¿Qué es el enclave en la nube?

¿En qué se diferencian los enclaves en la nube de la ciberseguridad tradicional?

Las soluciones de seguridad heredadas no están diseñadas igual que los enclaves en la nube para satisfacer las necesidades de la empresa digital moderna. Pongamos esto en un contexto histórico para entender por qué.

Hace años, cuando las aplicaciones y los datos residían en el centro de datos local de una organización (y los empleados trabajaban principalmente desde esas mismas instalaciones), la seguridad de red tradicional basada en el perímetro ofrecía un nivel de seguridad razonable. Hoy en día, la globalización y el trabajo híbrido han hecho que la computación en la nube pase al primer plano, lo que ha hecho que los modelos más antiguos no sean efectivos.

En la nube, las diferentes cargas de trabajo críticas de una sola organización pueden encontrarse en varios proveedores de servicios en la nube (por ejemplo, Amazon Web Service [AWS], Microsoft Azure) y los usuarios acceden a ellas a través de Internet. En términos prácticos, esto significa que ya no hay un perímetro de red, lo que abre muchas más vías para posibles ataques. El enclave en la nube contrarresta esta situación dando cabida a políticas de seguridad personalizadas que limitan el tráfico hacia y desde cargas de trabajo específicas solo a lo que está explícitamente permitido.

¿Qué es un enclave?

Un enclave es una parte de una red separada del resto y regulada por políticas de seguridad granulares. El propósito de un enclave seguro es imponer el acceso con mínimo privilegio a recursos críticos como parte de una estrategia de seguridad de defensa en profundidad.

La segmentación de la red frente al enclave en la nube

La segmentación de la red es más útil para el tráfico norte-sur (entre su entorno y las ubicaciones fuera de él), mientras que el enclave en la nube añade una capa de protección para el tráfico este-oeste (de servidor a servidor, de aplicación a servidor, de web a servidor, etc. dentro de su entorno). Veamos ambos con un poco más de detalle.

Segmentación de la red

En comparación con un modelo basado en perímetro que sólo protege una red desde el exterior, la segmentación de red es un enfoque más matizado. Es decir, divide una red en subredes y aplica protocolos de seguridad y cumplimiento a cada una. Por lo general, el tráfico entre segmentos se separa utilizando una VLAN antes de pasar por un cortafuegos.

Desafortunadamente, dado que este enfoque se basa en las direcciones IP, solo puede identificar cómo llegó una solicitud (es decir, su dirección IP de origen, el puerto o el protocolo), no el contexto o la identidad de la entidad que realiza la solicitud. Se permiten las comunicaciones consideradas seguras, incluso si el departamento de TI no sabe exactamente cuáles son. Así, se confía en la entidad una vez que está dentro de un segmento, incluso si se trata de un actor malicioso que busca moverse lateralmente dentro del entorno.

La segmentación de la red crea una red plana y deja vías desprotegidas que permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Además, el coste, la complejidad y el tiempo necesarios para administrar la segmentación de red mediante cortafuegos heredados o máquinas virtuales (VM) tienden a superar los beneficios de seguridad.

Enclave en la nube

La enclave en la nube, es decir, la microsegmentación basada en la nube, permite un control de tráfico más granular al tiempo que minimiza la superficie de ataque de una organización, logrando una segmentación de una manera que es operativamente más simple y más segura que la segmentación de red. Va más allá de examinar las direcciones IP, los puertos y los protocolos para autenticar las solicitudes por identidad y contexto. Además, ofrece una protección granular a nivel de las cargas de trabajo individuales para controlar más eficazmente las comunicaciones entre ellas.

El enclave en la nube no solo minimiza las amenazas internas al brindar protección mucho más cerca de las cargas de trabajo, sino que también evita la propagación de amenazas externas después de que se haya infringido el perímetro.

¿Cuáles son los beneficios del enclave en la nube?

Igual que la segmentación de la red, el enclave en la nube existe para reforzar la seguridad de la red y de los datos frente a un panorama de ciberamenazas creciente y en evolución. Las organizaciones están amenazadas en todas las regiones y sectores, ya que los ciberdelincuentes desarrollan técnicas cada vez más sofisticadas para evadir las medidas de seguridad. Para mantenerse al día, las organizaciones y su seguridad deben adaptarse.

Un enfoque eficaz de microsegmentación basada en la nube ofrece:

• Seguridad proactiva de red y TI: el enclave en la nube crea políticas basadas en aplicaciones que se desplazan con todas las aplicaciones y servicios, lo que hace que las posibles infracciones de datos queden restringidas a los activos afectados, no a todo su entorno. Algunos servicios de enclave aprovechan la automatización para identificar todas las comunicaciones, recomendar políticas de confianza cero y permitirle aplicar estas políticas con un solo clic.
• Menor vulnerabilidad: en lugar de los controles estáticos que dependen de las direcciones IP, los puertos y los protocolos, su equipo de seguridad puede tomar la huella digital de cada carga de trabajo para proporcionar una protección consistente mientras opera en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de la carga de trabajo de las construcciones de direcciones IP, por lo que puede evitar problemas con los controles basados en IP.
• Evaluación continua de riesgos: los enclaves en la nube le permiten medir automáticamente su superficie de ataque visible para cuantificar el riesgo. Los servicios de enclave más eficaces verifican la identidad de una entidad cada vez que realiza una solicitud, lo que mitiga aún más el riesgo, apoya los mandatos de cumplimiento normativo y proporciona información para los informes de riesgo visualizados.
• Gestión de políticas más sencilla: dado que las políticas de enclave en la nube se aplican a las cargas de trabajo en lugar de a las direcciones IP, los puertos, los protocolos o el hardware, permanecen intactas incluso si su infraestructura cambia. Esto significa que su equipo de seguridad puede extender un conjunto de controles a cualquier lugar y proteger un segmento con solo unas pocas políticas basadas en identidad en lugar de con cientos de reglas basadas en direcciones.

Zscaler y el enclave en la nube

Zscaler Workload Communications es una nueva manera de crear enclaves seguros en la nube. Con un solo clic, puede mejorar la seguridad permitiendo que ZWS revele el riesgo y aplique la protección basada en la identidad a sus cargas de trabajo, sin hacer ningún cambio en la red.

Workload Communications proporciona una protección sin fisuras con políticas que se adaptan automáticamente a los cambios del entorno, eliminando la superficie de ataque de su red. Además, Zscaler Workload Communications se basa en API, lo que significa que puede integrarse con las herramientas de seguridad existentes y los procesos de DevOps y que, por lo tanto, permite conseguir una segmentación automática con un único clic.

Basado en la confianza cero, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a filtraciones de datos.

Workload Communications incluye:

Protección basada en la identidad del software

Busque más allá de las direcciones de red para verificar la identidad segura de las cargas de trabajo y el software de aplicaciones que se comunican, en nubes públicas o privadas, nubes híbridas, centros de datos en las instalaciones o entornos de contenedores.

Motor de automatización de políticas

Utilizando el aprendizaje automático, automatiza todo el ciclo de vida de las políticas de microsegmentación y protección de cargas de trabajo. No es necesario crear políticas manualmente durante la implementación o las operaciones en curso, y Workload Communications recomendará políticas nuevas o actualizadas cuando se agreguen o cambien aplicaciones.

Visibilidad y medición de la superficie de ataque

ZWS crea automáticamente una topología de aplicación en tiempo real y un mapa de dependencia hasta el nivel del proceso. A continuación, resalta las rutas de aplicación requeridas y las compara con el total de rutas de red disponibles, y recomienda políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

Compruébelo usted mismo

Solicite una demostración para ver usted mismo cómo Zscaler Workload Communications le permite crear enclaves en la nube para mejorar su seguridad.

How Zscaler Secures Cloud Workloads

Zscaler Zero Trust Cloud delivers simplified, consistent security for modern workloads across multicloud environments. Built on zero trust principles, it secures all workload traffic—whether ingress, egress, or east-west flows—with a unified approach that eliminates lateral movement and reduces the attack surface.

With granular microsegmentation and AI-powered policy recommendations, Zscaler protects mission-critical applications, simplifies management, and speeds up deployment. Flexible deployment options let you manage the infrastructure yourself or use the solution as a gateway service.

Zero Trust Cloud unifies multicloud security in one solution, providing:

• Comprehensive traffic security: Protect east-west, ingress, egress, and micro-flows with consistent controls.
• Peerless risk reduction: Stop lateral movement of threats and isolate high-risk workloads with segmentation.
• Reduced admin complexity: Simplify management with automated policy creation and AI-powered recommendations.