¡Bienvenidos de nuevo a la Serie de Arquitectura de Ciberseguridad! En los dos videos anteriores, hablé sobre el manejo de identidad y la seguridad de los endpoints. Ahora nos vamos a centrar en la red. La seguridad de la red involucra muchos elementos diferentes y vamos a hablar sobre cada uno de ellos: los firewalls, que son un componente fundamental de esto, la segmentación que se puede lograr utilizando firewalls, las redes privadas virtuales y SASE. Vamos a profundizar en estos conceptos y explicar cómo se aplican en la ciberseguridad. Sin embargo, el tema es tan amplio y complejo que no podré cubrirlo todo en este espacio. Hay mucho más que se podría discutir aquí.
Índice
Firewalls
Comencemos hablando de los firewalls. ¿Qué es lo que hacemos con los firewalls? La idea detrás de ellos, y de donde proviene la tecnología y el concepto incluso, está en el mundo físico, en un firewall físico. Imaginemos que tenemos tres casas adosadas, y en una de ellas hay un incendio. Lo que queremos es tener una forma de limitar la propagación del fuego de una casa a la siguiente. Tal vez no podamos evitarlo por completo, pero sí podemos retardarlo para que los bomberos puedan llegar y hacer algo al respecto. Así que, en resumen, es una forma de crear aislamiento y protección frente a un evento peligroso. Ahora, apliquemos ese concepto a un escenario de red. Aquí tenemos a un usuario en una estación de trabajo que se conecta a un servidor web, y ese servidor web accede a una base de datos. La arquitectura típica que utilizamos aquí es agregar un firewall aquí y otro aquí. Uno que se enfrenta a Internet y otro interno. El motivo por el que colocamos dos firewalls aquí lo explicaremos mejor en el apartado de segmentación. Pero, en resumen, lo que hacemos, en la forma más básica, es filtrar ciertas cosas que están sucediendo aquí. Esto es lo que se conoce como filtrado de paquetes. Con el filtrado de paquetes, analizo el paquete, es decir, la información que se está enviando desde esta persona hacia esta persona. Y dentro del paquete, incluirá cosas como su dirección de origen, es decir, la dirección desde la que está viniendo, su dirección de destino, hacia dónde quiere ir, que sería este servidor web, y el puerto que va a utilizar, que es una forma de designar qué tipo de tráfico es. Entonces, este firewall puede filtrar según esa información que está en la cabecera de ese paquete. Puede analizarlo y decir: «Bien, el puerto 80, ese es el estándar de la industria para el tráfico de Internet no encriptado. Así que voy a permitir que ese tráfico web pase por el puerto 80». También permitiremos el tráfico encriptado, como el tráfico web SSL o TLS. Por tanto, abrimos este primer firewall para permitir que esa información fluya. Pero también vamos a añadir algunas cosas más para hacerlo aún más seguro. Vamos a decir que la dirección de origen debe estar dentro del rango de Internet externo. ¿Por qué haríamos eso? Bueno, quiero asegurarme de que nadie esté falsificando su dirección y actuando como si viniera desde el interior. A veces confiamos en el tráfico que viene desde el interior y le damos más privilegios y bajamos la guardia. No queremos que eso ocurra con el tráfico externo. Así que, si este paquete viene literalmente desde el exterior y afirma que viene desde el interior, lo bloquearemos. Lo bloquearemos aquí mismo. Respecto a la dirección de destino, vamos a decir que solo puedes ir allí. Si este individuo intenta poner cualquier otra dirección, como esta, si intenta ir directamente a la base de datos, eso se bloqueará, porque esa dirección de destino no es algo que permitamos a través del primer firewall. Ahora tenemos un segundo firewall aquí que añade aún más seguridad. Este tráfico, este es el puerto que vamos a abrir para permitir este tipo de tráfico entre el servidor web y la base de datos. Solo permitiremos una dirección de origen que sea la del servidor web. No voy a permitir nada que venga de Internet, del mundo externo, si tiene esa dirección como origen, de dónde viene, no lo permitiré. Debe haber comenzado aquí y solo debe tener esta como destino. Así que, al crear ese conjunto de reglas, cualquier tráfico desde el exterior solo puede llegar aquí, donde puede ser inspeccionado y donde podemos implementar algún tipo de control de seguridad. No puede llegar a ningún otro lugar. Eso es básicamente lo que estamos haciendo aquí, y