Independencia y seguridad de la red

La seguridad de la red ha sido el eje tradicional de los esfuerzos de seguridad de la empresa. Sin embargo, la informática en la nube ha aumentado el requisito de que los perímetros de red sean más porosos, y muchos atacantes han dominado el arte de los ataques en elementos del sistema de identidad (que casi siempre omiten los controles de red). Estos factores han aumentado la necesidad de centrarse principalmente en los controles de acceso basados en identidad para proteger los recursos en lugar de los controles de acceso basados en red.

Esto reduce el rol de los controles de seguridad de la red, pero no los elimina por completo. Aunque la seguridad de red ya no es el enfoque principal para proteger los recursos basados en la nube, sigue siendo una prioridad máxima para la cartera grande de activos heredados (que se crearon con la suposición de que se había implementado un perímetro basado en firewall de red). Muchos atacantes siguen empleando métodos de detección y aprovechamiento en intervalos IP de proveedor en la nube pública, gracias a lo cual penetran correctamente en las defensas de aquellos que no siguen la higiene básica de seguridad de la red. Los controles de seguridad de la red también proporcionan un elemento de defensa en profundidad para la estrategia que ayuda a proteger, detectar, contener y expulsar a los atacantes que logran llegar a las implementaciones en la nube.

En la categoría de independencia y seguridad de la red, tenemos los siguientes procedimientos recomendados:

  • Alinear la segmentación de red con la estrategia general

  • Centralizar la administración de redes y la seguridad

  • Crear una estrategia de independencia de red

  • Definir una estrategia perimetral de Internet

Centralizar la administración de redes y la seguridad

Centralice la responsabilidad de la organización para la administración y la seguridad de las funciones de red principales, como los vínculos entre locales, las redes virtuales, las subredes y los esquemas de direcciones IP, así como los elementos de seguridad de red, como los dispositivos de red virtual, el cifrado de la actividad de red virtual en la nube y el tráfico entre locales, así como otros componentes tradicionales de seguridad de red.

Al centralizar la seguridad y administración de redes, se reduce la posibilidad de que se produzcan estrategias incoherentes que creen posibles riesgos de seguridad que los atacantes puedan aprovechar. Dado que todas las divisiones de las organizaciones de desarrollo y TI no tienen el mismo nivel de conocimiento y sofisticación sobre la seguridad y la administración de redes, las organizaciones se benefician del aprovechamiento de las herramientas y los conocimientos de un equipo de red centralizado.

Microsoft Defender for Cloud se puede usar para ayudar a centralizar la administración de la seguridad de red.

Alineación de la segmentación de red con la estrategia de segmentación empresarial

Alinee el modelo de segmentación de la red con el de la empresa para su organización (definida en la sección Gobernanza, riesgo y cumplimiento).

Esto reducirá la confusión y los desafíos resultantes con distintos equipos técnicos (redes, identidades, aplicaciones, etc.), cada uno de los cuales desarrolla sus propios modelos de segmentación y delegación que no se alinean entre sí. Esto conduce a una estrategia de seguridad sencilla y unificada, que ayuda a reducir el número de errores debido a un error humano y a la incapacidad de aumentar la confiabilidad a través de la automatización.

Compare las imágenes en Independencia y seguridad de la red.

image showing hybrid cloud infrastructure-network architecture

Mejorar la seguridad más allá de los controles de red

Asegúrese de que los controles técnicos puedan evitar, detectar y responder de manera eficaz a las amenazas fuera de las redes que usted controla.

A medida que las organizaciones cambien a arquitecturas modernas, el acceso a muchos servicios y componentes necesarios para las aplicaciones será a través de Internet o en redes de proveedores en la nube, a menudo mediante dispositivos móviles o fuera de la red. Los controles de red tradicionales basados en un enfoque de "intranet de confianza" no podrán proporcionar de forma eficaz garantías de seguridad para estas aplicaciones. Este panorama cambiante se ha capturado bien mediante los principios documentados en los enfoques del Foro de Jericó y "Confianza cero".

Cree una estrategia de contención de riesgos basada en una combinación de controles de red y aplicaciones, identidad y otros tipos de control.

  • Asegúrese de que el grupo de recursos y los privilegios administrativos se alineen con el modelo de segmentación (consulte la imagen XXXX).

