3 arquitecturas de seguridad para empresas

Las arquitecturas de seguridad son de suma importancia en cualquier empresa, por ello es necesario conocer las diferentes opciones que existen.

¿Cuál es la mejor? ¿Es obligatorio implementarlas? ¿Son muy costosas? ¿Cuál se adapta mejor a mi entorno? Esta y otras respuestas las encontrarás en este artículo.

Arquitecturas de seguridad actuales

Seguridad tradicional de perímetro de la red

La seguridad tradicional del perímetro de la red se compone de muchas partes diferentes.

Todas esas partes trabajan juntas para proporcionar una solución de seguridad para la red.

Tradicionalmente, la seguridad de la red comenzará con la autenticación del usuario, generalmente mediante el uso de un nombre de usuario y contraseña.

Este método también se conoce como autenticación de un factor, con la autenticación de dos factores habrá otro elemento que debe verificarse, como un teléfono móvil, una unidad USB o incluso algún tipo de token.

En el extremo más avanzado del espectro, también hay una autenticación de tres factores, que implicará la biología del usuario, como un escaneo de la retina o de la huella digital.

Una vez que el usuario ha sido verificado, un firewall se asegurará de que se siga el protocolo de acceso al imponer restricciones a lo que el usuario puede acceder dentro de la red.

Este es un método muy efectivo para evitar que las personas accedan a la red cuando no están autorizadas.

Además, las comunicaciones entre dos hosts en la red se pueden cifrar para proporcionar una capa adicional de seguridad a la red.

Herramientas

Algunas empresas también pueden implementar honeypots. Un honeypot es esencialmente un recurso de red que actúa como señuelo dentro de la propia red.

Estos pueden usarse como una herramienta de vigilancia o como una forma de sistema de alerta temprana. Esto porque los honeypots no se usan para ningún propósito comercial legítimo.

Esto significa que, si se accede a un honeypot, normalmente algo está mal. Los ataques a honeypots pueden ser analizados por equipos de seguridad para mantenerse al día con nuevos ataques.

Estos hallazgos se pueden aplicar para aumentar aún más el nivel de seguridad en la red real al resaltar vulnerabilidades previamente desconocidas.

De manera similar a los honeypots, las honeynets son redes señuelo que se configuran con fallas de seguridad deliberadas.

Estos están diseñados para atraer a los atacantes para que sus métodos puedan ser analizados para aumentar la seguridad de la red real.

Actualmente, cada vez más empresas utilizan la segmentación de la red y la agregan a sus sistemas para reforzar su seguridad.

A pesar de los aspectos positivos de la seguridad perimetral tradicional, este procedimiento no es del todo confiable para evitar que los troyanos y los gusanos informáticos se propaguen por tu red.

Tradicionalmente, para combatir esto se utilizará un software antivirus o un sistema de prevención de intrusiones. Pueden detectar y prevenir la propagación de estos ataques.

Además, si bien este sistema es excelente para prevenir amenazas externas, no es efectivo para prevenir amenazas internas.

Con el aumento del número de personas que trabajan de forma remota desde su propio dispositivo, también existe un mayor riesgo de que los dispositivos infectados se puedan conectar a la red de una empresa.

Lo anterior podría poner en riesgo la red. Esto ha llevado a una mayor popularidad de las arquitecturas Zero-Trust (confianza cero).

VPN’s de acceso remoto

Una VPN (red privada virtual) funciona para crear una red privada en una red que es inicialmente pública.

Esto permite al usuario de la VPN enviar y recibir datos de la misma manera que si estuvieran realmente conectados a la red privada principal.

Esto significa que cualquier aplicación que se ejecute a través de una VPN podrá utilizar las funciones, las características de seguridad y administración de la red privada a la que está conectada la VPN.

La tecnología VPN se desarrolló inicialmente para permitir que los usuarios remotos y las diferentes sucursales de una oficina tengan acceso a las aplicaciones y otros elementos que se alojarían en la red de la sucursal de la oficina principal.

Para obtener acceso a la VPN, los usuarios deben autenticarse mediante una contraseña o certificados de seguridad.

Cuando una empresa utiliza la tecnología VPN, puede ayudar a garantizar que los trabajadores remotos y otras oficinas puedan establecer una conexión segura a la red de la oficina central.

De esta manera no existe el riesgo de que un atacante se infiltre en la red a través del usuario remoto.

Segmentación de red

En el contexto de las redes de computadoras, la práctica de segmentación de redes es donde se divide una red de computadoras en un grupo de subredes.

Cada una de estas subredes se denomina segmento de red.

Una de las ventajas de seguridad de segmentar tus redes es que cualquier transmisión de los segmentos se mantendrá dentro de la propia red interna. Como resultado de esto, la estructura de la red solo será visible en el interior.

Otra ventaja de segmentar tus redes es que, si un segmento de tu red se ve comprometido, hay un espacio de superficie reducido para que un atacante se mueva.

Además, ciertos tipos de ciberataques solo funcionan en redes locales, lo que significa que, si segmentas las diferentes áreas de tus sistemas, toma estas decisiones según su uso.

Por ejemplo, si crearas redes separadas para tu base de datos, servidores web y los dispositivos de tus usuarios, esto ayudaría a mantener tu red un poco más segura.

La segmentación de red también se puede utilizar para garantizar que las personas solo tengan acceso a los recursos que necesitan.

Esto se llevaría a cabo distribuyendo tácticamente tus recursos a varias redes y asignando individuos específicos a cada segmento de red.

El uso adecuado de la segmentación de red para mejorar los niveles de seguridad implicaría dividir la segmentación de tu red en esas subredes diferentes y otorgar a cada subred un cierto nivel de autorización requerida para el acceso.

Luego, debes tomar medidas para asegurarte de que se haya implementado un protocolo para restringir lo que puede moverse entre cada subred.

Controles de acceso basados ​​en roles

Los controles de acceso basados ​​en roles (RBAC por sus siglas en inglés) ayudan a restringir el acceso a ciertos sistemas, en función del nivel de autorización que tiene un usuario.

La gran mayoría de las empresas con más de 500 empleados utilizan controles de acceso basados ​​en roles y, con mayor frecuencia, las pequeñas y medianas empresas están comenzando a utilizar esta tecnología.

Para hacer el uso más efectivo de RBAC, una compañía dividirá sus perfiles de usuario por ciertas categorías.

En general, se basarán en el rol laboral, el nivel de antigüedad y los recursos que necesitará cada individuo en función de los dos primeros factores.

Por ejemplo, si una organización usara RBAC y un miembro menor del equipo de finanzas iniciara sesión en tu red, el empleado tendría acceso a datos financieros de nivel inferior que se les pedirá que vean dentro de su rol de trabajo.

Sin embargo, su acceso se limitaría a esto. No podrían, por ejemplo, ver archivos o datos relacionados con el equipo legal o archivos que solo deben ser vistos por miembros del equipo de finanzas de mayor rango, como el Director de Finanzas.

Cuando una empresa utiliza RBAC, puede ser una forma increíblemente efectiva de asegurarse de que los datos confidenciales solo sean vistos por personas que tengan permiso para verlos.

También puede ayudar a prevenir fugas internas deliberadas de información.

Perímetro definido por software (SDP)

¿Qué es un perímetro definido por software?

Una de las formas en que puedes crear una arquitectura de confianza cero dentro de tu organización es crear o usar un SDP.

Vamos a ver qué es un SDP para que puedas hacer exactamente eso.

Dado que el almacenamiento en la nube se ha vuelto más común en la actualidad, ha habido un mayor riesgo de ataques cibernéticos en estos sistemas en la nube.

Esto como consecuencia de que los servidores en la nube no pueden protegerse mediante las medidas de seguridad perimetrales tradicionales.

Esto llevó a la creación del perímetro definido por software en 2013. El perímetro definido por software es un grupo de trabajo de investigación.

Su enfoque clave es crear un sistema de seguridad que pueda ayudar a prevenir ataques en los sistemas en la nube.

Cualquier hallazgo de su investigación será de uso gratuito para el público y no estará sujeto a ninguna tarifa de uso ni a ninguna otra restricción.

Desde el inicio del grupo de trabajo, decidieron intentar enfocarse en crear una solución de seguridad que sea rentable, pero aun increíblemente flexible y efectiva.

Durante su trabajo, el equipo identificó tres requisitos de diseño esenciales.

En primer lugar, decidieron que su arquitectura de seguridad necesitaría confirmar la identificación del usuario, qué dispositivo están usando y los permisos que tienen para acceder a ciertos directorios.

Uso de cifrado

Posteriormente, decidieron que la verificación usando criptografía (que también se usa como la tecnología fundamental detrás de lo que todos conocemos hoy como blockchain) sería la mejor opción para garantizar que se aplique su protocolo de seguridad.

Finalmente, se decidió que las herramientas necesarias para lograr los dos primeros requisitos son herramientas de seguridad que tienen un historial probado y son de dominio público.

SDP tomó la decisión de que su arquitectura de seguridad debería basarse en un canal de control.

Este canal de control utilizaría componentes estándar que el equipo pensó que serían los más adecuados para la tarea.

Estos componentes fueron SAML, PKI y TLS mutuos.

El grupo de trabajo finalmente publicó un documento basado en esta idea para evaluar si había o no demanda de dicho sistema.

Aquí es donde lo llamaron Perímetro definido por software.

Hubo mucho interés en el trabajo que estaba haciendo SDP y esto llevó al lanzamiento de la versión uno de sus sistemas durante abril de 2014.

Su primer diseño estaba compuesto por un host iniciador, que le daría al controlador información sobre qué dispositivo está siendo utilizado y por quién.

Esta información se transmitiría junto con una conexión TLS mutua. Una vez hecho esto, el controlador se conectará a una CA emisora ​​para confirmar la identidad del dispositivo y también se vinculará a un proveedor de identificación para que puedan verificar la identificación del usuario.

Después de que se haya confirmado esta información, el controlador proporcionará una o varias conexiones mutuas TLS, estas conexiones vincularán el host iniciador mencionado anteriormente y cualquier host de aceptación requerido.

Este sistema funciona con un efecto significativo, pudiendo prevenir cualquier tipo de ataque de red, incluidos Man-in-the-Middle, DDoS y Amenaza persistente avanzada.

Arquitectura de SDP versión uno

Los productos SDP originales para uso comercial se implementaron utilizando una red superpuesta para aplicaciones comerciales.

Ejemplos de estos son el acceso remoto a datos de alto valor o para proteger el sistema de la nube de los ataques.

El host de inicio para el SDP tomó la forma del cliente y el host de aceptación se convirtió en la puerta de enlace.

Cliente SDP

El cliente SDP es responsable de una gran variedad de funciones. Dos de estos incluyen verificar el dispositivo que se está utilizando y la identificación de usuario que se está utilizando.

Asimismo, el enrutamiento de las aplicaciones incluidas en la lista blanca a las aplicaciones protegidas que han sido autorizadas.

El cliente SDP tiene una configuración en tiempo real para asegurarse de que la conexión mutua de VPN TLS solo esté vinculada a elementos que el usuario individual está autorizado a usar.

Esto significa que el Cliente SDP cumple la función de imponer restricciones al acceso a ciertos puntos de datos según el nivel de autoridad del usuario.

Esto se lleva a cabo después de que la identificación y el dispositivo del usuario hayan sido verificados.

Puerta de enlace SDP

La puerta de enlace SDP sirve como el punto donde finaliza la conexión mutua de TLS con el cliente SDP. En un sentido topológico, la puerta de enlace (Gateway) se implementará para estar tan cerca de la aplicación protegida como sea práctico.

El SDP Gateway recibirá la dirección IP y su Certificado, una vez que se haya confirmado la identidad del dispositivo que solicita el acceso y se haya puesto de manifiesto su nivel de permiso.

Controlador SDP

El controlador SDP cumple la función de un intermediario de confianza entre las características de seguridad de back-end, como el proveedor de identidad y la autoridad de certificación para el propio cliente SDP.

Una vez que el cliente SDP ha logrado la verificación y se ha examinado el nivel de autoridad para el usuario, el controlador SDP comenzará a configurar el cliente SDP y la puerta de enlace SDP para que puedan establecer una conexión en tiempo real a través de un TLS mutuo.

Propiedades de seguridad de la arquitectura de SDP

Cuando implementas correctamente estas tres características, la arquitectura SDP puede proporcionar una propiedad excelente y única para tu sistema de seguridad. Estas características se enumeran a continuación.

1. Ocultar información

No hay información de DNS, ni hay puertos visibles dentro de la infraestructura de aplicaciones protegidas. Debido a esto, los activos que están protegidos por SDP se denominan activos “oscuros” porque no se pueden descubrir, incluso si los buscas.

2. Autenticación previa

La identidad del dispositivo que intenta acceder siempre se verificará antes de que se les otorgue una conexión. La identidad del dispositivo se confirmará utilizando un token MFA que se integrará en el TCP o en la arquitectura mutua de TLS.

3. Autorización previa

Los usuarios en un sistema SDP solo tienen acceso a los servidores a los que necesitan acceder debido a su función. El sistema utilizado para confirmar la identidad comunicará las autorizaciones del usuario al controlador SDP. Esto se lleva a cabo utilizando una aserción SAML.

4. Acceso a la capa de aplicación

Incluso cuando a un usuario se le concede acceso a la aplicación, esto solo será a nivel de aplicación y no a nivel de red. El SDP también incluirá en la lista blanca ciertas aplicaciones en el dispositivo que está utilizando el host, lo que ayuda a mantener las comunicaciones del sistema en un nivel de aplicación a aplicación.

5. Extensibilidad

La arquitectura de SDP se crea en la parte posterior de varias partes diferentes basadas en estándares.

Estos incluyen TSL, SAML y certificados de seguridad mutuos.

Debido a que se compone de partes basadas en estándares, la arquitectura SDP se puede vincular e integrar fácilmente con otros tipos de sistemas de seguridad, incluidos los sistemas de cifrado de datos y los sistemas de certificación remota.

Mediante el uso combinado de autenticación previa con autorizaciones previas, las empresas pueden crear redes que son invisibles para los hosts no identificados.

Al mismo tiempo solo proporcionan los permisos necesarios a los usuarios conocidos, en función de su función organizativa.

Una de las partes clave sobre SDP es que la autenticación previa y la autorización previa deben ocurrir antes de que se otorgue una conexión TCP entre el usuario y la aplicación protegida.

Además de esto, a los usuarios autorizados solo se les otorgarán permisos para ciertas aplicaciones para garantizar que los dispositivos comprometidos no puedan moverse lateralmente a través de la red.