Ofertas en tecnología

Seguridad de la información: red segregada en capas

Altavoz inteligente Echo Dot

Entre las estadísticas mucho más leídas en el planeta de la Seguridad de la Información es la que afirma que el 70% de los asaltos a los sistemas son internos, esto es, se efectúan desde en la red de la compañía y por los propios usados.

Semeja razonable sospechar que hoy día esta proporción es considerablemente mayor y por una razón realmente simple que voy a describir ahora.

Todo trueque de información en el planeta digital supone una conexión, o sea, un vínculo temporal entre 2 máquinas por medio de las que se efectuará este trueque. En la mayor parte de las situaciones, a un lado de la conexión está un sistema corporativo, con tecnologías de protección y control de cambios, el que es manejado por expertos en el área de TI. Al otro lado de la conexión está el usuario, que no domina la informática ni la seguridad, que abre todos y cada uno de los ficheros adjuntos que recibe por mail con independencia de su procedencia y que está habituado a clickear en el «Estoy conforme» sin leer nada, como sabes, es la manera mucho más rápida y simple de lograr que cualquier cosa ande en una PC.

En este momento concluirás lo evidente conmigo: es bastante Es mucho más simple piratear y conseguir el poder de la PC de un usuario y después comenzar sesión en el sistema corporativo empleando sus credenciales, que agredir la composición tecnológica de la compañía de manera directa. Tomemos la situacion de los bancos, que el día de hoy dedican mucha energía a hacer resoluciones para asegurar que sea nuestro usuario el que acceda a su cuenta bancaria, desde el pc de su casa, y no alguien que se haya apoderado de su máquina y/o robado sus credenciales.

De este modo, aparte del 70% de los asaltos que son internos y completados intencionadamente por los ayudantes, hay aún mucho más que surgen del usuario y la máquina del colaborador, pero gracias a la manipulación efectuada por un agente de afuera. De ahí mi suposición de que esta relación interna versus externa ha incrementado.

El avance más esencial de estas conclusiones es el próximo: la red interna de una compañía, ¿dónde se encuentran los escritorios y cuadernos de los individuos, sencillamente es imposible estimar fiable. Ha de ser tratado como desmilitarizadoesto es, sin protección perimetral, donde la seguridad de cada puesto está al cargo de la programa y configuraciones instaladas en él, como antivirus, cortafuegos personales, pólizas de conjunto, etcétera. Para los pequeños, es tierra de absolutamente nadie, como dicen, donde es cada uno de ellos para sí mismo y Dios para todos.

Realizar seguridad de TI de máquina a máquina en toda la compañía es bastante caro y difícil. Cada PC con su S.O. y programa instalado tiene verdaderamente una cantidad enorme de factores que, si están mal configurados, lo dejan vulnerable.

Mapear, monitorear, corregir y compatibilizar todos estos factores con las funciones técnicas requeridas por los sistemas, sin exponerlo todo a debilidades, necesita un enorme volumen de horas trabajadas y un conocimiento técnico de una hondura que desgraciadamente la enorme mayoría de los expertos de TI no tienen. .

Entonces, a fin de que la Seguridad TI sea eficaz y tenga una relación valor/beneficio mucho más aceptable, es primordial poder contar de forma segura perimetral en ciertas secciones de la red. No obstante, si la una parte de la red donde están los clientes está siempre desmilitarizada, la única forma de tener seguridad perimetral en otra sección de la red es segregarla.

Esto quiere decir dividir la red corporativa en redes mucho más pequeñas, separadas por herramientas que filtran las conexiones y bloquean los asaltos. son los llamados cortafuegosvieja y novedosa generación y también IPS (Sistemas de Prevención de Intrusos).

En este momento solicito una atención particular. 2 capas, una militarizada y otra desmilitarizada, forman un modelo bastante superior que una red monolítica, pero que aún deja bastante espacio para progresar la seguridad y la rentabilidad.

