¿Qué es el enclave en la nube?

¿En qué se diferencian los enclaves en la nube de la ciberseguridad tradicional?

Las soluciones de seguridad heredadas no están diseñadas igual que los enclaves en la nube para satisfacer las necesidades de la empresa digital moderna. Pongamos esto en un contexto histórico para entender por qué.

Hace años, cuando las aplicaciones y los datos residían en el centro de datos local de una organización (y los empleados trabajaban principalmente desde esas mismas instalaciones), la seguridad de red tradicional basada en el perímetro ofrecía un nivel de seguridad razonable. Hoy en día, la globalización y el trabajo híbrido han hecho que la computación en la nube pase al primer plano, lo que ha hecho que los modelos más antiguos no sean efectivos.

En la nube, las diferentes cargas de trabajo críticas de una sola organización pueden encontrarse en varios proveedores de servicios en la nube (por ejemplo, Amazon Web Service [AWS], Microsoft Azure) y los usuarios acceden a ellas a través de Internet. En términos prácticos, esto significa que ya no hay un perímetro de red, lo que abre muchas más vías para posibles ataques. El enclave en la nube contrarresta esta situación dando cabida a políticas de seguridad personalizadas que limitan el tráfico hacia y desde cargas de trabajo específicas solo a lo que está explícitamente permitido.

¿Qué es un enclave?

Un enclave es una porción de una red separada del resto de la red y gobernada por políticas de seguridad granulares. El propósito de un enclave seguro es imponer el acceso con privilegios mínimos a recursos críticos como parte de una estrategia de seguridad de defensa en profundidad.

La segmentación de la red frente al enclave en la nube

La segmentación de la red se utiliza mejor para el tráfico norte-sur (entre su entorno y ubicaciones fuera de él), mientras que el enclave en la nube añade una capa de protección para el tráfico este-oeste (de servidor a servidor, de aplicación a servidor, de web a servidor, etc. dentro de su entorno). Analicemos ambos con un poco más de detalle.

Segmentación de la red

En comparación con un modelo basado en perímetro que solo protege una red desde el exterior, la segmentación de red es un enfoque más matizado. Es decir, divide una red en “subredes” y aplica protocolos de seguridad y cumplimiento a cada una de ellas. El tráfico entre segmentos normalmente se separa mediante una VLAN antes de pasar por un firewall.

Lamentablemente, dado que este enfoque se basa en las direcciones IP, solo puede identificar cómo llegó una solicitud (es decir, su dirección IP de origen, el puerto o el protocolo), no el contexto o la identidad de la entidad que realiza la solicitud. Se permiten las comunicaciones consideradas seguras, incluso si el departamento de TI no sabe exactamente cuáles son. Así, se confía en la entidad una vez que está dentro de un segmento, incluso si se trata de un malintencionado que busca moverse lateralmente dentro del entorno.

La segmentación de la red crea una red plana y deja vías desprotegidas que permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Además, el costo, la complejidad y el tiempo necesarios para administrar la segmentación de red mediante firewalls heredados o máquinas virtuales (VM) tienden a superar los beneficios de seguridad.

Enclave en la nube

El enclave en la nube, es decir, la microsegmentación basada en la nube, permite un control de tráfico más granular al tiempo que minimiza la superficie de ataque de una organización, logrando una segmentación de una manera que es operativamente más simple y más segura que la segmentación de red. Lo consigue mirando más allá de las direcciones IP, los puertos y los protocolos para autenticar las solicitudes por identidad y contexto. Además, ofrece protección granular a nivel de cargas de trabajo individuales para controlar de manera más efectiva las comunicaciones entre ellas.

El enclave en la nube no solo minimiza las amenazas internas al brindar protección mucho más cerca de las cargas de trabajo, sino que también evita la propagación de amenazas externas después de que se haya violado el perímetro.

¿Cuáles son las ventajas del enclave en la nube?

Igual que la segmentación de la red, el enclave en la nube existe para reforzar la seguridad de la red y de los datos frente a un panorama de ciberamenazas creciente y en evolución. Las organizaciones están amenazadas en todas las regiones y sectores, ya que los ciberdelincuentes desarrollan técnicas cada vez más sofisticadas para evadir las medidas de seguridad. Para mantenerse al día, las organizaciones y su seguridad deben adaptarse.

