Microsegmentacion – Cuando el SDN no viene del lado de las redes

18 de noviembre de 2014 por
Microsegmentacion – Cuando el SDN no viene del lado de las redes
Solop, Nicolas

Luego de seguir de cerca los avances relacionados al mundo del Software Defined Networking (SDN) y de analizar varios casos de uso más que interesantes para Argentina y la región les expongo en este post un caso de uso más relacionado al mundo de la seguridad informática que del mundo de las redes.

Para el mundo de la seguridad informática uno de los desafíos más grandes con los que se pueden encontrar es el de ejercer sus NSX_Micro-segmentation_Presentationpolíticas de control y cumplimiento fronteras adentro. Esto quiere decir que mientras, en general, pueden reforzar y aplicar políticas sumamente restrictivas en la frontera del centro de cómputos la cosa no es tan simple cuando el control se debe ejercer puertas adentro.

Firewalls con la última tecnología carecen de sentido si un atacante logra saltar la barrera que estamos imponiendo por medio de estas tecnologías. Peor es el caso cuando el atacante vive del lado interno de esta barrera, el típico caso del empleado “disconforme” con la organización.

Ya sea un atacante externo o uno interno las políticas de seguridad fronteras adentro suele ser una de las mayores preocupaciones.

Durante los últimos meses pareció que solo mostraron interés en el SDN solo los ISPs o CSPs (cloud service providers). Fueron muy pocas las organizaciones privadas que mostraron un interés real en implementar el SDN como sistema de seguridad interno.

Desde mi punto de vista esto se produjo básicamente por el desconocimiento del funcionamiento de herramientas como VMware NSX o bien por un mensaje mal entregado por parte de los canales de comercialización.

 Qué es la microsegmentación

La microsegmentación o segmentación del centro de cómputos es la capacidad de crear segmentos más pequeños de seguridad en comparación con los tradicionales segmentos de red de los centros de cómputos. Para bajar aún más el nivel técnico la microsegmentación puede llegar a nivel de una máquina virtual.

A modo de resumen una máquina virtual = un segmento de seguridad.

Al contrario que con los esquemas tradicionales donde la seguridad se aplica en el borde del segmento con el SDN, y más particularmente con VMware NSX, las políticas de seguridad pueden ser aplicadas a nivel de máquina virtual sin importar en que host estas se encuentren corriendo.

Lo más interesante es que al tener automatizada la aplicación de estas reglas cuando una máquina virtual se mueve de un host a otro las reglas de seguridad (reglas de firewall) la acompañan en todo momento garantizando de esta forma el cumplimiento de las mismas.

Diferencias con el mundo tradicional

Para un ejemplo básico donde podemos contar con 3 zonas claramente definidas como LAN – DNZ e Internet la seguridad es aplicada a nivel de firewall y de acuerdo a los requerimientos de los servicios que se brindan a través de cada una de las mismas.

El riesgo de poder encontrar una vulnerabilidad que permita a un atacante ingresar a una de estas zonas es lo que generalmente uno debía atender. Pero esto quedaba en este punto sin poder avanzar demasiado en profundidad.

¿Qué sucedía si un atacante finalmente lograba acceder a un servidor ubicado en la DMZ? o peor aún… ¿A un servidor ubicado en la red LAN?.

Generalmente este tenía el camino completamente libre para hacer cuanto quisiera en la misma ya que no existen políticas de seguridad entre un servidor y otro dentro de la zona.

Por el contrario, por medio de la microsegmentación las reglas de firewall pueden ser aplicadas a nivel del servicio que estas prestan, permitiendo únicamente las comunicaciones que estos requieren.

Esto quiere decir que si tenemos un servidor virtual de intranet que utiliza el puerto 80 para brindar el servicio este será el único puerto que responderá para los usuarios. Pero también se podrán definir reglas precisas sobre como responder a comportamientos dentro del mismo segmento.

Esto quiere decir que ya no solamente definimos reglas a nivel del firewall que conecta a los usuarios con los servidores sino que también podemos definir reglas que aplicaran entre los servidores.

En el pasado esto era prácticamente imposible ya que debíamos contar con firewalls con tantas interfaces como servidores tuviéramos conectados en la red.  Incluso con la virtualización de servidores tampoco era viable ya que generalmente los servidores virtuales vivían en una VLAN conectada a una interface del firewall y mientas no existía la necesidad de atravesarlo no existían reglas que ejercieran control alguno.

Porqué la microsegmentación

Porque permite implementar una política seguridad de confianza cero algo prácticamente inalcanzable hoy en día con otras soluciones.

Ya sea por dificultades técnicas o simplemente por el elevado costo que supone implementar una política de este estilo el SDDC junto con la microsegmentación hacen un excelente caso de uso fuera del departamento tradicional de TI entrando más en el de la seguridad informática.

Las políticas de seguridad perimetrales ya no cumplen con los requerimientos actuales de políticas internas e incluso de cumplimiento.  Con los avances de las tecnologías como VMware NSX la microsegmentación no es solo viable desde un punto de vista técnico sino también de desde un punto de vista económico.

Te recomiendo algunos libros sobre vmware NSX y virtualizacion de redes para profundizar la idea.