  • Asegúrese de que está diseñando controles de seguridad que identifican y permiten el tráfico esperado, las solicitudes de acceso y otras comunicaciones de aplicaciones entre segmentos. Supervise las comunicaciones entre segmentos para identificar cualquier comunicación inesperada, de modo que pueda investigar si quiere establecer alertas o bloquear el tráfico para mitigar el riesgo de que los adversarios crucen los límites de la segmentación.

Creación de una estrategia de independencia de seguridad

Cree una estrategia de contención de riesgos que combine enfoques comprobados, como:

  • Controles y prácticas de seguridad de red existentes

  • Controles de seguridad nativos disponibles en Azure

  • Enfoques de confianza cero

La independencia de los vectores de ataque dentro de un entorno es fundamental. Sin embargo, para ser efectivo en entornos de la nube, los enfoques tradicionales pueden resultar inadecuados y las organizaciones de seguridad necesitan mejorar sus métodos.

  • La coherencia de los controles en la infraestructura local y en la nube es importante, pero las defensas son más efectivas y controlables cuando se aprovechan las capacidades nativas proporcionadas por un proveedor de servicios en la nube, enfoques dinámicos Just-In-Time (JIT) y controles integrados de identidad y contraseñas, como los recomendados por los enfoques de Confianza cero y validación continua.

  • Un procedimiento recomendado de seguridad de la red es asegurarse de que hay controles de acceso a la red entre las construcciones de red. Estas construcciones pueden representar redes virtuales o subredes dentro de dichas redes. Esto funciona para proteger y contener el tráfico horizontal de derecha a izquierda dentro de la infraestructura de red en la nube.

  • Una decisión importante sobre el diseño de seguridad de la red es usar o no firewalls basados en host. Los firewalls basados en host admiten una estrategia detallada de defensa exhaustiva. Sin embargo, para ser de mayor utilidad, se requiere una sobrecarga de administración significativa. Si su organización los ha encontrado eficaces para ayudarle a proteger y detectar amenazas en el pasado, considere la posibilidad de usarlos para los recursos basados en la nube. Si detecta que no ha agregado un valor significativo, interrumpa su uso y explore las soluciones nativas de la plataforma de su proveedor de servicios en la nube que ofrezcan un valor similar.

Una recomendación de procedimientos recomendados mejorados consiste en adoptar una estrategia de Confianza cero basada en las identidades del usuario, el dispositivo y la aplicación. A diferencia de los controles de acceso a la red que se basan en elementos como la dirección IP de origen y de destino, los protocolos y los números de puerto, la Confianza cero exige y valida el control de acceso en "tiempo de acceso". Esto evita la necesidad de reproducir un juego de predicción para toda una implementación, red o subred: solo el recurso de destino debe proporcionar los controles de acceso necesarios.

  • Se pueden utilizar & para los controles de acceso básico de capa 3 y 4 entre las redes virtuales de Azure, sus subredes e Internet.

  • Azure Web Application Firewall y Azure Firewall se pueden usar para controles de acceso a red más avanzados que requieren compatibilidad con el nivel de aplicación.

  • La solución de contraseña de administrador local (LAPS) o una instancia de terceros de Privileged Access Management pueden establecer contraseñas de administrador local seguras y el acceso Just-In-Time a ellas.

Además, otros fabricantes ofrecen enfoques de microsegmentación que pueden mejorar los controles de red mediante la aplicación de principios de Confianza cero a las redes que usted controla con recursos heredados.

Definición de una estrategia perimetral de Internet

Elija si quiere usar controles de proveedor de servicios en la nube nativos o dispositivos de red virtual para la seguridad perimetral de Internet.

El tráfico perimetral de Internet (a veces conocido como tráfico "vertical de arriba abajo") representa la conectividad de red entre los recursos en la nube e Internet. Las cargas de trabajo heredadas requieren protección de los puntos de conexión de Internet porque se han creado con la suposición de que un firewall de Internet los ha protegido contra estos ataques. Una estrategia perimetral de Internet está pensada para mitigar tantos ataques desde Internet como sea razonable detectar o bloquear.