se pueden seguir aplicando este tipo de reglas para aumentar la seguridad. Y lo que he descrito aquí es básicamente la idea del filtrado de paquetes, donde básicamente solo estamos analizando el paquete, la primera parte del paquete, la cabecera. Así que piénsalo como un sobre. Si te envío una carta, ¿qué va a haber en el sobre? Pues bien, vamos a poner una dirección de destino y una dirección de remitente. Esta es tu dirección de destino. Esta es tu dirección de remitente. Así que eso es básicamente lo que hemos hecho aquí. Pero no hemos mirado dentro. Así que no hay inspección aquí. Pero en el próximo ejemplo, voy a hablar sobre la inspección de paquetes en el estado. Y en este caso, vamos a mirar no solo el paquete, sino también el contenido completo, lo que hay en la carga útil. Y hay otras cosas como los firewalls de aplicaciones que son específicos y hacen aún más inspección de esta carga útil, los datos que estás enviando y se aseguran de que no nos cause ningún daño. Y en este caso, es más como el sobre abierto, de manera que podemos ver el contenido, no solo el destinatario y el remitente. Esa es una analogía que te puede ayudar a entender esto. La inspección de paquetes en el estado también analiza el contexto del paquete. Así que está viendo que enviaste uno de estos y luego uno de estos, pero no deberías haber enviado eso siguiente porque eso rompe todas las reglas. Por tanto, puede analizar más que solo paquetes individuales aislados, que es lo que hace el filtrado de paquetes. Esto fue nuestra primera generación de firewalls, y luego se hizo más sofisticado cuando se agregó la inspección de paquetes en el estado. Pero también hay otras cosas aquí en este tipo de firewall y tecnologías. Piensa en todo esto como una colección de tecnologías que pueden formar parte o no de un firewall en particular. Y el siguiente es esta idea de un proxy. Un proxy es algo que actúa en nombre de otra cosa. Así que aquí tenemos una estación de trabajo que viene desde el exterior y quiere acceder a este servidor web, por ejemplo. Pero lo que voy a hacer es agregar otro servidor aquí en el medio que esté haciendo el papel de proxy. Y lo que va a suceder es que voy a interrumpir esta conexión. En este momento, lo que vemos representado es una conexión directa, de extremo a extremo. Inserto un proxy, le digo a esta persona que se comunique directamente conmigo y él se comunicará directamente con el servidor web de back-end. Ahora tenemos dos conexiones. Lo que sucede es que esta persona cree que está hablando aquí, pero de hecho está hablando conmigo. Esta persona cree que está hablando con eso, cuando en realidad está hablando con esto. Ahora tenemos efectivamente a un hombre en el medio. Pero es un buen hombre en el medio. Es uno que hemos puesto allí para poder inspeccionar el tráfico. Por cierto, el tráfico que viene desde el exterior a mi red interna. Tal vez quiera echarle un vistazo antes de permitir que entre, ver si tiene virus o cosas así. Así que puedo inspeccionar y puedo aplicar una política de seguridad si es necesario. Esa es una de las ventajas de agregar un proxy. Por cierto, a veces la gente también agrega proxies por razones de privacidad, para protegerse de quién ve exactamente qué hace quién. Parece que todo viene del proxy, no del usuario final real, en ese caso. La última cosa de la que quiero hablar aquí es, de hecho, una de las tecnologías más extendidas y más utilizadas, la traducción de direcciones de red, o NAT, por sus siglas en inglés. Esto es algo que probablemente tengas en casa y que estés usando en este momento y es posible que no lo sepas. Con NAT, lo que hacemos es que todos hemos acordado convencionalmente por estándar de la industria que hay un rango de direcciones que son fiables en Internet y un rango que no es fiable en Internet. Esto se especifica en las reglas para el tráfico de Internet. Si la dirección comienza con un 10, no importa cuáles sean los otros números después de eso, porque las direcciones de Internet siempre son esos cuatro números separados por puntos. Así es como representamos eso. Si comienza con un 10, si es una dirección de 10 puntos, no se puede enrutar a través de Internet. Se puede enrutar a través de una intranet interna o a través de tu red doméstica. Si tienes un router Wi-Fi doméstico, encontrarás que ha utilizado una dirección de 10 puntos, o más comúnmente ha utilizado