, además, a los empleados y socios empresariales les otorga derechos para acceder solo a los datos, activos y aplicaciones que necesitan.

Niveles de segmentación

Las LAN virtuales, también conocidas como VLAN, son la tecnología más común asociada a la segmentación. Estas VLAN son dominios de difusión existentes en el interior de una red conmutada. Permiten segmentar la red de forma lógica —por función, por aplicación, por organización, etc. — en lugar de físicamente.

Las VLAN pueden asegurar los dispositivos y los datos de dos formas diferentes: la primera, al evitar que los dispositivos en ciertas VLAN se puedan comunicar con dispositivos de otras VLAN; la segunda, al permitir utilizar un switch de nivel 3 (o un router) con funcionalidad de seguridad y filtrado para mejorar la protección de las comunicaciones entre dispositivos en diferentes VLAN.

No obstante, aunque las VLAN son una parte importante de la segmentación, solo son una solución entre todas las existentes. También deben utilizarse otros métodos de segmentación en los diferentes niveles de la arquitectura de red.

Un ejemplo de estos otros métodos es el uso de una zona desmilitarizada industrial (IDMZ, por sus siglas en inglés). Esta zona crea una barrera entre la empresa y las zonas industriales o de fabricación. Todo el tráfico entre dos zonas finaliza en ella, aunque eso no signifique que no se puedan seguir compartiendo datos de forma segura.

Otros métodos de segmentación a tener en cuenta incluyen las listas de control de acceso (ACL, por sus siglas en inglés), firewalls, redes privadas virtuales (VPN, por sus siglas en inglés), restrictores unidireccionales de tráfico y servicios de detección y de protección contra intrusiones (IPS/IDS, por sus siglas en inglés).

Piense de forma global

Al implementar la segmentación de la red, tenga en cuenta cómo se aplicará en toda su organización.

Algunas empresas despliegan firewalls desarrollados al efecto en instalaciones concretas, aunque esto puede conducir a la creación de "islas" de seguridad. Con esta estrategia, existirán firewalls diferentes en distintas ubicaciones, dificultando así el despliegue consistente de software o la gestión centralizada de esos despliegues.

No hay que olvidar tampoco las necesidades a largo plazo de la empresa cuando se diseñe la segmentación.

A menudo, las soluciones de seguridad diseñadas especialmente son demasiado rígidas: pueden satisfacer sus necesidades hoy pero no son lo suficientemente flexibles para evolucionar con su negocio y seguir haciéndolo —tanto en cuanto a seguridad como a operativa— en el futuro. Este tipo de soluciones, además, tienden a depender del conocimiento de un grupo reducido de personas, quienes, asimismo, en caso de irse de la empresa se llevarían con ellos un conocimiento vital para la seguridad o el mantenimiento.

Las soluciones para implementar la segmentación de red en su empresa deberían ser lo suficientemente flexibles para crecer con sus operaciones. Y también lo suficientemente estandarizadas para que el personal responsable pudiera utilizarlas y mantenerlas, independientemente de la planta en la que trabajen.

No se preocupe, pueden ayudarle

La segmentación de red es un concepto de IT bien conocido, pero en el mundo industrial aún debe abrirse paso. Las empresas industriales que la están desplegando descubren ahora los retos a los que deben enfrentarse para aplicarla en toda una Connected Enterprise. Entre ellos se encuentran los derivados de la gestión de los datos segmentados o el escalado de esa gestión para que esta pueda crecer con las operaciones de producción.

Si no está seguro por dónde empezar o qué método de segmentación utilizar, existen recursos gratuitos que pueden ayudarle.

Las guías de diseño Converged Plantwide Ethernet (CPwE, Ethernet convergente a nivel de planta) son un buen lugar para comenzar. Existen distintas guías disponibles sobre temas como IDMZfirewalls industriales y consideraciones sobre las redes que le ayudarán a segmentar su red con las últimas tecnologías y siguiendo las mejores prácticas de la industria.

Se trata de guías escritas de forma conjunta por Rockwell Automation y Cisco que constituyen la base sobre la que se han desarrollado otros proyectos y servicios de colaboración entre ambas empresas. Estas guías pueden ayudarle a segmentar y a asegurar su red. También ofrecemos formación, servicios de seguridad y de red, y las tecnologías necesarias para ponerlos en funcionamiento.

Josh Kass
Publicado 10 Diciembre 2018 Por Josh Kass, Product Manager, Network Security & Wireless, Rockwell Automation
  • Contacto:

Contacto

Rockwell Automation y nuestros socios ofrecen un excelente conocimiento para ayudarlo a diseñar, implementar y respaldar su inversión en automatización.

Últimas noticias

Suscríbase a Rockwell Automation y reciba las últimas noticias e información directamente en su bandeja de entrada.