Hay dos opciones principales que pueden proporcionar controles y supervisión de seguridad perimetral de Internet:

  • Controles nativos del proveedor de servicios en la nube (Azure Firewall + [Firewall de aplicaciones web (WAF)]/azure/application-gateway/waf-overview))

  • Dispositivos de redes virtuales de asociados (proveedores de firewall y de WAF disponibles en Azure Marketplace)

  • Los controles nativos del proveedor de servicios en la nube suelen ofrecer seguridad básica que es lo suficientemente adecuada para los ataques comunes, como los 10 principales de OWASP.

  • Por el contrario, las capacidades de asociados del proveedor de servicios en la nube suelen proporcionar características mucho más avanzadas que pueden proteger frente a ataques sofisticados (pero a menudo poco comunes). Las soluciones de asociados cuestan más que los controles nativos de forma sistemática. Además, la configuración de soluciones de asociados puede ser muy compleja y más frágil que los controles nativos, ya que no se integran con los controladores de tejido de la nube.

La decisión de usar los controles nativos y asociados debe basarse en la experiencia y los requisitos de la organización. Si las características de las soluciones de firewall avanzadas no proporcionan suficiente rentabilidad de la inversión, puede considerar el uso de las capacidades nativas diseñadas para ser fáciles de configurar y escalar.

Interrupción del uso de la tecnología de seguridad de red heredada

Interrumpa el uso de sistemas de detección o de prevención de intrusiones de red (NIDS/NIPS) basados en firmas y de la prevención de pérdida de datos de red (DLP).

Los principales proveedores de servicios en la nube ya filtran los paquetes con formato incorrecto y los ataques de nivel de red comunes, por lo que no es necesario que una solución NIDS/NIPS los detecte. Además, las soluciones tradicionales NIDS/NIPS suelen estar controladas por enfoques basados en firmas (que se consideran obsoletos) que los atacantes eluden fácilmente y suelen producir una alta tasa de falsos positivos.

La DLP basada en la red se encuentra en un nivel más eficaz en la identificación de la pérdida de datos involuntaria e intencional. El motivo es que la mayoría de los protocolos y los atacantes modernos usan cifrado de nivel de red para las comunicaciones entrantes y salientes. La única solución viable para esto es el "protocolo de puente SSL", que proporciona un "intermediario autorizado" que finaliza y vuelve a establecer las conexiones de red cifradas. El enfoque de puente SSL se ha dejado de usar debido al nivel de confianza que requiere el asociado que ejecuta la solución y las tecnologías que se usan.

Por esta razón, se recomienda que, en general, se interrumpa el uso estas tecnologías de seguridad de red heredadas. Sin embargo, si la experiencia de la organización es que estas tecnologías han tenido un impacto palpable en la prevención y detección de ataques reales, puede considerar la posibilidad de portarlas a su entorno de nube.

Diseño de seguridad de subred de redes virtuales

Diseñe redes virtuales y subredes para el crecimiento.

La mayoría de las organizaciones acaban agregando más recursos a sus redes de los que habían planeado inicialmente. Cuando esto sucede, es necesario refactorizar los esquemas de direccionamiento IP y de subredes para acomodar los recursos adicionales. Se trata de un proceso intensivo de trabajo. Hay un valor de seguridad limitado en la creación de un número muy grande de subredes pequeñas y el intento posterior de asignar controles de acceso a la red (como grupos de seguridad) a cada una de ellas.

Le recomendamos que planee las subredes en función de los roles y las funciones comunes que utilizan protocolos comunes para esos roles y funciones. Esto permite agregar recursos a la subred sin necesidad de realizar cambios en los grupos de seguridad que aplican los controles de acceso de nivel de red.

No use reglas "todas abiertas" para el tráfico entrante y saliente hacia y desde las subredes. Use un enfoque de red "con privilegios mínimos" y solo permita los protocolos relevantes. Esto reducirá la superficie de ataque de red general en la subred.

Todas las reglas abiertas (que permitan el tráfico entrante o saliente hacia y desde 0.0.0.0-255.255.255.255) proporcionan una sensación falsa de seguridad, ya que dicha regla no exige ninguna seguridad.

Sin embargo, la excepción a esto es si quiere usar grupos de seguridad solo para el registro de red. No es recomendable, pero es una opción si tiene otra solución de control de acceso a la red.