Un enfoque eficaz de microsegmentación basada en la nube ofrece:

• Seguridad proactiva de red y TI: el enclave en la nube crea políticas basadas en aplicaciones que se desplazan con todas las aplicaciones y servicios, lo que hace que las posibles violaciones de datos queden restringidas a los activos afectados, no a todo su entorno. Algunos servicios de enclave aprovechan la automatización para identificar todas las comunicaciones, recomendar políticas Zero Trust y permitirle aplicar estas políticas con un solo clic.
• Menor vulnerabilidad: en lugar de los controles estáticos que dependen de las direcciones IP, los puertos y los protocolos, su equipo de seguridad puede tomar la huella digital de cada carga de trabajo para proporcionar una protección uniforme mientras opera en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de la carga de trabajo de las construcciones de direcciones IP, por lo que puede evitar problemas con los controles basados en IP.
• Evaluación continua de riesgos: los enclaves en la nube le permiten evaluar automáticamente su superficie de ataque visible para cuantificar el riesgo. Los servicios de enclave más eficaces verifican la identidad de una entidad cada vez que realiza una solicitud, lo que mitiga aún más el riesgo, cumple con la normativa y ofrece información para obtener informes de riesgo vizualizados.
• Gestión de políticas más sencilla: dado que las políticas de enclave en la nube se aplican a las cargas de trabajo en lugar de a las direcciones IP, los puertos, los protocolos o el hardware, permanecen intactas incluso si su infraestructura cambia. Esto significa que su equipo de seguridad puede extender un conjunto de controles a cualquier lugar y proteger un segmento con solo unas pocas políticas basadas en identidad en lugar de con cientos de reglas basadas en direcciones.

Zscaler y el enclave en la nube

Zscaler Workload Communications es una nueva manera de crear enclaves seguros en la nube. Con un solo clic, puede mejorar la seguridad al permitir que ZWS detecte riesgos y aplique protección basada en identidad a sus cargas de trabajo, sin ningún cambio en la red.

Workload Communications proporciona protección sin interrupciones con políticas que se adaptan automáticamente a los cambios ambientales, eliminando así la superficie de ataque de su red. Además, Zscaler Workload Communications está impulsado por API, lo que significa que puede integrarse con herramientas de seguridad y procesos DevOps existentes, permitiendo la segmentación automática con un solo clic.

Basado en Zero Trust, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a violaciones de datos.

Workload Communications incluye:

Protección basada en la identidad del software

Mirar más allá de las direcciones de red para verificar la identidad segura del software de aplicación y las cargas de trabajo que se comunican en nubes públicas o privadas, nubes híbridas, centros de datos locales o entornos de contenedores.

Motor de automatización de políticas

Automatización de todo el ciclo de vida de las políticas de microsegmentación y protección de las cargas de trabajo mediante el aprendizaje automático. No es necesario crear políticas de manera manual durante la implementación o las operaciones en curso, y Workload Communications recomendará políticas nuevas o actualizadas cuando se agreguen o modifiquen aplicaciones.

Visibilidad y medición de la superficie de ataque

Diseño automático de una topología de aplicaciones en tiempo real y mapeo de dependencias hasta el nivel de proceso. Luego resalta las rutas de aplicación necesarias y las compara con la totalidad de rutas de red disponibles, recomendando políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

Compruébelo usted mismo

Solicite una demostración para ver de primera mano cómo Zscaler Workload Communications le permite crear enclaves en la nube para mejorar su seguridad.

How Zscaler Secures Cloud Workloads

Zscaler Zero Trust Cloud delivers simplified, consistent security for modern workloads across multicloud environments. Built on zero trust principles, it secures all workload traffic—whether ingress, egress, or east-west flows—with a unified approach that eliminates lateral movement and reduces the attack surface.

With granular microsegmentation and AI-powered policy recommendations, Zscaler protects mission-critical applications, simplifies management, and speeds up deployment. Flexible deployment options let you manage the infrastructure yourself or use the solution as a gateway service.

Zero Trust Cloud unifies multicloud security in one solution, providing:

• Comprehensive traffic security: Protect east-west, ingress, egress, and micro-flows with consistent controls.
• Peerless risk reduction: Stop lateral movement of threats and isolate high-risk workloads with segmentation.
• Reduced admin complexity: Simplify management with automated policy creation and AI-powered recommendations.