Cómo evaluar su centro de datos.Para lograr un modelo de seguridad Zero Trust, debe conocer y evaluar los activos en su centro de datos para poder priorizar la protección de los activos más valiosos primero, determinar quién debe tener acceso a esos activos y comprender los principales riesgos para esos activos.
Comprender a los usuarios que acceden a los activos, las aplicaciones permitidas y la red en sí misma le permite evaluar lo que necesita y en lo que confía, para que pueda elaborar una política de seguridad de mejores prácticas del centro de datos que permita solo el acceso de usuarios y aplicaciones que tengan legitimidad. fines comerciales en la red.
Inventario del entorno del centro de datos—Inventar los entornos de centros de datos físicos y virtuales, incluidos servidores, enrutadores, conmutadores, dispositivos de seguridad y otra infraestructura de red, e inventariar las aplicaciones del centro de datos (incluidas las aplicaciones personalizadas desarrolladas internamente) y las cuentas de servicio.
Evalúe cada sistema en función de su papel en la red y su importancia para la empresa para priorizar qué partes de la infraestructura física y virtual proteger primero. Por ejemplo, si su negocio involucra transacciones con tarjeta de crédito, los servidores que manejan las transacciones con tarjeta de crédito y la vía de comunicación para el tráfico que transporta información de tarjeta de crédito son activos extremadamente valiosos cuya protección debe priorizarse.
Examine al menos 90 días de registros de tráfico para inventariar las aplicaciones en la red del centro de datos. Cree un informe personalizado basado en la base de datos de aplicaciones del centro de datos para ayudar a identificar las aplicaciones existentes del centro de datos. Use el inventario de aplicaciones del centro de datos para desarrollar una lista blanca de aplicaciones que desea sancionar o tolerar en la red de su centro de datos, incluidas las aplicaciones personalizadas desarrolladas internamente.
El inventario de su aplicación inicial no necesita identificar todas las aplicaciones porque al monitorear las reglas de bloqueo que configura para la base de reglas de seguridad de mejores prácticas del centro de datos, descubrirá las aplicaciones que no ha identificado. Concéntrese en inventariar las aplicaciones y los tipos de aplicaciones que desea permitir. Cuando termine de desarrollar la lista blanca de aplicaciones, se denegarán todas las aplicaciones que no permita explícitamente.
Asigne las aplicaciones a los requisitos comerciales. Si una aplicación no se corresponde con un requisito comercial, evalúe si debe tolerarla en la red. Las aplicaciones que no tienen necesidad comercial aparente aumentan la superficie de ataque y pueden ser parte del conjunto de herramientas de un atacante. Incluso si una aplicación innecesaria es inocente, la mejor práctica es eliminarla para que exista una superficie menos para que un atacante explote. Si varias aplicaciones realizan la misma función, por ejemplo, compartir archivos o enviar mensajes instantáneos, considere estandarizar una o dos aplicaciones para reducir la superficie de ataque.
Si alguna aplicación personalizada interna no utiliza el puerto predeterminado de la aplicación, tenga en cuenta los puertos y servicios necesarios para admitir la aplicación personalizada. Considere reescribir aplicaciones personalizadas internas para usar el puerto predeterminado de la aplicación.
Cree grupos para aplicaciones que requieren un tratamiento similar en la red para que aplique la política de seguridad de manera eficiente a los grupos de aplicaciones en lugar de a las aplicaciones individuales. Los grupos de aplicaciones facilitan el diseño y la implementación de políticas de seguridad porque puede aplicar políticas a todas las aplicaciones de un grupo al mismo tiempo, cambiar la política para todo el grupo, agregar nuevas aplicaciones al grupo para aplicar la política del grupo a las nuevas aplicaciones y reutilice un grupo de aplicaciones en múltiples reglas de política de seguridad. Por ejemplo, un grupo de aplicaciones diseñado para aplicaciones de almacenamiento del centro de datos puede incluir aplicaciones como crashplan, ms-ds-smb y NFS.
