Zpedia 

/ ¿Qué es el enclave en la nube?

¿Qué es el enclave en la nube?

El enclave en la nube es un método de segmentación de las cargas de trabajo en un entorno de nube para controlar el acceso, así como para proteger la infraestructura de la nube, las aplicaciones y los datos confidenciales contra el malware autopropagado, las violaciones de datos y otros ataques. Los enclaves en la nube utilizan un perímetro definido por software (SDP) para crear una infraestructura protegida en la que implementar el control de acceso, la evaluación de la confianza, la gestión de certificados, etc. El enclave en la nube también se denomina segmentación de la carga de trabajo en la nube o microsegmentación en la nube.

Confianza ceroSeguridad en la nube
  1. Enclave en la nube vs. enfoque tradicional
  2. Ventajas
  3. Zscaler y el enclave en la nube
  4. Recursos sugeridos
  5. Temas relacionados

¿En qué se diferencian los enclaves en la nube de la ciberseguridad tradicional?

Las soluciones de seguridad heredadas no están diseñadas igual que los enclaves en la nube para satisfacer las necesidades de la empresa digital moderna. Pongamos esto en un contexto histórico para entender por qué.

Hace años, cuando las aplicaciones y los datos residían en el centro de datos local de una organización (y los empleados trabajaban principalmente desde esas mismas instalaciones), la seguridad de red tradicional basada en el perímetro ofrecía un nivel de seguridad razonable. Hoy en día, la globalización y el trabajo híbrido han hecho que la computación en la nube pase al primer plano, lo que ha hecho que los modelos más antiguos no sean efectivos.

En la nube, las diferentes cargas de trabajo críticas de una sola organización pueden encontrarse en varios proveedores de servicios en la nube (por ejemplo, Amazon Web Service [AWS], Microsoft Azure) y los usuarios acceden a ellas a través de Internet. En términos prácticos, esto significa que ya no hay un perímetro de red, lo que abre muchas más vías para posibles ataques. El enclave en la nube contrarresta esta situación dando cabida a políticas de seguridad personalizadas que limitan el tráfico hacia y desde cargas de trabajo específicas solo a lo que está explícitamente permitido.

¿Qué es un enclave?

Un enclave es una porción de una red separada del resto de la red y gobernada por políticas de seguridad granulares. El propósito de un enclave seguro es imponer el acceso con privilegios mínimos a recursos críticos como parte de una estrategia de seguridad de defensa en profundidad.

La segmentación de la red frente al enclave en la nube

La segmentación de la red se utiliza mejor para el tráfico norte-sur (entre su entorno y ubicaciones fuera de él), mientras que el enclave en la nube añade una capa de protección para el tráfico este-oeste (de servidor a servidor, de aplicación a servidor, de web a servidor, etc. dentro de su entorno). Analicemos ambos con un poco más de detalle.

Segmentación de la red

En comparación con un modelo basado en perímetro que solo protege una red desde el exterior, la segmentación de red es un enfoque más matizado. Es decir, divide una red en “subredes” y aplica protocolos de seguridad y cumplimiento a cada una de ellas. El tráfico entre segmentos normalmente se separa mediante una VLAN antes de pasar por un firewall.

Lamentablemente, dado que este enfoque se basa en las direcciones IP, solo puede identificar cómo llegó una solicitud (es decir, su dirección IP de origen, el puerto o el protocolo), no el contexto o la identidad de la entidad que realiza la solicitud. Se permiten las comunicaciones consideradas seguras, incluso si el departamento de TI no sabe exactamente cuáles son. Así, se confía en la entidad una vez que está dentro de un segmento, incluso si se trata de un malintencionado que busca moverse lateralmente dentro del entorno.

La segmentación de la red crea una red plana y deja vías desprotegidas que permiten a los atacantes moverse lateralmente y comprometer las cargas de trabajo en entornos de nube y centros de datos. Además, el costo, la complejidad y el tiempo necesarios para administrar la segmentación de red mediante firewalls heredados o máquinas virtuales (VM) tienden a superar los beneficios de seguridad.

Enclave en la nube

El enclave en la nube, es decir, la microsegmentación basada en la nube, permite un control de tráfico más granular al tiempo que minimiza la superficie de ataque de una organización, logrando una segmentación de una manera que es operativamente más simple y más segura que la segmentación de red. Lo consigue mirando más allá de las direcciones IP, los puertos y los protocolos para autenticar las solicitudes por identidad y contexto. Además, ofrece protección granular a nivel de cargas de trabajo individuales para controlar de manera más efectiva las comunicaciones entre ellas.

El enclave en la nube no solo minimiza las amenazas internas al brindar protección mucho más cerca de las cargas de trabajo, sino que también evita la propagación de amenazas externas después de que se haya violado el perímetro.

¿Cuáles son las ventajas del enclave en la nube?

Igual que la segmentación de la red, el enclave en la nube existe para reforzar la seguridad de la red y de los datos frente a un panorama de ciberamenazas creciente y en evolución. Las organizaciones están amenazadas en todas las regiones y sectores, ya que los ciberdelincuentes desarrollan técnicas cada vez más sofisticadas para evadir las medidas de seguridad. Para mantenerse al día, las organizaciones y su seguridad deben adaptarse.

Un enfoque eficaz de microsegmentación basada en la nube ofrece:

  • Seguridad proactiva de red y TI: el enclave en la nube crea políticas basadas en aplicaciones que se desplazan con todas las aplicaciones y servicios, lo que hace que las posibles violaciones de datos queden restringidas a los activos afectados, no a todo su entorno. Algunos servicios de enclave aprovechan la automatización para identificar todas las comunicaciones, recomendar políticas Zero Trust y permitirle aplicar estas políticas con un solo clic.
  • Menor vulnerabilidad: en lugar de los controles estáticos que dependen de las direcciones IP, los puertos y los protocolos, su equipo de seguridad puede tomar la huella digital de cada carga de trabajo para proporcionar una protección uniforme mientras opera en un centro de datos interno o en la nube. La huella digital desvincula la seguridad de la carga de trabajo de las construcciones de direcciones IP, por lo que puede evitar problemas con los controles basados en IP.
  • Evaluación continua de riesgos: los enclaves en la nube le permiten evaluar automáticamente su superficie de ataque visible para cuantificar el riesgo. Los servicios de enclave más eficaces verifican la identidad de una entidad cada vez que realiza una solicitud, lo que mitiga aún más el riesgo, cumple con la normativa y ofrece información para obtener informes de riesgo vizualizados.
  • Gestión de políticas más sencilla: dado que las políticas de enclave en la nube se aplican a las cargas de trabajo en lugar de a las direcciones IP, los puertos, los protocolos o el hardware, permanecen intactas incluso si su infraestructura cambia. Esto significa que su equipo de seguridad puede extender un conjunto de controles a cualquier lugar y proteger un segmento con solo unas pocas políticas basadas en identidad en lugar de con cientos de reglas basadas en direcciones.

¿Es una buena práctica el enclave en la nube?

El enclave en la nube aborda numerosos casos de uso de la seguridad en la nube para los que los enfoques tradicionales simplemente no fueron creados. Mientras que la segmentación de red se basa en controles pesados que requieren mucha administración, la microsegmentación aplica controles a las cargas de trabajo individuales, que se usan para realizar un seguimiento en todo su entorno en la nube. En nuestro mundo de plantillas híbridas globales, datos distribuidos y ataques cada vez más inteligentes, el enclave en la nube es un medio esencial de conseguir:

Visibilidad en todo su entorno

Los enclaves en la nube ofrecen un mayor contexto en torno al cual su equipo de seguridad puede crear políticas basadas en la aplicación, el entorno, el cumplimiento y más, centrándose en la identidad en lugar de solo en el punto de origen. Esto permite a su equipo crear políticas más granulares, lo que a su vez refuerza su postura de seguridad.

Protección entre proveedores e implementaciones

Un enfoque de microsegmentación eficaz protege sus cargas de trabajo de manera uniforme entre los proveedores de nube, lo que le permite crear entornos híbridos y multinube que se adapten mejor a su presupuesto y necesidades de implementación. Con una mayor flexibilidad, podrá adoptar más fácilmente contenedores, informática sin servidor y mucho más.

Reducción de los gastos de capital y gastos operativos

El enclave en la nube ahorrará trabajo y recursos a largo plazo. Implementar, administrar y mantener la microsegmentación basada en la nube es mucho menos costoso, requiere menos trabajo y menos tiempo que hacerlo con firewalls y otros tipos de hardware.

Zscaler y el enclave en la nube

Zscaler Workload Communications es una nueva manera de crear enclaves seguros en la nube. Con un solo clic, puede mejorar la seguridad al permitir que ZWS detecte riesgos y aplique protección basada en identidad a sus cargas de trabajo, sin ningún cambio en la red.

Workload Communications proporciona protección sin interrupciones con políticas que se adaptan automáticamente a los cambios ambientales, eliminando así la superficie de ataque de su red. Además, Zscaler Workload Communications está impulsado por API, lo que significa que puede integrarse con herramientas de seguridad y procesos DevOps existentes, permitiendo la segmentación automática con un solo clic.

Basado en Zero Trust, Zscaler permite que solo las cargas de trabajo verificadas se comuniquen en su entorno de nube pública, privada o híbrida, lo que mitiga el riesgo y ofrece el nivel más alto de protección frente a violaciones de datos.

Workload Communications incluye:

Protección basada en la identidad del software

Mirar más allá de las direcciones de red para verificar la identidad segura del software de aplicación y las cargas de trabajo que se comunican en nubes públicas o privadas, nubes híbridas, centros de datos locales o entornos de contenedores.

Motor de automatización de políticas

Automatización de todo el ciclo de vida de las políticas de microsegmentación y protección de las cargas de trabajo mediante el aprendizaje automático. No es necesario crear políticas de manera manual durante la implementación o las operaciones en curso, y Workload Communications recomendará políticas nuevas o actualizadas cuando se agreguen o modifiquen aplicaciones.

Visibilidad y medición de la superficie de ataque

Diseño automático de una topología de aplicaciones en tiempo real y mapeo de dependencias hasta el nivel de proceso. Luego resalta las rutas de aplicación necesarias y las compara con la totalidad de rutas de red disponibles, recomendando políticas para minimizar la superficie de ataque y proteger lo que sea necesario.

Compruébelo usted mismo

Solicite una demostración para ver de primera mano cómo Zscaler Workload Communications le permite crear enclaves en la nube para mejorar su seguridad.

Recursos sugeridos

En qué se diferencia la microsegmentación de la segmentación de red
Leer el blog
Zero Trust con un solo clic
Leer la hoja de datos
Guía de mercado de Gartner® para el acceso a la red Zero Trust de 2020
Leer la guía
Guía del arquitecto de redes sobre el acceso a red Zero Trust
Leer la documentación técnica
Aplicación de la Segmentación por Fases
Leer el documento

01 / 03