Segmentación de red usando zonas.Cuanto más grande es la red, más difícil es protegerla. Una red grande y no segmentada presenta una gran superficie de ataque que puede ser difícil de administrar y proteger. Debido a que el tráfico y las aplicaciones tienen acceso a toda la red, una vez que un atacante obtiene acceso a una red, el atacante puede moverse lateralmente a través de la red para acceder a datos críticos.
Una red grande también es más difícil de monitorear y controlar. La segmentación de la red limita la capacidad del atacante para moverse a través de la red al evitar el movimiento lateral entre zonas.
Una zona de seguridad es un grupo de una o más interfaces de firewall físicas o virtuales y los segmentos de red conectados a las interfaces de la zona.
Usted controla la protección de cada zona individualmente para que cada zona reciba las protecciones específicas que necesita. Por ejemplo, una zona para el departamento de finanzas puede no necesitar permitir todas las aplicaciones que permite una zona para TI.
Para proteger completamente su red, todo el tráfico debe fluir a través del firewall. Configure las interfaces y las zonas para crear zonas separadas para diferentes áreas funcionales, como la puerta de enlace a Internet, el almacenamiento de datos confidenciales y las aplicaciones empresariales, y para diferentes grupos organizativos como finanzas, TI, marketing e ingeniería. Siempre que haya una división lógica de funcionalidad, uso de aplicaciones o privilegios de acceso de usuario, puede crear una zona separada para aislar y proteger el área y aplicar las reglas de política de seguridad apropiadas para evitar el acceso innecesario a datos y aplicaciones que solo uno o algunos grupos
Necesito acceder. Cuanto más granulares sean las zonas, mayor será la visibilidad y el control que tendrá sobre el tráfico de la red. Dividir su red en zonas ayuda a crear unArquitectura Zero Trust que ejecuta una filosofía de seguridad de no confiar en usuarios, dispositivos, aplicaciones o paquetes, y verificar todo. El objetivo final es crear una red que permita el acceso solo a los usuarios, dispositivos y aplicaciones que tienen necesidades comerciales legítimas, y negar el resto del tráfico.
La forma adecuada de restringir y permitir el acceso a las zonas depende del entorno de red. Por ejemplo, entornos tales como pisos de fabricación de semiconductores o plantas de ensamblaje robóticas, donde las estaciones de trabajo controlan equipos de fabricación sensibles o áreas de acceso altamente restringidas, pueden requerir segmentación física que no permita el acceso desde dispositivos externos (sin acceso a dispositivos móviles).
En entornos en los que pueden acceder los usuarios de la red con los dispositivos móviles, permitiendo User-ID y App-ID en combinación con la segmentación de la red en zonas asegura que los usuarios reciben los privilegios de acceso apropiados independientemente de donde se accede a la red, porque los privilegios de acceso están atados a un usuario o un grupo de usuarios en lugar de un dispositivo en una zona en particular.
Los requisitos de protección para diferentes áreas funcionales y grupos también pueden diferir. Por ejemplo, una zona que maneja una gran cantidad de tráfico puede requerir diferentes umbrales de protección contra inundaciones que una zona que normalmente maneja menos tráfico. La capacidad de definir la protección adecuada para cada zona es otra razón para segmentar la red. La protección adecuada depende de la arquitectura de su red, de lo que desea proteger y del tráfico que desea permitir y denegar.
Leer también:Cómo segmentar el centro de datos; ¿Qué es una red informática?; “Su computadora o red puede estar enviando consultas automáticas”. ¿Qué tengo que hacer?
This post is also available in:
Español