una de estas de 192.168 puntos algo puntos algo. Eso es muy común en las configuraciones domésticas. Así que esta es una dirección interna que no se puede enrutar por Internet. Por eso necesitamos este dispositivo NAT. La NAT realiza la traducción, esa es la T en NAT. Así que si esta persona quiere enviar tráfico a Internet, su dirección interna, si la enviara directamente, llegaría al primer enrutador en Internet y se bloquearía. No iría a ningún sitio. Pero, de hecho, lo que vamos a hacer es que la tabla NAT, el router NAT o el firewall NAT, mantiene una tabla donde va a traducir esto en una dirección externa, generalmente solo una dirección única que se reconoce para todo lo que está detrás de aquí. Así que, en realidad, conserva las direcciones IP. No necesito tener 100 de estos dispositivos diferentes aquí. Todos parecen ser solo una dirección en Internet. Así que traduzco el tráfico a medida que llega aquí en algo que se puede enrutar para que llegue a Internet y cuando vuelva, el NAT lo volverá a traducir y lo enviará de vuelta a la estación de trabajo a donde tenía que ir. Eso es solo para preservar la funcionalidad existente. ¿Dónde está la protección? La protección viene porque si esta persona aquí afuera quiere llegar directamente a esta estación de trabajo, no puede porque la dirección de esta estación de trabajo, este 192.168.1.1 que es un ejemplo, no se puede enrutar a través de Internet. Si intenta enviarlo, no llegará a ninguna parte. Por lo tanto, de esta manera tenemos tráfico interno y tráfico externo y podemos fluir de esta manera. Pero evitamos que alguien pueda llegar directamente desde el exterior al interior. Y como dije, esta es una tecnología muy común. Por lo general, está incorporada en todos los enrutadores domésticos.
Segmentación
Ahora que hemos hablado de firewalls, pasemos a la segmentación. Es decir, ¿cómo vamos a aplicar estos firewalls en varias arquitecturas de red para lograr diferentes niveles de seguridad? Veamos el primer ejemplo, que es el más primitivo. No lo recomiendo. Nunca deberías hacer esto. Pero en los primeros días de Internet, era una opción viable para mucha gente. Es un host de bastión. Básicamente, tomamos nuestro servidor web y lo colocamos en Internet, porque lo que no queremos es que la red interna, la intranet, se exponga directamente a Internet. Si no pongo esto en algún lugar aquí fuera, eso significa que tengo que permitir que todo el tráfico de Internet llegue a mi red interna. Y eso es una muy mala idea. Así que, en los primeros días, la gente solía poner un solo firewall justo aquí, colocar su servidor web aquí fuera o cualquier otro dispositivo, tenía que ser un bastión, el último bastión de defensa al borde. De nuevo, no se recomienda. Tenemos formas mejores de hacerlo.
La siguiente generación de esto fue una red de tres puntos en la que, en este caso, básicamente creamos un firewall que dividimos aquí en tres diferentes redes. Por lo tanto, el firewall que se encuentra aquí reconoce el tráfico que entra en una tarjeta de interfaz de red. Y este tráfico, por ejemplo, todo el tráfico de Internet, será dirigido directamente a donde se encuentra nuestro servidor web. Si entra por esta tarjeta de interfaz de red, se dirigirá automáticamente allí. Y tal vez apliquemos algunas reglas, como el filtrado de paquetes y cosas así. Pero esa es la dirección a la que en la mayoría de los casos se dirigirá el tráfico. Y es probable que en este caso, el tráfico interno, si entra por esta tarjeta de interfaz de red, pueda ser enrutado aquí si alguien del interior quiere visitar nuestro sitio web. Pero también puede ser que intente ir a algún otro lugar aquí. Así que aquí tenemos un solo firewall que está haciendo mucho trabajo en un solo lugar. Por eso se le llama red de tres puntos. Esto es una especie de DMZ. Una zona desmilitarizada es el término que usamos para referirnos a un área que sirve como un buffer entre un entorno no confiable y un entorno más confiable. Ahora, voy a utilizar esos términos de forma muy simplificada, y pido disculpas a las personas que entienden lo que significa «confianza cero», que no hay realmente redes de confianza. Pero eso es básicamente lo que estamos tratando de mostrar aquí: la zona roja, la no confiable; la zona amarilla, la semiconfiable; y la zona verde, la más confiable. Esa es la idea detrás de la codificación de colores de esta red.
Pasemos a la DMZ básica, que es muy popular. Por cierto, esta última opción es la que a menudo se utiliza en las redes domésticas. Si quieres tener una red interna y permitir que los invitados tengan acceso o que los dispositivos de Internet de las cosas (IoT) tengan acceso. Si estás alojando tu propio servidor web en tu red doméstica, no es una gran idea, pero podrías hacerlo. Es posible que desees separarlo así porque, de nuevo, es una opción económica. Esa es la ventaja, es muy escalable. Es barato. Sin embargo, tiene la desventaja de ser un único punto de fallo. Si esta cosa no hace su trabajo, todo está abierto de par en par, potencialmente.
Movámonos a la DMZ básica, que en este caso voy a usar dos firewalls. Así que automáticamente tendré más costes porque tendré más protecciones de seguridad que debo implementar. También será más complejo porque tengo que administrar diferentes reglas y capacidades en cada uno de ellos. Y les di un ejemplo de esto en la primera fase. En el primer ejemplo antes, hablé sobre el filtrado de paquetes y el tráfico que entra aquí y sale por allá, y así sucesivamente. Ese sería un DMZ básico. Tenemos una zona roja, una zona amarilla, una zona verde. Piensa en esto como un semáforo. Aquí está el peligro, lo no confiable. La zona amarilla es la semiconfiable y la zona verde es la más confiable. Eso es lo que se está logrando aquí, y hemos creado una especie de reglas de firewall para asegurarnos de que esto pueda ser confiable, porque de nuevo, nadie puede ir de aquí a aquí. Lo bloqueamos. En realidad, lo bloqueamos en este primer firewall y luego tenemos un bloqueo secundario aquí. Y como resultado, porque tenemos un bloqueo aquí y otro aquí, tenemos una defensa en profundidad. Recuerda que, volviendo al primer video de esta serie, uno de los principios de seguridad que mencioné fue precisamente este concepto de defensa en profundidad. No confío en ningún mecanismo de seguridad único para protegerme. Si este firewall falla por alguna razón, aún así no se puede llegar desde aquí hasta aquí porque hemos construido una regla que establece que la dirección de origen debe ser el tráfico que proviene de este servidor web, por ejemplo. Y si este fallara y todo el tráfico pudiera pasar, aún así sería bloqueado por este segundo. Por tanto, tenemos una defensa en profundidad. También es más escalable. Así que puedo construir múltiples de estos, muchos de estos. Por tanto, las oportunidades son mucho mayores. De nuevo, no es un solo punto de fallo, pero sí es defensa en profundidad.
Por último, hablaré de una DMZ de múltiples niveles. Así que en el caso de la DMZ de múltiples niveles, básicamente colocamos un firewall aquí y aquí. Así que ahora tenemos esta configuración repetida aquí. Pero en este caso, he separado el servidor web del servidor de aplicaciones y de la base de datos, en este ejemplo. En este caso, voy a implementar otro firewall, un tercer firewall. Como puedes imaginar, uno de los inconvenientes es que será aún más caro que los demás. Será más costoso y más complejo, porque ahora tengo tres firewalls para administrar y diferentes reglas en cada uno de ellos. Sin embargo, tenemos una defensa en profundidad a lo grande, ya que ahora cualquiera de estos mecanismos tendría que fallar. Si uno de ellos falla, no necesariamente sería un gran problema para nosotros. También tenemos una mayor granularidad. Es decir, puedo permitir que el tráfico vaya solo desde esta zona hasta esta zona. Puedo permitir que el tráfico de esta zona solo vaya a esa zona y viceversa. Por lo que tengo un mayor control y puedo apagar un servicio o un usuario en particular si es necesario. Así que hay muchas posibilidades diferentes en esta área de segmentación.
Redes Privadas Virtuales (VPN)
Ahora que hemos hablado de los firewalls y de la segmentación, pasemos al siguiente tema: las redes privadas virtuales (VPN). ¿Para qué están diseñadas las VPN? Básicamente, están tratando de darnos un canal seguro a través de una red no confiable. Esa es la idea. No puedo confiar necesariamente en Internet porque no tengo control ni visibilidad sobre todos los aspectos de eso. Pero me gustaría poder enviar información de forma segura a través de él. Por lo tanto, quiero un canal seguro a través de una red no confiable. Eso sería una gran capacidad. Y la forma en que lo logro es cifrando mi información y luego enviándola a través de la red. La idea es que obtengo confidencialidad. La obtengo porque las personas no pueden ver lo que hay en el paquete. Todo lo que verán es la información cifrada. Muchas veces pensamos en esto como un tubo o un túnel. Escucharás esas analogías aquí. Digamos que tenemos a un usuario aquí con un navegador que intenta acceder a un servidor web, y estamos construyendo un conducto seguro, una conexión de un extremo a otro. Y estoy cifrando todos los paquetes a medida que cruzan. Por lo tanto, alguien que mire aquí no verá nada que pueda interpretar, nada que tenga algún significado. Esa es la idea detrás de un conducto seguro, un canal seguro a través de una red no confiable. Así que eso es lo bueno. A los expertos en seguridad les encanta que podamos hacer esto. Pero lo que a ellos no les gusta tanto es esto. Es decir, una capacidad de inspección limitada, esta capacidad de… Si el bueno puede enviar su tráfico sin que todos lo vean, también significa que el malo puede enviar su tráfico sin que todos lo vean, y eso sería un problema. Por lo tanto, limita nuestra capacidad de inspección y, por tanto, de ver si alguien está introduciendo malware en nuestro sistema o si alguien está iniciando un ataque. Así que es una bendición y una maldición al mismo tiempo. Hay diferentes tipos de tecnologías de VPN. Y para entenderlas, realmente necesitamos tener un poco de comprensión sobre las tecnologías de red. Hay un modelo OSI de 7 capas. Esto es algo clásico. No vamos a entrar en detalle, pero la idea es que hay diferentes capas. Para cada paquete que envío, hay diferentes aspectos y preocupaciones que se implementan en diferentes capas aquí. Y lo que sucede en el mundo real es que la mayoría de las personas, si eres un programador de aplicaciones, probablemente te preocupes más por estas capas superiores, como las capas de aplicación y presentación. Y las personas de infraestructura de red se preocupan mucho más por las cosas aquí abajo, como las capas de transporte, red, enlace de datos, física y cosas así. Entonces, hay una pequeña desconexión allí en las preocupaciones. Pero lo que también es muy importante en esto es que, con este modelo, tenemos una forma de, si implementamos una capacidad de seguridad, por ejemplo, en una de estas capas, será heredada por las capas superiores. Así que si cifro todo mi tráfico aquí, entonces será cifrado por todas las capas superiores también. Por lo tanto, desde un punto de vista de seguridad simple, puede ser más fácil poner el cifrado más abajo en la pila. Hablaré en un minuto sobre por qué no siempre es lo que quieres hacer, sin embargo. Entonces, hay diferentes ejemplos de cómo hacemos esto. Por ejemplo, en la capa de aplicación, puede haber oído hablar del protocolo -shell seguro. Ese es un ejemplo de una VPN específica de la aplicación. Cifra los datos para que puedas conectarte a una consola de dispositivo específica, por ejemplo. Hay un FTP seguro y otros ejemplos como esos. Otro ejemplo muy común que encontrarás todo el tiempo, ya estés o no consciente de ello, es TLS o SSL, seguridad de la capa de transporte o capa de sockets seguros. Este es el término más antiguo. El nombre más nuevo para este estándar es TLS. Se implementa en la capa de transporte. Eso es lo que generalmente ves cuando tienes un navegador conectado a un servidor web y ves ese pequeño candado en el navegador en la barra de URL. Eso es lo que se está implementando allí, TLS. Por lo tanto, todo lo que vaya a ese servidor web estará cifrado. Hay otros ejemplos. Hay algo llamado IPsec, que se implementa en la capa de red. Si lo haces, entonces todo entre dos direcciones de red estará cifrado en lugar de solo entre el servidor web o una aplicación específica. Y luego tenemos algunos otros ejemplos de protocolo de túneles punto a punto, P2PTP o L2TP, que son ejemplos aún más bajos en la pila. Para no entrar en detalles, solo para darte una idea, no hay un solo tipo de VPN o tecnología de VPN. Todos comparten algunas de estas cualidades. Y si ves estas cosas, deberías pensar: «Ah, esto es un tipo de VPN». Ahora, lo que está sucediendo en la actualidad es que estamos tendiendo a alejarnos de las VPN de red más amplias y más hacia las VPN específicas de aplicaciones. ¿Cuál es la razón de eso? Bueno, en el lado de las ventajas de las VPN amplias, es que son relativamente simples. Configuro una conexión, por ejemplo, entre dos puntos finales o entre yo y una red en particular. Y todo lo que hago, por ejemplo, si configuro una sesión IPsec, todo lo que envío a ese conjunto de la red ahora estará cifrado. Así que eso es muy sencillo de hacer. Sin embargo, no nos da la granularidad que obtenemos del lado de las VPN específicas de aplicaciones, como lo estamos haciendo con SSH. La otra ventaja en el lado de las amplias redes VPN de red es que son una solución completa. De nuevo, si cifro en esta capa, entonces todo el tráfico, todas las aplicaciones diferentes pueden beneficiarse de esa VPN básica. No tengo que configurar diferentes VPN. Por lo que es más simple en ese sentido. Sin embargo, no tengo tanto control y tanta granularidad. La capacidad de controlar y decir que tengo una VPN para mi correo electrónico, una VPN para mi aplicación de intercambio de archivos, una VPN para mi aplicación de mensajería instantánea y controlarlas todas por separado me da más control para poder desactivar un servicio o un usuario en particular. Así que hay muchas posibilidades diferentes aquí en esta área de VPN.
SASE
Ahora que hemos cubierto firewalls, segmentación y VPN, pasemos al último tema: SASE, que significa servicio seguro y de acceso perimetral. En realidad, es un tema muy relevante e importante en estos días como parte del tema más grande de confianza cero (zero trust). Y de hecho, otro aspecto relevantee de confianza cero es la microsegmentación. Hemos hablado de la segmentación antes, pero la microsegmentación lleva eso al extremo y crea muchas zonas dentro de tu red con pequeñas redes internas. Pero SASE en particular. Lo que estamos tratando de hacer aquí es crear algún tipo de capacidad segura que se entregue en el borde. Pensemos en ello de esta manera. En este ámbito, tenemos preocupaciones de redes, aquí tenemos cosas de seguridad y aquí tenemos la nube. Si pensamos en la intersección de la red, la seguridad y la nube, es aquí donde reside SASE. Porque, y dependiendo de cómo quieras pensar en esto, si piensas más matemáticamente, te puede gustar esta descripción. Si piensas más visualmente, te puede gustar esta otra. Vamos a seguir la descripción más matemática primero. SASE es básicamente seguridad en la red más WAN, capacidad de conocimiento amplio de la red. Así que eso es la seguridad de la red y todo se entrega desde la nube. Así que es una forma de llevar ese diagrama de Venn y expresarlo como una ecuación matemática suelta. Por lo tanto, si descomponemos esto un poco más, ¿qué significa? ¿Qué significa NetSEC, seguridad de la red? Básicamente son los firewalls, de los que hemos hablado. Son las puertas de enlace web seguras, de las que no hemos hablado en detalle, pero piensa en ellas como firewalls específicos de aplicaciones y cosas así. Y la prevención de pérdida de datos, que es algo de lo que hablaré en el