Zero Trust desde dentro: Segmentación de dispositivos para sucursales, fábricas y campus

Arquitecturas de seguridad y red heredada

En el complejo panorama digital actual, el movimiento lateral de las amenazas dentro de la sucursal, la fábrica y el campus (donde el malware o los atacantes se desplazan a través de una red) sigue siendo un desafío importante para la ciberseguridad. Las soluciones tradicionales, basadas en costosos firewalls o complejos controles de acceso a la red (NAC), a menudo son insuficientes, ya que dependen de métodos muy anticuados o requieren agentes de punto final que no siempre son factibles de implementar. Zscaler Zero Trust Device Segmentation ofrece una respuesta ágil y escalable a estos obstáculos de seguridad sin la complejidad de la segmentación de redes tradicional. Con una arquitectura Zero Trust inspirada en las redes de telecomunicaciones, ofrece una estrategia eficaz para aislar y proteger cada dispositivo dentro de las redes empresariales.

El gran problema:  El movimiento lateral de amenazas

1. Dispositivos no segmentados dentro de la sucursal y la fábrica: A pesar de que durante años se han incorporado soluciones de seguridad puntuales, los métodos tradicionales de segmentación de la red siguen permitiendo el movimiento lateral. Los atacantes pueden comprometer un dispositivo y luego propagarse lateralmente, exponiendo datos confidenciales o interrumpiendo operaciones. Este movimiento "este-oeste" de las amenazas es especialmente problemático en sectores en los que el tiempo de actividad es crucial, como el sector sanitario, la fabricación y las infraestructuras críticas, y las redes suelen ser relativamente "planas".

2. Deficiencias de las soluciones de segmentación tradicionales Muchas soluciones de segmentación existentes se basan en listas de control de acceso (ACL) o políticas NAC, que requieren una gestión manual constante y no se adaptan correctamente a las redes modernas. Además, muchas soluciones dependen de la implementación de agentes en todos los dispositivos, lo que puede resultar inviable en entornos con sistemas heredados, dispositivos IoT y activos de tecnología operativa (OT) que no son compatibles con la seguridad basada en agentes.

3. Falta de aislamiento de dispositivos en toda la empresa El principio de Zero Trust afirma que no se debe confiar en ningún dispositivo, usuario o segmento de red de manera predeterminada. Sin embargo, las redes empresariales convencionales a menudo carecen de un verdadero aislamiento de los dispositivos, lo que deja espacios por donde pueden propagarse las amenazas. Esto ocurre especialmente con la segmentación bruta conseguida mediante la implementación de firewalls este-oeste y la seguridad perimetral heredada. El enfoque de Zscaler, al segmentar cada dispositivo individualmente en su propia red individual, minimiza este riesgo al garantizar que los dispositivos puedan comunicarse solo donde se permita explícitamente.

Un enfoque inspirado en las telecomunicaciones 

A pesar de los millones de usuarios, las redes de suscriptores de las telecomunicaciones nunca transmiten programas maliciosos de un teléfono a otro.  ¿Cómo?  En estos sistemas, cada dispositivo de suscripción funciona de manera aislada, impidiendo el movimiento lateral. Por ejemplo, un dispositivo móvil comprometido en una suscripción no afecta a otros dispositivos. Zscaler ha adoptado una estrategia similar con su segmentación de dispositivos Zero Trust: cada dispositivo se coloca efectivamente en su propia “red” aislada, lo que restringe su capacidad de conectarse lateralmente.

Cómo funciona la segmentación de dispositivos

La segmentación de dispositivos Zero Trust de Zscaler tiene como objetivo simplificar la segmentación incorporando seguridad Zero Trust directamente dentro de la infraestructura de la red. A continuación se muestra un desglose de la implementación básica y la mecánica operativa:

1. Implementación sencilla

• Ubicación: El dispositivo Zscaler Edge se implementa junto al conmutador central en un puerto troncal, lo que crea una puerta de enlace perfecta para interceptar y administrar las conexiones de los dispositivos.
• Configuración de alta disponibilidad: Típicamente, se instalan dos aparatos como par activo y de reserva, lo que garantiza un servicio ininterrumpido y resiliencia contra los puntos únicos de falla.

2. Segmentación automática de dispositivos

• Desactivación de SVI: Una vez implementado, se desactiva la interfaz virtual de conmutación (SVI) del conmutador para la VLAN y el dispositivo Zscaler Edge asume el rol de puerta de enlace predeterminada.
• Ajuste de la máscara de red para el aislamiento: A medida que los dispositivos renuevan sus licencias IP, el aparato modifica su máscara de red a un /32, aislando eficazmente cada dispositivo con una máscara de subred única.
• Gestión de dispositivos IP estáticos: Para los dispositivos estáticos, Zscaler ofrece scripts automatizados que actualizan sus configuraciones de máscara de red sin requerir tiempo de inactividad o caídas de sesión, lo que permite una integración perfecta en entornos de alta disponibilidad como hospitales y campus corporativos.

Realice inventarios de todo, aplique la política en todas partes

Una vez implementada la segmentación de dispositivos Zero Trust de Zscaler, permite un control granular y visibilidad en toda la red:

1. Clasificación de dispositivos y agrupación dinámica

• La plataforma de Zscaler descubre, clasifica y agrupa de manera autónoma los dispositivos por tipo (ej., impresoras, dispositivos IoT, dispositivos Android). A medida que se agregan o eliminan nuevos dispositivos, la afiliación a los grupos se actualiza dinámicamente, proporcionando una visibilidad continua y en tiempo real.
• Flexibilidad de agrupación: Las agrupaciones de dispositivos pueden configurarse en función del tipo, el sistema operativo o los atributos personalizados, lo que permite aplicar políticas específicas y simplificar la gestión.

