¿Por qué las pequeñas y medianas empresas necesitan interruptores modernos con una seguridad sólida?

La red es un ingrediente importante en cualquier plan de seguridad de TI, porque los ataques cibernéticos suelen llegar desde la red y los ataques también usan la red para propagar el daño. La seguridad de la red es una gran prioridad para las grandes empresas, pero es igualmente importante para las pequeñas y medianas empresas (PYMES).

La seguridad de la red consiste en un conjunto de políticas, prácticas, reglas y enfoques adoptados para proteger la integridad, confidencialidad y accesibilidad de la red informática y los recursos accesibles a la red.

Las pymes pueden utilizar diferentes enfoques y soluciones para hacer cumplir la seguridad de la red:

  • Los servidores de seguridad de red y los servidores proxy  se utilizan generalmente para proteger el perímetro de la red y se centran en prevenir ataques remotos.
  • La segmentación de red  generalmente se usa para segregar diferentes redes internas y minimizar los ataques entre segmentos.
  • Endpoint security con antivirus, firewall personal, administración actualizada y otras soluciones para aumentar la seguridad de cada dispositivo.
  • La autenticación  para los empleados de la empresa como mínimo, que generalmente se implementa con soluciones como Microsoft Active Directory.

Por supuesto, hay muchas otras soluciones de seguridad, como microsegmentación, honeypots y honeynets, sistemas y sistemas de detección de intrusos en la red, y una autenticación fuerte. Sin embargo, la mayoría de estas soluciones son demasiado costosas y complejas para la mayoría de las organizaciones sin personal de TI dedicado.

Pero las PYMES pueden mejorar fácilmente la seguridad de la red simplemente utilizando productos de red modernos.

La infraestructura de red y servidor debe estar armada con las últimas innovaciones para prevenir, proteger y proteger contra ataques de seguridad. Limitar la seguridad a firewalls y antivirus ya no es suficiente para cualquier tamaño de organización.

Segmentación de red (micro)
Todavía hay pymes con una única red interna plana, que usa solo un firewall perimetral. Esto ya no es razonable.

La mayoría de los conmutadores permiten redes lógicas VLAN (IEEE 802.1Q) que permiten algún tipo de segmentación de red para minimizar (o al menos controlar) las superficies internas de ataque.

Las VLAN no son la única forma de lograr la segmentación de la red. Existen muchos productos y soluciones para implementar la microsegmentación (incluso en una red plana), pero el costo y la complejidad de esas soluciones, en este momento, están fuera del alcance de una PYME.

También hay VLAN privadas (PVLAN) compatibles con algunos conmutadores que pueden ser realmente útiles para implementar una versión “simple” de microsegmentación. Por ejemplo, los conmutadores Aruba admiten PVLAN.

Cuando se trata de redes virtuales, VMware vSphere solo admite PVLAN en conmutadores virtuales distribuidos. Eso significa tener al menos la licencia Enterprise Plus, que no es exactamente asequible para las PYMES. Tenga en cuenta que Microsoft Hyper-V incluye soporte PVLAN en todas las ediciones.

Tener un segmento lógico diferente en una red física es solo el primer paso. Es como tener autopistas más dedicadas, ahora tiene que administrar el tráfico y la ruta adecuada.

¿Cómo gestionas el enrutamiento entre segmentos lógicos? ¿Cómo gestiona la seguridad de la red entre esos segmentos?

El uso de los mismos conmutadores centrales para administrar también el enrutamiento de Capa 3 podría ser una solución realmente fácil, pero no es necesariamente la mejor desde el punto de vista de la seguridad. Esto se debe a que la mayoría de los conmutadores centrales no proporcionan funciones de filtrado o inspección de paquetes.

Las soluciones podrían usar el mismo firewall perimetral para administrar las diferentes redes lógicas internas, pero este enfoque podría limitar el rendimiento y la escalabilidad. La mayoría de los dispositivos de firewall SMB no tienen suficiente rendimiento para manejar el tráfico interno también o pueden tener un número limitado de interfaces internas.

Otra solución podría ser usar soluciones de virtualización de funciones de red (NFV), como firewall virtual (por ejemplo, pfSense) o proxy.