Las subredes de Azure Virtual Network pueden diseñarse de esta manera.

Mitigación de ataques DDoS

Habilite mitigaciones de denegación de servicio (DDoS) distribuidas para todos los servicios y aplicaciones web críticos para la empresa.

Los ataques DDoS son prevalentes, y los atacantes inexpertos los pueden llevar a cabo fácilmente. Hay incluso opciones de "DDoS como servicio" en la red oscura. Los ataques DDoS pueden ser muy debilitantes y bloquear por completo el acceso a los servicios e incluso desactivar los servicios, según el tipo de ataque DDoS.

Los principales proveedores de servicios en la nube ofrecen protección contra DDoS para servicios de gran eficacia y capacidad. Los proveedores de servicios en la nube suelen proporcionar dos opciones de protección contra DDoS:

  • Protección contra DDoS en el nivel de tejido de red en la nube: todos los clientes del proveedor de servicios en la nube se benefician de estas protecciones. La protección se centra normalmente en el nivel de la red (nivel 3).

  • Protección contra DDoS en los niveles más altos que perfilan los servicios: este tipo de protección creará una base de referencia para las implementaciones y, a continuación, usará técnicas de aprendizaje automático para detectar el tráfico anómalo y proteger de forma proactiva en función de su protección antes de que se produzca una degradación del servicio.

Le recomendamos que adopte la protección avanzada para todos los servicios en los que el tiempo de inactividad tendrá un impacto negativo en el negocio.

Un ejemplo de protección contra DDoS avanzada es el servicio Azure DDoS Protection.

Elegir entre una directiva de entrada o salida de Internet

Opte por enrutar el tráfico destinado a Internet a través de dispositivos de seguridad locales o permita la conectividad a Internet a través de dispositivos de seguridad de red basados en la nube.

El enrutamiento del tráfico de Internet a través de los dispositivos de seguridad de red locales también se conoce como "tunelización forzada". En un escenario de tunelización forzada, toda la conectividad a Internet se vuelve a forzar hacia los dispositivos de seguridad de red locales a través de un vínculo WAN entre locales. El objetivo es proporcionar a los equipos de seguridad de red mayor seguridad y visibilidad para el tráfico de Internet. Incluso cuando los recursos en la nube intentan responder a las solicitudes entrantes de Internet, las respuestas se forzarán a través de dispositivos de seguridad de red locales.

Como alternativa, la tunelización forzada se ajusta a un paradigma de "expansión del centro de datos" y puede funcionar bien para una prueba de concepto rápida, pero se escala de forma deficiente debido al aumento de la carga de tráfico, la latencia y el costo.

El enfoque recomendado para el uso empresarial de producción es permitir que los recursos en la nube inicien y respondan directamente a la solicitud de Internet a través de dispositivos de seguridad de red en la nube definidos por la estrategia perimetral de Internet.

El enfoque directo de Internet se ajusta al paradigma del centro de datos Nth (por ejemplo, los centros de datos de Azure son una parte natural de mi empresa). Este enfoque se escala mucho mejor para una implementación empresarial, ya que elimina saltos que agregan carga, latencia y costo.

Se recomienda evitar la tunelización forzada por las razones indicadas anteriormente.

Habilitación de la visibilidad de red mejorada

Debe habilitar la visibilidad de red mejorada mediante la integración de registros de red en una administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel o una tercera solución de asociados, como Splunk, QRadar o ArcSight ESM.

La integración de los registros de los dispositivos de red, e incluso el tráfico sin procesar, le proporcionará mayor visibilidad sobre las posibles amenazas de seguridad que fluyen a través de la conexión. Esta información de registro se puede integrar en soluciones SIEM avanzadas u otras plataformas de análisis. Las modernas plataformas de análisis basadas en aprendizaje automático admiten la ingesta de cantidades muy grandes de información y pueden analizar grandes conjuntos de datos con mucha rapidez. Además, estas soluciones se pueden optimizar para reducir de forma significativa las alertas de falsos positivos.

Entre los ejemplos de registros de red que proporcionan visibilidad se incluyen:

Pasos siguientes

Para obtener más directrices de seguridad de Microsoft, consulte la documentación de seguridad de Microsoft.