2. Aplicación de políticas con control basado en roles

• Se pueden diseñar políticas para limitar la comunicación entre tipos de dispositivos, regiones o unidades organizativas específicas. Por ejemplo, los administradores podrían restringir la comunicación de las cámaras con las impresoras o bloquear el acceso interno al Protocolo de Escritorio Remoto (RDP) en toda la organización para reducir en gran medida la superficie de ataque.
• Personalización del alcance: Las políticas pueden aplicarse a nivel global, regional o local, lo que proporciona flexibilidad a las organizaciones con redes complejas y distribuidas.
• Portal de gestión centralizado: La plataforma de Zscaler incluye un portal de gestión con control de acceso basado en roles, que permite a los administradores establecer políticas, ver la actividad de la red y realizar ajustes en tiempo real.

3. Visibilidad total de este a oeste

• La plataforma proporciona un mapa visual de la actividad de la red, capturando todos los flujos de tráfico a través de la red. Esta visibilidad incluye patrones de tráfico tanto de norte a sur (externo) como de este a oeste (interno), lo que permite un diagnóstico rápido de problemas de la red.
• Indicadores de flujo codificados por colores: Los indicadores de red se representan con códigos de color intuitivos: rojo para el tráfico bloqueado, verde para las conexiones permitidas y negro para las políticas predeterminadas. Los administradores pueden introducir simplemente la dirección MAC, el nombre de host o la IP de un dispositivo para ver sus interacciones en tiempo real, lo que permite una resolución de problemas más rápida.

¿Por qué Zscaler?

La arquitectura única de Zero Trust Device Segmentation de Zscaler ofrece ventajas considerables sobre los métodos tradicionales:

1. Reducción de la complejidad y los costos

• Al eliminar la necesidad de firewalls de este a oeste y complejos mecanismos de control de acceso, Zscaler reduce significativamente la complejidad de la red y los costos de actualización. Los administradores ya no tienen que gestionar ACL dispersas ni depender de las actualizaciones de las reglas del firewall para mantener la segmentación.

2. Segmentación sin agentes para dispositivos IoT y heredados

• Muchos dispositivos heredados y del IoT no admiten agentes, lo que dificulta su protección mediante soluciones convencionales. El enfoque de Zscaler, que no requiere agentes, lo convierte en una solución ideal para entornos industriales, instalaciones inteligentes y otros entornos con diversos tipos de dispositivos.

3. Mayor cumplimiento y detección

• La detección y clasificación automática de dispositivos de Zscaler agilizan el cumplimiento de las regulaciones de la industria al garantizar que todos los dispositivos estén contabilizados y protegidos. Además, la visión centralizada de los flujos de red ayuda a identificar rápidamente posibles incidentes de seguridad o violaciones de las políticas.

4. Implementación rápida y flexibilidad

• La solución de Zscaler se puede implementar de manera rápida, a menudo en un día, lo que acorta el tiempo de creación de valor. Sus opciones de configuración ofrecen flexibilidad, lo que permite a las organizaciones adaptar la segmentación a sus necesidades operativas evitando tiempos de inactividad o largos plazos de ejecución de los proyectos.

Casos de uso habituales de la segmentación de dispositivos

Detección y clasificación automática de dispositivos

• Ideal para entornos con una mezcla de dispositivos conocidos y desconocidos, como la sanidad o la fabricación. Al automatizar el proceso de detección, Zscaler permite a los administradores realizar un seguimiento tanto de los dispositivos gestionados como de los no autorizados, garantizando la integridad de la red.

Segmentación sin agentes para dispositivos heredados, IoT y OT

• Las industrias con activos tecnológicos operativos, como la energía y la fabricación, se benefician de la segmentación sin agentes de Zscaler, que ofrece una seguridad robusta sin interrumpir la producción ni requerir la adaptación de ningún punto final IP.

Eliminación de los firewalls Este-Oeste

• Al eliminar la necesidad de firewalls internos tradicionales, Zscaler minimiza la superficie de ataque y reduce los costos de infraestructura. Esto resulta especialmente útil para las organizaciones que necesitan aislar la TI de la OT o separar líneas de producción importantes que, de otro modo, requerirían una gestión exhaustiva de los firewalls.

El fin de las amenazas laterales dentro de la sucursal, la fábrica y el campus

Zscaler Zero Trust Device Segmentation introduce un enfoque moderno y eficiente para la segmentación Zero Trust para dispositivos dentro de la sucursal, fábrica y campus. Al poder aislar cada dispositivo individualmente, eliminar los firewalls tradicionales y gestionar las políticas de manera centralizada, Zscaler simplifica la compleja tarea de la segmentación. Inspirado en el modelo inherentemente aislado de las empresas de telecomunicaciones, aporta Zero Trust a todos los dispositivos, respaldando tanto la seguridad como la continuidad operativa.

La solución de Zscaler ofrece a las organizaciones que se enfrentan a desafíos de segmentación la oportunidad de lograr una verdadera seguridad y resiliencia a nivel de dispositivo en un día. Con Zscaler, la segmentación ya no es un proyecto largo y que requiere muchos recursos, sino una solución simplificada y manejable que se alinea con los principios actuales de Zero Trust. Y como parte de Zscaler Zero Trust para sucursales y la nube, ahora puede extender los principios de Zero Trust a cualquier lugar de su empresa.

Para obtener más información sobre las innovaciones en materia de Zero Trust para sucursales y la nube, vaya a zscaler.com/ztsegmentation