Para las redes Wi-Fi, existen diferentes consideraciones y soluciones, pero el enfoque de segmentación de red (por ejemplo, para la red inalámbrica invitada) y el uso de diferentes VLAN siguen siendo válidos y normalmente se implementan también en SMB.

Autenticación de red La autenticación de
usuario (y computadora) generalmente es proporcionada por un dominio de Microsoft Active Directory y se usa comúnmente también en SMB. Pero, ¿qué pasa con la autenticación de red, como los controles de acceso de Capa 2?

Para redes Wi-Fi, esto es algo común y normalmente se implementa con WPA2-Enterprise (IEEE 802.11i). Los puntos de acceso modernos ya no requieren un controlador centralizado, lo que realmente ayuda a mantener la implementación de la red simple y asequible. La cartera de Aruba de puntos de acceso 802.11ax (Wi-Fi 6)  y 802.11ac (Wi-Fi 5) aborda los casos de uso de Wi-Fi más desafiantes de la actualidad con una implementación flexible también sin controlador (instantánea) .

Pero para las redes cableadas, las pymes normalmente no utilizan soluciones específicas de control de acceso a la red (NAC) de capa 2. Y es una pena porque la mayoría de los conmutadores admiten la autenticación de red de capa 2 basada en los estándares IEEE 802.1X. Y, por supuesto, los puntos finales comunes como Windows, Linux o MacOS también son compatibles con esos estándares.

Desafortunadamente, también necesita infraestructura (básicamente un servidor de autenticación que admita el protocolo Radius), pero también puede implementarlo con Windows Server con la función NPS. Probablemente todavía sea demasiado complicado para una PYME, pero realmente puede aumentar la seguridad de la red. También hay productos específicos para simplificar una implementación de NAC (como Aruba ClearPass), pero en la mayoría de los casos están enfocados para empresas y no para PYMES.

Confidencialidad de la red
Para las redes Wi-Fi, todas las comunicaciones están encriptadas de manera predeterminada y los conjuntos de cifrado evolucionan para hacer que este encriptado sea seguro.

Pero para las redes cableadas, los conmutadores no proporcionan canales seguros (debido a la naturaleza de Ethernet) y depende de la capa de aplicación (o sesión) proporcionar una comunicación mejor asegurada.

Los protocolos de aplicación se han reemplazado gradualmente con una versión encriptada de los mismos protocolos (como HTTPS en lugar de HTTP) y, por supuesto, el cliente y el servidor han cambiado para admitir esos protocolos.

Además, los protocolos de red, que inicialmente fueron diseñados para la comunicación interna, se han mejorado para tener canales seguros, como ha sucedido con los protocolos SMB o RDP en los sistemas Windows.

Proporcionar un canal seguro de extremo a extremo se está convirtiendo en el estándar y realmente puede aumentar la seguridad general de la red.

Visibilidad de red

Para las PYMES, proporcionar análisis de red de una manera simple y rentable es probablemente uno de los aspectos más difíciles.

Existen varias herramientas gratuitas que pueden proporcionar valores agregados, como el tráfico de red. Pero estas herramientas se vuelven difíciles cuando desea buscar o analizar o si necesita una forma proactiva de verificar el tráfico de su red y encontrar problemas de seguridad de la red.

Desde esta perspectiva, las ofertas en la nube de SaaS podrían ser una mejor solución para las pymes. Simplemente puede alquilar un servicio sin comprar la infraestructura compleja que necesita para ejecutarlo.

Además, el aprendizaje automático y la inteligencia artificial se utilizan en esas herramientas para proporcionar información más valiosa o permitir un análisis profundo y automático.

La
seguridad de Big Picture Network es un argumento complejo y requiere un conjunto de soluciones diferentes con buena integración y compatibilidad. Los estándares pueden ayudar, pero no hay suficientes estándares para los diferentes aspectos de seguridad que existen.

Por esta razón, diferentes proveedores construyen sus “soluciones empaquetadas”.

Por ejemplo, el Aruba 360 Secure Fabric es un marco de seguridad empresarial que brinda a los equipos de seguridad y TI una forma integrada de obtener visibilidad, control y defensa avanzada contra amenazas.

Por supuesto, esas soluciones están diseñadas principalmente para empresas, pero la tecnología de la historia de que varias soluciones nacidas para el caso empresarial también han sido adaptadas para SMB.

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s