¿Qué es la segmentación de red?
La segmentación de red es la práctica de dividir una red grande en múltiples redes lógicas o segmentos más pequeños. Las redes se segmentan por algunas razones, pero esto ocurre principalmente para mejorar la seguridad de la red y/o mejorar la experiencia del usuario.
¿Cómo se utilizan VLAN y VXLAN?
La segmentación de la red se logra mediante uno de los dos medios principales, pero cada uno es muy similar. Las redes virtuales de área local (VLAN) han sido el método principal de segmentación de redes durante décadas y no deberían ser un nuevo concepto. Las VLAN tienen una barrera inherente que ha demostrado ser una limitación a medida que la tecnología ha crecido, y es decir, están limitadas a solo 4.094 redes por dominio administrativo. Para superar esta limitación, se creó una red de área local extensible virtual (Virtual Extensible Local Area Network, VXLAN) que expandió ese número a 16 millones de redes por dominio administrativo. Las subredes, otro método de segmentación de red, utilizan direcciones IP para dividir una red en subredes más pequeñas, conectadas por dispositivos de red. Este enfoque no solo permite un rendimiento de red más eficiente, sino que también sirve para contener amenazas que se extienden más allá de una VLAN o subred en particular.
Mejora de la seguridad mediante la supervisión del tráfico este-oeste
Junto con la expansión de las redes disponibles, hay beneficios adicionales que provienen de la segmentación de la red. El primero es mejorar la seguridad de TI. Al segmentar la red, cualquier malware o violación en un segmento de la red se puede contener en ese segmento de red más pequeño, lo que hace que sea más difícil propagarse por toda la red.
Mejorar el rendimiento reduciendo las cargas de trabajo de capa 2
A continuación, la segmentación de la red puede mejorar la experiencia del usuario. Puede utilizar la segmentación para proporcionar una experiencia más personal a los usuarios finales. La segmentación de red también puede garantizar el rendimiento (ancho de banda) de un grupo o grupos de dispositivos al eliminar o reducir la congestión y la interferencia de la red. Poner a los usuarios invitados en un segmento de red separado del segmento de red corporativa que admite tráfico de datos críticos para el negocio también puede producir beneficios de rendimiento porque los dispositivos que participan en actividades críticas para el negocio ya no compiten con los visitantes que acceden a aplicaciones como la transmisión de vídeo.
La segmentación de la red termina en el firewall para mejorar la ciberseguridad
Cuando divide la red en segmentos, las amenazas que la hacen entrar en la red no pueden moverse lateralmente a través de los segmentos de red para propagarse fácilmente a otros dispositivos. Estos segmentos más pequeños también hacen que sea más fácil determinar de dónde provienen las amenazas porque están aislados en una red más pequeña en lugar de en una sola red grande. En relación con los beneficios de seguridad de TI, secuestrar algunos dispositivos y usuarios de otros también puede facilitar el cumplimiento normativo. Los dispositivos propiedad de TI y gestionados por TI son generalmente de bajo riesgo en comparación con los dispositivos BYOD internos e invitados, por lo que ser capaz de colocarlos en sus propios segmentos más pequeños tiene sentido.
Con la segmentación de la red implementada, si uno de estos dispositivos de mayor riesgo se ve comprometido, la amenaza no puede propagarse a recursos de TI más críticos en otros segmentos de red. Cuando este tráfico segmentado intenta cruzar el firewall, se puede bloquear e informar, lo que eleva la alerta antes de cualquier compromiso.
También puede decidir que ciertos dispositivos IoT están en mayor riesgo que otros dispositivos en la red y colocarlos en un segmento de red separado. Incluso podría poner todo tipo de dispositivos IoT en su propia red, separados de otros dispositivos y de otros recursos de red que desee proteger. Si bien es malo tener algún dispositivo en su red comprometido, la segmentación de la red le permite secuestrar esos dispositivos de otros para evitar que la amenaza se propague. Hay suficientes historias sobre botnets de IoT en Internet que la segmentación de red en apoyo de IoT merece consideración.
Segmentación de red para mejorar la experiencia del usuario
Los casos de uso de seguridad de TI se aplican a una amplia variedad de sectores, mientras que los casos de uso de experiencia del usuario tienden a ser más específicos del sector. La segmentación de red tiene mucho sentido en el sector de unidades multifamiliares (MDU). Una MDU es cualquier entorno caracterizado por la vivienda multifamiliar: piense en complejos de apartamentos, comunidades de ancianos, parques de vehículos recreativos, etc. Los dormitorios de la educación superior también encajan en este entorno.
Estos tipos de propiedades tienen cada vez más redes gestionadas de nivel empresarial en lugar del enfoque tradicional en el que cada residente se registra por separado con un proveedor de servicios de Internet. Esto proporciona el beneficio de una red de nivel empresarial en un entorno que normalmente se asemeja a un vecindario suburbano donde los residentes pierden conectividad cuando están fuera del alcance de su unidad. Una vez implementada una red de estilo empresarial, los administradores de red pueden ofrecer estas ventajas adicionales gracias a una infraestructura unificadora.
Microsegmentación para mejorar la privacidad y la seguridad del usuario
Los equipos de TI y los proveedores de servicios gestionados pueden utilizar esta infraestructura unificada para proporcionar redes personalizadas para los residentes. Cada unidad de una propiedad MDU tiene su propia red personal (VLAN/VXLAN) donde los residentes ven solo sus propios dispositivos y no los que pertenecen a los vecinos. Este aislamiento mejora la utilización de recursos en el cable ya que el número de dispositivos que responden a tramas de difusión ahora se limita a una sola unidad, no a toda la propiedad. Esta función también mantiene la privacidad de los residentes, ya que sus dispositivos y tráfico están aislados de sus vecinos, y tampoco pueden ver los dispositivos y el tráfico de sus vecinos.
Lo mejor de todo es que su SSID los sigue mientras visitan cualquier servicio del hotel con una red personalizada con conexión inalámbrica de extremo a extremo en todo el hotel. Es una gran experiencia de usuario para los residentes y puede ayudar a hacer que una propiedad atraiga y retenga a los residentes. Para la educación superior, las redes personales son una excelente manera de cumplir con las altas expectativas de los estudiantes en torno a Wi-Fi, una red de tipo “en casa”, pero en un entorno de residencia.
Cómo realizar la segmentación de red con RUCKUS
RUCKUS® Networks tiene todo lo necesario para permitir la segmentación de la red al admitir todos los estándares del sector IEEE. RUCKUS utiliza VLAN y VXLAN para habilitar la segmentación de red donde hay hasta 4.094 VLAN y 16 millones de VXLAN en la red. Como se discutió anteriormente, esta limitación no es específica de RUCKUS, sino que forma parte del estándar IEEE 802.1Q. La capacidad de las redes VXLAN para ampliar hasta 16 millones de “redes” en un solo dominio administrativo también añade un beneficio adicional: pueden abarcar múltiples segmentos de red física y áreas geográficas. Esto se hace por diseño, ya que las VXLAN existen como una superposición de capa 3 en la parte superior de la parte de capa 2 de la red.
El núcleo del motor de segmentación de red con RUCKUS es Cloudpath® Enrollment System, nuestro servicio en la nube (también disponible como software local) para una incorporación y acceso seguros a la red. La belleza del sistema Cloudpath es que puede utilizarlo sin puntos de acceso RUCKUS®, controladores SmartZone , o interruptores ICX®, pero la potencia total de la tecnología Cloudpath solo se obtiene cuando se combina con el controlador convergente RUCKUS, los puntos de acceso RUCKUS y los interruptores ICX®.
Con una red RUCKUS completa, los administradores pueden aprovechar las VLAN o VXLAN para lograr la segmentación de la red basada en sus necesidades y capacidades. Cuando utiliza Cloudpath para la segmentación de red, también obtiene la capacidad de asociar una identidad de usuario con cada dispositivo.
Dónde obtener más información
Obtenga más información sobre la segmentación de la red visitando la página de soluciones de RUCKUS sobre el tema, donde encontrará vídeos, un resumen de la solución y más. Incluso puede acceder a nuestro reciente estudio de caso con AVE Union, una propiedad de MDU que utiliza VLAN para proporcionar redes personales a los residentes. La segmentación de red ofrece muchos beneficios para las organizaciones empresariales. No dude en ponerse en contacto con su socio de RUCKUS si está interesado en implementar esta tecnología en su entorno.
¿Cuáles son las 3 ventajas principales de la segregación de redes (microsegmentación)?
Los tres objetivos principales de la segmentación de red son:
- Seguridad mejorada: La segmentación de red reduce la superficie de ataque al dividir una red plana en múltiples subredes o segmentos. Esta segregación restringe el movimiento lateral de los atacantes dentro de la red. Si un atacante incumple la red, solo tendría acceso a una parte limitada de la red, no a todo el sistema. Aquí es donde entra en juego la microsegmentación, proporcionando un nivel de seguridad más granular aplicando políticas de seguridad a nivel de carga de trabajo. Es una parte clave de una estrategia de “mínimo privilegio”, en la que cada segmento tiene solo el acceso que necesita y no más. Este enfoque es especialmente importante para proteger los datos confidenciales, como la información de tarjetas de crédito, de conformidad con estándares como el Estándar de seguridad de datos de la industria de tarjetas de pago (Payment Card Industry Data Security Standard, PCI DSS).
- Rendimiento mejorado: La segmentación de la red puede conducir a un mejor rendimiento de la red. Al segregar el tráfico de red, puede garantizar que los servicios críticos obtengan el ancho de banda que necesitan. Esto resulta especialmente útil en un entorno de centro de datos en el que es necesario gestionar de forma eficiente diferentes tipos de tráfico, como el tráfico de este a oeste (tráfico que fluye entre servidores de un centro de datos). La segmentación también puede ayudar a reducir la congestión al limitar el flujo de tráfico innecesario entre segmentos.
- Mayor control y supervisión: La segmentación de la red proporciona una mejor visibilidad y control de la red. Al dividir la red en partes más pequeñas, es más fácil supervisar el tráfico, identificar anomalías y detectar posibles infracciones. También permite un control de acceso más preciso, con diferentes niveles de confianza para diferentes segmentos. Por ejemplo, los puntos finales con datos confidenciales pueden aislarse de aquellos con un mayor riesgo de compromiso. Las tecnologías como las redes definidas por software (SDN) y la virtualización pueden hacer que este proceso sea más manejable y flexible.
Conclusión
Recuerde, aunque la segmentación de red puede mejorar significativamente su postura de ciberseguridad, no es una bala de plata. La segmentación de la red debe formar parte de una estrategia de defensa multicapa que incluya firewalls, mecanismos de autenticación y políticas de seguridad sólidas.
© 2023 CommScope, Inc. Todos los derechos reservados. CommScopey el logotipo de CommScope son marcas registradas de CommScope y/o susafiliados en los EE. UU. y otros países. Para obtener información adicional sobre marcas comerciales, consulte https://www.commscope.com/trademarks. Todos los nombres de productos, marcas comerciales y marcas comerciales registradas son propiedad de sus respectivos propietarios.
