Seguridad del centro de datos ¿Qué es la seguridad del centro de datos?
La seguridad de datos consiste en el proceso de proteger los datos digitales de accesos no autorizados, la corrupción o los robos que puedan producirse como consecuencia de una infracción de la seguridad física, una vulneración de datos o un ciberataque.
La tendencia creciente del tráfico del centro de datos de este a oeste (de servidor a servidor) está redefiniendo los requisitos de seguridad. La velocidad y volumen del tráfico este-oeste en entornos de aplicaciones virtualizados y contenedorizados requieren nuevas soluciones de seguridad, especialmente en escenarios multiinquilino, donde impera la seguridad de confianza cero.
- Seguridad del centro de datos y confianza cero
- Componentes de un centro de datos seguro
- Principios básicos de la confianza cero
- ¿Qué es la seguridad de terminales?
- ¿Por qué es tan importante la seguridad en infraestructura?
- Una nueva generación de tejidos de centros de datos seguros
- Migración del tejido de centro de datos
Seguridad del centro de datos y confianza cero
El panorama de las amenazas de ciberseguridad ha cambiado drásticamente en los últimos años. Hoy en día, los ciberdelincuentes están más motivados que nunca para acceder a los centros de datos empresariales y robar información valiosa. Para el centro de datos, eso significa no confiar en ninguna entidad de la red de forma predeterminada y desconfiar de todo el tráfico, a menos que una política de seguridad explícita lo permita.
Con aplicaciones basadas en microservicios, puede que el tráfico no sea inspeccionado nunca por un cortafuegos de hardware, un IPS u otro dispositivo de seguridad, lo que deja a las empresas a merced de los ataques desde dentro de la propia empresa.
En NIST SP 800-207 se indica que «Los modelos de seguridad de confianza cero suponen que hay un atacante en el entorno» y la arquitectura de confianza cero está «diseñada para evitar la vulneración de los datos y limitar el movimiento lateral interno».
Las dos mayores amenazas a los centros de datos son:
- Ataques de infraestructura: las empresas dependen de sus activos tecnológicos para seguir operando, por lo que proteger la infraestructura tecnológica supone proteger también a la propia organización. Los ataques a la funcionalidad de los componentes del centro de datos (almacenamiento, computación y red) provocan pérdidas del rendimiento, la disponibilidad, los datos propietarios y la propiedad intelectual, lo que afecta negativamente a la rentabilidad de una empresa.
- Ciberataques: las amenazas para la infraestructura tecnológica comprenden desde intentos de phishing y ataques de ransomware hasta ataques de denegación de servicio distribuido (DDOS) y botnets del Internet de las cosas (IoT). Los sistemas de seguridad dedicados con supervisión avanzada, aplicación de políticas basadas en aplicaciones y detección de amenazas garantizan que las aplicaciones fundamentales para el negocio y las orientadas al cliente puedan funcionar sin problemas.
Componentes de un centro de datos seguro
La seguridad del centro de datos moderno requiere visibilidad granular, control de políticas, y detección y mitigación de amenazas automatizadas sin complejidad adicional.
1. Visibilidad completa
Las redes de centros de datos cambian rápidamente. El desafío más urgente consiste en mantener la estabilidad de las operaciones y la visibilidad para los usuarios mientras se mueven o actualizan los recursos informáticos y de almacenamiento.
Si bien es posible agregar la telemetría de muchos tipos de infraestructura de seguridad, suele consumir mucho tiempo e identifica los problemas después de que hayan ocurrido.
2. Segmentación
Para definir adecuadamente la política de qué conexiones están permitidas y cuáles deben denegarse, es necesario comprender los distintos perfiles de usuario asociados con las aplicaciones y los datos. Al identificar los requisitos, se pueden desarrollar perfiles de acceso al centro de datos adecuados. La segmentación es una separación lógica de los hosts del centro de datos, entre los cuales se puede aplicar una política de seguridad.
La segmentación evita que se produzcan movimientos laterales no deseados mediante la inspección del estado de todo el tráfico de este a oeste dentro del centro de datos y con la aplicación de políticas que impidan que los agentes maliciosos puedan moverse por la red interna. La microsegmentación puede proporcionar segmentación sin la necesidad de renovar el diseño de la arquitectura.
La microsegmentación se puede aplicar a un subconjunto de hosts que requieran un alto nivel de escrutinio o de manera más amplia, para maximizar la política de seguridad de un centro de datos.
3. Mitigar amenazas
Es imprescindible que la infraestructura del centro de datos moderno pueda detectar amenazas con antelación y limitar los ataques. Una política de gestión centralizada desde un panel único ayuda a mitigar y bloquear amenazas desconocidas.
La segmentación y microsegmentación de red basadas en políticas y automatizadas son necesarias, y los dispositivos de seguridad centralizados resultan ineficientes para unos flujos de tráfico en expansión. Fijar el tráfico de los dispositivos de hardware en el extremo del centro de datos perjudica el rendimiento de las aplicaciones, limita la escalabilidad, incrementa los costes y añade latencia.
Principios básicos de la confianza cero
Con comprobaciones y confirmaciones constantes, las arquitecturas de seguridad de confianza cero detectan rápidamente muchos tipos de ciberataques y, con frecuencia, evitan los accesos no autorizados antes de que tengan lugar. Un modelo de confianza cero admite la microsegmentación, que habilita a la TI para segregar recursos de red, de modo que las amenazas potenciales se puedan contener con facilidad.
Visibilidad integral
Con el aumento de la adopción del IoT, tener visibilidad de todos los dispositivos y usuarios de la red se ha convertido en una tarea cada vez más importante y difícil. Y sin visibilidad, es difícil aplicar controles de seguridad esenciales que hacen posible el modelo de confianza cero. La automatización, el aprendizaje automático basado en la IA y la capacidad de identificar rápidamente los tipos de dispositivos son fundamentales.
Autenticar y autorizar
No confiar nunca y verificar siempre. Se pueden utilizar diversos métodos de autenticación para dar soporte simultáneo a una variedad de casos de uso, incluido el soporte para la autenticación multifactor basada en tiempos de inicio de sesión, comprobaciones de políticas y otros contextos, como nuevo usuario, nuevo dispositivo, etc.
Adopción del control de acceso basado en la identidad para el acceso con privilegios mínimos
El acceso con privilegios mínimos basado en la identidad permite a los usuarios y dispositivos acceder solo a los recursos necesarios para desempeñar sus funciones, y únicamente mientras se comporten de forma coherente con su papel. Una política de control de acceso limita el acceso a los recursos y lo ajusta dinámicamente cuando se observa un comportamiento anómalo o se sospecha de una infracción.
¿Qué es la seguridad de terminales?
La seguridad de terminales protege el activo más valioso de la empresa (los datos) frente a vulnerabilidades y amenazas, al proteger los terminales de la red (hardware como equipos de escritorio, portátiles, tablets y otros dispositivos móviles utilizados para acceder a la red de la empresa). ¿Qué tipos de seguridad de terminales existen?
- Control de acceso a la red (NAC): utiliza cortafuegos para controlar el acceso de los dispositivos terminales a la red.
- Prevención de pérdida de datos: protege archivos o datos pirateados o exfiltrados mediante esquemas de phishing o malware instalados en terminales.
- Clasificación de datos: ayuda a identificar qué datos de tu organización son más confidenciales y asigna mayor valor a su vulnerabilidad, de modo que el acceso a ellos se otorgue en consonancia.
- Filtrado de URL: limita la cantidad de sitios web a los que pueden conectarse los terminales y protege contra el malware.
- Seguridad del perímetro de la nube: coloca un cortafuegos alrededor de datos y aplicaciones confidenciales basados en la nube para limitar qué terminales pueden acceder a los datos.
- Sandbox: configura un entorno virtual que imita la red para que opere el terminal del usuario y se limite el acceso a la información confidencial.
¿Por qué es tan importante la seguridad en infraestructura?
El incremento de la interconectividad y la adopción de servicios de nube, microservicios y componentes de software entre distintas plataformas de nube y en los extremos de red corporativos hacen que proteger la infraestructura tecnológica resulte más complejo, pero también más importante que nunca. Adoptar arquitecturas con seguridad de confianza cero es una de las formas que tienen las empresas de abordar este problema.
Al mismo tiempo, resulta muy importante formar a los empleados en la seguridad de las contraseñas y credenciales para proteger la infraestructura de TI, ya que el elemento humano puede ser el eslabón más débil en la estrategia de seguridad de una organización. La seguridad en infraestructura implementa la protección de datos en todo el perímetro tecnológico de una empresa en estos cuatro niveles:
- Físico: protegiendo a la infraestructura física contra robos, vandalismo, etc. Los planes de recuperación de datos que incorporan la realización de copias de seguridad externas en distintas ubicaciones geográficas también forman parte de la estrategia de seguridad física.
- Red: supervisión del tráfico de red entrante y saliente, ya sea en las instalaciones, en la nube a través de un cortafuegos o mediante autenticación multifactor (MFA), para verificar antes de permitir el acceso a los recursos de la red.
- Aplicaciones: garantizar que las actualizaciones de software y firmware se distribuyan y apliquen en toda la red empresarial, ya que el software obsoleto puede contener vulnerabilidades que aprovecharán los ciberatacantes para obtener acceso a los sistemas de TI.
- Datos: protección de datos utilizando algunas medidas habituales de seguridad para los terminales de las empresas, como el filtrado de URL, las herramientas antivirus, el sandboxing, la protección de las puertas de enlace del correo electrónico, las herramientas de detección y respuesta de los terminales y el cifrado de datos.
Una nueva generación de tejidos de centros de datos seguros
Las redes del centro de datos han evolucionado en la última década y han proporcionado topologías «leaf-spine» (columna y ramificaciones) de 25/100/400 G con un rendimiento mayor para hacer frente al volumen y la velocidad de las arquitecturas de las aplicaciones emergentes, pero las arquitecturas de seguridad y servicios no lo han hecho.
A diferencia de los enfoques de seguridad del perímetro tradicionales, las arquitecturas de seguridad de confianza cero modernas reconocen la confianza como una vulnerabilidad. Asumen que no se debe confiar de manera predeterminada en ningún usuario, incluso aunque se haya permitido su acceso a la red, porque dicho usuario puede estar comprometido. De este modo, se exige la comprobación y la autenticación del dispositivo y la identidad en toda la red. Cada componente individual de la red debe establecer, de forma independiente, su fiabilidad y ser autenticado por cualquier otro componente con el que interactúe, incluso las medidas de seguridad de puntos existentes. Los principios básicos de la estrategia de seguridad de confianza cero:
- No confiar nunca, verificar siempre.
- Asumir un acceso no autorizado
- Verificar de manera explícita
Una arquitectura de servicios distribuidos expande aún más la confianza cero dentro del centro de datos, hasta el extremo de la red de servidores, y ofrece microsegmentación pormenorizada para escalar y fortalecer drásticamente la seguridad de las cargas de trabajo para tareas cruciales.
Migración del tejido de centro de datos
Soluciones, productos o servicios relacionados
Temas relacionados
Soluciones de arquitectura centradas en el extremo, habilitadas para la nube y basadas en datos de HPE Aruba Networking.