La arquitectura que sugiero aquí de todos modos tiene tres capas. Entre aquéllos que menté previamente, se precisa una cubierta media para albergar los servidores y servicios de apps. Como el ingreso entre capas ha de ser muy con limite, es esencial tener asimismo una red de administración con ingreso gratis a todas y cada una de las capas pero con un control de entrada muy restrictivo, preferentemente con autenticación de 2 componentes y encriptación, como una VPN interna.

En las capas mucho más expuestas se tienen que detectar los activos donde menos control poseemos sobre su empleo. En el medio habrían de estar los activos transaccionales. En el corazón de la red, el área mejor cuidada, han de ser las “joyas de la corona”, que son la información de la compañía.

El diseño general se ve de este modo:

Red de Estaciones de Trabajo: debe albergar el escritorios, cuadernos es el Wi-fi corporativo. Es una red interna, pero debe considerarse hostil (desmilitarizada) debido al accionar de los clientes. Esta red se comunica con la red de apps y la red saliente solo por medio de los puertos de servicio. Asimismo se comunica con la red de administración, pero usando autenticación de 2 causantes y encriptación, ingreso que ha de estar limitado al grupo de Operaciones de Infraestructura de TI.

Web y red de salida, o DMZ: debe albergar el apoderados salida a Internet y al servidores proxy inversos para aceptar conexiones desde Internet. Asimismo es una red hostil (desmilitarizada), gracias a la exposición a Internet.

Red de Apps y Servicios: Debe albergar los servidores de apps y programa intermediotal como servidores para servicios como controladores de dominio, DNS de adentro, directorio y servicios de correo. Es una red semi-hostil (semi-militarizada).

Red de banco de información: Debe albergar los servidores y racimos de bases de datos Unicamente se puede entrar a ella por medio de la red de apps y por medio de los puertos de la banco de información, o por medio de la red de administración. Es la red que aloja la información de la compañía en un formato estructurado y ha de ser la mucho más cuidada.

Es así como se ve el mapa de tráfico entre las capas:

tráfico

Entre las virtudes de este modelo es poder equilibrar la energía invertida en la seguridad del host, que es bastante complicada, según el nivel de exposición de la red.

En internet militarizada, donde están las bases de datos, el ingreso es muy limitado. Los individuos externos y también internos no tienen la posibilidad de cerrar una conexión a ninguna máquina en esa red. Como tal, las limitaciones en el S.O. y del banco no precisan ser tan estrictas.

En internet semimilitarizada, alcanzable solo por medio de los puertos de servicio y donde están los servidores de apps, se precisa una sucesión de cuidados plus con la configuración de los S.O. y programa instalado, tal como particular precaución con el código de los sistemas que radica allí. . Pese a recibir ingreso con limite, existe la oportunidad de conectarse a sus máquinas y los asaltos a las apps son probables de manera directa.

En cambio, en redes desmilitarizadas es imposible confiar en la seguridad perimetral y hay que extremar el precaución con la configuración de los activos.

Vea de qué forma se ve la estabilidad entre la seguridad de la red y la seguridad del host en el modelo propuesto.

columpio1

En el tiempo: es esencial ver que solo hablo de una red productiva. Si la compañía que adopta este diseño tiene un equipo de avance que genera, prueba y publica sistemas habitualmente, es primordial añadir una red de prueba a este modelo. apartado, a fin de que los programadores logren moverse por los servidores de prueba sin tocar los activos de producción y la información real de la compañía.

Tenga presente que nuestros hogares usan exactamente el mismo término de protección en capas. En ellos, la red militarizada es el interior de la vivienda, la red semimilitarizada es el patio trasero y la red desmilitarizada es la vereda. Los ladrones familiares le hacen a los hogares lo que los atacantes le hacen a las redes comerciales. Eligen ingresar “juntos” con el habitante en vez de derruir el portón, la puerta y la caja fuerte para conseguir su propósito.

El modelo es afín y comprendo que merece la pena estudiar de todo el mundo físico novedosas maneras de resguardar el planeta virtual.

Saludos y hasta el próximo articulo!

Anunciado inicialmente en Blog Ticiano Benetti

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart