Zero Trust Inside: segmentación de dispositivos para sucursales, fábricas y campus

Arquitecturas de seguridad y red heredadas

En el complejo panorama digital actual, el movimiento lateral de amenazas dentro de sucursales, fábricas y campus (donde el malware o los atacantes se desplazan por la red) sigue siendo un importante desafío de ciberseguridad. Las soluciones tradicionales, que se basan en costosos cortafuegos o complejos controles de acceso a la red (NAC), a menudo no son suficientes, ya que dependen de métodos muy obsoletos o requieren agentes de terminal que no siempre son factibles de implementar. La segmentación de dispositivos Zero Trust de Zscaler ofrece una respuesta optimizada y escalable a estos obstáculos de seguridad sin la complejidad de la segmentación de redes tradicionales. Con una arquitectura zero trust inspirada en las redes de telecomunicaciones, proporciona una estrategia eficaz para aislar y proteger todos los dispositivos dentro de las redes empresariales.

El gran problema: el movimiento lateral de amenazas

1. Dispositivos no segmentados dentro de la sucursal y la fábrica: a pesar de que durante años se han ido agregando soluciones de seguridad puntuales, los métodos tradicionales de segmentación de red aún permiten el movimiento lateral. Los atacantes pueden comprometer un dispositivo y luego propagarse lateralmente, exponiendo datos confidenciales o interrumpiendo operaciones. Este movimiento de amenaza “de este a oeste” es particularmente problemático en sectores donde el tiempo de actividad es crucial, como la atención médica, la fabricación y la infraestructura crítica, y las redes a menudo son relativamente “planas”.

2. Deficiencias de las soluciones de segmentación tradicionales Muchas soluciones de segmentación existentes se basan en listas de control de acceso (ACL) o políticas NAC, que requieren una gestión manual constante y no se adaptan bien a las redes modernas. Además, muchas soluciones dependen de la implementación de agentes en todos los dispositivos, lo que puede resultar inviable en entornos con sistemas heredados, dispositivos IoT y activos de tecnología operativa (OT) no compatibles con la seguridad basada en agentes.

3. Falta de aislamiento de dispositivos en toda la empresa El principio de zero trust afirma que no se debe confiar en ningún dispositivo, usuario o segmento de red de forma predeterminada. Sin embargo, las redes empresariales convencionales a menudo carecen de un verdadero aislamiento de los dispositivos, lo que deja espacios por donde pueden propagarse las amenazas. Esto es particularmente cierto en el caso de la segmentación de baja resolución lograda mediante la implementación de cortafuegos este-oeste y seguridad perimetral heredada. El enfoque de Zscaler, al segmentar cada dispositivo individualmente en su propia red de uno, minimiza este riesgo al garantizar que los dispositivos puedan comunicarse únicamente donde esté explícitamente permitido.

Un enfoque inspirado en las telecomunicaciones 

A pesar de tener millones de usuarios, las redes de suscriptores de telecomunicaciones nunca pasan malware de un teléfono a otro.  ¿Cómo?  En estos sistemas, cada dispositivo suscriptor opera de forma aislada, evitando el movimiento lateral. Por ejemplo, un dispositivo móvil comprometido en una suscripción no afecta a otros dispositivos. Zscaler ha adoptado una estrategia similar con su segmentación de dispositivos Zero Trust: cada dispositivo se coloca efectivamente en su propia “red” aislada, lo que restringe su capacidad de conectarse lateralmente.

Cómo funciona la segmentación de dispositivos

La segmentación de dispositivos zero trust de Zscaler tiene como objetivo simplificar la segmentación incorporando seguridad zero trust directamente dentro de la infraestructura de red. A continuación se muestra un desglose de la implementación básica y la mecánica operativa:

1. Implementación sencilla

• Ubicación: el dispositivo Zscaler Edge se implementa junto al conmutador central en un puerto troncal, lo que crea una puerta de enlace perfecta para interceptar y administrar las conexiones del dispositivo.
• Configuración de alta disponibilidad: normalmente, se instalan dos dispositivos como un par activo y en espera, lo que garantiza un servicio ininterrumpido y resistencia contra puntos únicos de fallo.

2. Segmentación automática de dispositivos

• Desactivación de SVI: una vez implementada, la interfaz virtual de conmutador (SVI) del conmutador para la VLAN se desactiva y el dispositivo Zscaler Edge asume el rol de puerta de enlace predeterminada.
• Ajuste de máscara de red para aislamiento: a medida que los dispositivos renuevan sus concesiones de IP, el dispositivo modifica su máscara de red a un /32, aislando efectivamente cada dispositivo con una máscara de subred única.
• Manejo de dispositivos con IP estática: para dispositivos estáticos, Zscaler ofrece scripts automatizados que actualizan sus configuraciones de máscara de red sin requerir tiempo de inactividad ni interrupciones de sesión, lo que permite una integración perfecta en entornos de alta disponibilidad como hospitales y campus corporativos.

Inventaríe todo y aplique en todas partes

Una vez implementada la segmentación de dispositivos Zero Trust de Zscaler, permite un control granular y visibilidad en toda la red:

1. Clasificación de dispositivos y agrupación dinámica

• La plataforma de Zscaler descubre, clasifica y agrupa de forma autónoma los dispositivos por tipo (por ejemplo, impresoras, dispositivos IoT, dispositivos Android). A medida que se agregan o eliminan nuevos dispositivos, la pertenencia al grupo se actualiza dinámicamente, lo que proporciona visibilidad continua y en tiempo real.
• Flexibilidad de agrupación: las agrupaciones de dispositivos se pueden configurar según el tipo, el sistema operativo o los atributos personalizados, lo que permite una aplicación de políticas específicas y una gestión simplificada.

2. Aplicación de políticas con control basado en roles

• Se pueden diseñar políticas para limitar la comunicación entre tipos de dispositivos, regiones o unidades organizativas específicas. Por ejemplo, los administradores pueden restringir la comunicación de las cámaras con las impresoras o bloquear el acceso interno al Protocolo de Escritorio Remoto (RDP) en toda la organización para reducir en gran medida la superficie de ataque.
• Personalización del alcance: las políticas se pueden aplicar a nivel global, regional o local, lo que proporciona flexibilidad a las organizaciones con redes complejas y distribuidas.
• Portal de administración centralizado: la plataforma de Zscaler incluye un portal de administración con control de acceso basado en roles, que permite a los administradores establecer políticas, ver la actividad de la red y realizar ajustes en tiempo real.

3. Visibilidad total de este a oeste

• La plataforma proporciona un mapa visual de la actividad de la red, capturando todos los flujos de tráfico a través de la red. Esta visibilidad incluye patrones de tráfico tanto de norte a sur (externo) como de este a oeste (interno), lo que permite un diagnóstico rápido de problemas de red.
• Indicadores de flujo codificados por colores: los eventos de red se representan con códigos de colores intuitivos: rojo para tráfico bloqueado, verde para conexiones permitidas y negro para políticas predeterminadas. Los administradores pueden simplemente introducir la dirección MAC, el nombre de host o la IP de un dispositivo para ver sus interacciones en tiempo real, lo que permite una resolución de problemas más rápida.

¿Por qué Zscaler?

La arquitectura única de la segmentación de dispositivos Zero Trust de Zscaler ofrece ventajas sustanciales sobre los métodos tradicionales:

1. Reducción de la complejidad y los costes

• Al eliminar la necesidad de cortafuegos este-oeste y mecanismos complejos de control de acceso, Zscaler reduce significativamente la complejidad de la red y los costes de actualización. Los administradores ya no necesitan administrar ACL extensas ni depender de actualizaciones de reglas de cortafuegos para mantener la segmentación.

2. Segmentación sin agentes para dispositivos IoT y heredados

• Muchos dispositivos tradicionales y de IoT no pueden admitir agentes, lo que dificulta su protección con soluciones convencionales. El enfoque de Zscaler, que no requiere agentes, lo convierte en una solución ideal para entornos industriales, instalaciones inteligentes y otros entornos con diversos tipos de dispositivos.

3. Mayor cumplimiento y detección

• La detección y clasificación automática de dispositivos de Zscaler agilizan el cumplimiento de las regulaciones de la industria al garantizar que todos los dispositivos estén registrados y protegidos. Además, la vista centralizada de los flujos de red ayuda a identificar rápidamente posibles incidentes de seguridad o infracciones de políticas.

4. Implementación rápida y flexibilidad

• La solución de Zscaler se puede implementar rápidamente, a menudo en el plazo de un día, lo que permite obtener valor rápidamente. Sus opciones de configuración ofrecen flexibilidad, permitiendo a las organizaciones adaptar la segmentación a sus necesidades operativas sin requerir tiempos de inactividad o plazos de proyecto prolongados.

Casos de uso habituales de segmentación de dispositivos

Descubrimiento y clasificación automática de dispositivos

• Ideal para entornos con una combinación de dispositivos conocidos y desconocidos, como atención médica o fabricación. Al automatizar el proceso de detección, Zscaler permite a los administradores realizar un seguimiento de los dispositivos administrados y no autorizados, lo que garantiza la integridad de la red.

Segmentación sin agentes para dispositivos tradicionales, IoT y OT

• Las industrias con activos tecnológicos operativos, como la energía y la fabricación, se benefician de la segmentación sin agentes de Zscaler, que proporciona una seguridad potente sin interrumpir la producción ni requerir la modernización de ningún punto final de IP.

Eliminación de los cortafuegos este-oeste

• Al eliminar la necesidad de cortafuegos internos tradicionales, Zscaler minimiza la superficie de ataque y reduce los costes de infraestructura. Esto es especialmente útil para organizaciones que necesitan aislar TI de OT o separar líneas de producción importantes que de otro modo requerirían una gestión de cortafuegos extensa.

El fin de la amenaza lateral dentro de la sucursal, la fábrica y el campus

Zscaler Zero Trust Device Segmentation presenta un enfoque moderno y eficiente para la segmentación zero trust para dispositivos dentro de la sucursal, la fábrica y el campus. Con la capacidad de aislar cada dispositivo individualmente, eliminar los cortafuegos tradicionales y administrar políticas de forma centralizada, Zscaler simplifica la compleja tarea de segmentación. Inspirado en el modelo de telecomunicaciones inherentemente aislado, brinda zero trust a todos los dispositivos, lo que respalda tanto la seguridad como la continuidad operativa.

Para las organizaciones que se enfrentan a desafíos de segmentación, la solución de Zscaler ofrece la oportunidad de lograr una verdadera seguridad y resiliencia a nivel de dispositivo en un día. Con Zscaler, la segmentación ya no es un proyecto largo y que requiere muchos recursos, sino una solución simplificada y manejable que se alinea con los principios zero trust actuales. Y como parte de Zscaler Zero Trust para sucursales y la nube, ahora puede extender los principios zero trust a todas partes de su empresa.

Para obtener más información sobre las innovaciones en zero trust para sucursales y la nube, visite zscaler.com/ztsegmentation