Haga un inventario de las cuentas de servicio que las aplicaciones usan para comunicarse entre servidores y dentro de los servidores dentro del centro de datos. Una práctica recomendada es usar una cuenta de servicio para cada función en lugar de usar una cuenta de servicio para múltiples funciones. Esto limita el acceso a la cuenta de servicio y facilita la comprensión de cómo se utilizó la cuenta de servicio si un sistema se ve comprometido. Otra práctica recomendada es identificar las cuentas de servicio que están codificadas en la aplicación para que pueda escribir firmas IPS en ellas y monitorear el uso de las cuentas.
Caracterizar el tráfico del centro de datos.—Caracterice y mapee el tráfico del centro de datos para comprender cómo fluyen los datos a través de su red y entre usuarios y recursos. Involucre a un equipo multifuncional que incluya arquitectos de aplicaciones, arquitectos de redes, arquitectos empresariales y representantes comerciales. La caracterización de los flujos de tráfico le informa sobre las fuentes y destinos de tráfico de la red, los patrones y las cargas de tráfico típicos, y le ayuda a comprender el tráfico en su red y priorizar el tráfico más importante para proteger.
Use los widgets de Application Command Center , las funciones de monitoreo de estado del firewall de Panorama y otros métodos para comprender los patrones de tráfico normales (de referencia), lo que le ayuda a comprender patrones de tráfico anormales que pueden indicar un ataque.
Evaluar la segmentación del centro de datos—Niveles de servidor del centro de datos de segmento para que la comunicación entre los diferentes niveles de servidor debe pasar a través del firewall de próxima generación para ser descifrada, examinada y protegida por la política de seguridad de mejores prácticas, y para que la comunicación de la población de usuarios o de Internet pase a través de un firewall de próxima generación. Fuera del centro de datos, entienda qué zonas tratan de comunicarse con cada zona del centro de datos y luego determinar qué zonas debería se le permitirá comunicarse con cada zona del centro de datos.
Evaluar la segmentación de la población de usuarios y determinar quién debe tener acceso al centro de datos.—Mapear usuarios a grupos para segmentar la población de usuarios para que pueda controlar más fácilmente el acceso a sistemas sensibles. Por ejemplo, los usuarios en el grupo de Gestión de productos no deberían poder acceder a los sistemas financieros o de recursos humanos. En Active Directory (o cualquier sistema que use), cree grupos granulares de usuarios en función del nivel de acceso que los usuarios requieren para fines comerciales legítimos para que pueda controlar el acceso a los sistemas y aplicaciones. Esto incluye diferentes grupos de empleados, así como diferentes grupos de contratistas, socios, clientes y proveedores, agrupados por el nivel de acceso necesario.
Reduzca la superficie de ataque creando grupos de usuarios basados en requisitos de acceso en lugar de solo funcionalidad, y otorgue solo el nivel apropiado de acceso a la aplicación a cada grupo. Dentro de un área funcional como Marketing o Contratistas, cree múltiples grupos de usuarios asignados a los requisitos de acceso a la aplicación.
Monitorear continuamente la red del centro de datos.- Registre y monitoree el tráfico del centro de datos para revelar brechas en la política de seguridad de las mejores prácticas del centro de datos, exponer patrones de tráfico inusuales o intentos de acceso inesperados que puedan indicar un ataque, y diagnosticar problemas de la aplicación.
Un método útil para evaluar activos es agrupar activos. Identifique sus activos más valiosos que deben protegerse primero e identifique los activos en los que puede iterar después de proteger esos activos. Priorice el orden en el cual proteger los activos en cada categoría. Organice los activos de la manera que tenga más sentido para su negocio en particular. La siguiente tabla muestra algunas posibilidades, pero no es exhaustiva. También tenga en cuenta los requisitos de cumplimiento legal para proteger datos como contraseñas, información personal e información financiera al priorizar qué activos proteger primero.
Leer también: Cómo segmentar el centro de datos; Crear una estrategia de segmentación del centro de datos; Mejores prácticas para la gestión del cambio en el centro de datos