dominio de la seguridad de los datos cuando lleguemos a ese tema. Pero todas estas cosas y más se entregan en el borde, así que esa es la parte de seguridad en la red de todo esto. La WAN específicamente es una WAN definida por software. Que es una forma de crear una red dinámica donde puedes cambiar dónde están los límites de la red y aprovisionar estos en tiempo real, efectivamente. Por lo tanto, te brinda mucha más agilidad y flexibilidad. Así que estamos agregando esa capacidad, este SD-WAN, fusionándolo con los componentes de seguridad de la red y luego entregando todo desde la nube, porque la nube nos brinda la capacidad de escalar. Podemos escalar hacia arriba y hacia abajo, elasticidad y agilidad. Nuevamente, mucha flexibilidad. Eso es lo que la gente está buscando en este caso. Si tomo todas esas cosas y quizás incluso agregue otra cosa dentro del espacio de la seguridad, la gestión de identidad, específicamente, la autenticación y la autorización. Por lo tanto, algunos controles de acceso, esto es lo que es SASE. Combina todas estas funciones en un solo componente lógico y las entrega desde la nube, en el borde de la red. Otra forma de verlo es así. Entonces, aquí tenemos a nuestros usuarios, aquí tenemos la red externa y luego tengo esta capacidad de SASE que está aquí en el medio. Y lo que esto proporciona es, por un lado, las capacidades de networking que mencioné anteriormente, y por el otro, también las capacidades de seguridad, como los firewalls y la prevención de pérdida de datos. Así que todo esto es una forma de combinar estas funciones y entregarlas. Esta es una forma más moderna de entregar todas estas capacidades en comparación con lo que habría sido en el pasado, donde cada una de estas habría sido un dispositivo separado, un componente separado, una capacidad administrativa separada, una persona separada para administrar todo esto y todo eso. Así que esto lleva todas estas funciones juntas y las hace funcionar de una manera más integral.
Resumen de la información
En resumen, hemos hablado de firewalls, segmentación, VPN y SASE. Estos son elementos clave en la arquitectura de ciberseguridad y proporcionan una base sólida para proteger las redes y los datos. Los firewalls actúan como un filtro y permiten controlar el tráfico entrante y saliente en una red. La segmentación permite dividir la red en zonas separadas para limitar la propagación de las amenazas. Las VPN cifran el tráfico para proporcionar una comunicación segura a través de una red no confiable. Y SASE combina la seguridad de red y la WAN, entregándolas desde la nube. Estas tecnologías son fundamentales para garantizar la seguridad de las redes y los datos en el mundo digital actual.
A continuación, presentamos una tabla que resume las características clave de cada uno de estos elementos:
| Elemento | Descripción |
|---|---|
| Firewalls | Componente fundamental de la seguridad de red que filtra el tráfico basándose en reglas definidas. |
| Segmentación | Divide la red en zonas separadas para limitar la propagación de las amenazas y proteger los datos sensibles. |
| VPNs | Proporcionan un canal seguro sobre una red no confiable mediante el cifrado del tráfico y la creación de un túnel virtual. |
| SASE | Entrega seguridad de red y conectividad WAN a través de la nube, combinando funciones como firewalls y SD-WAN. |
Preguntas frecuentes (FAQs)
Aquí tienes algunas preguntas comunes sobre firewalls, segmentación, VPN y SASE:
- ¿Qué es un firewall?
- ¿Cómo funcionan los firewalls?
- ¿Cuál es el propósito de la segmentación de red?
- ¿Qué son las VPN y por qué son importantes para la seguridad de la red?
- ¿Qué es SASE y cómo se diferencia de otras soluciones de seguridad de red?
Si tienes más preguntas, déjalas en los comentarios y estaré encantado de responderlas.
Espero que este artículo te haya proporcionado una comprensión clara de los firewalls, la segmentación, las VPN y SASE, y cómo se aplican en la arquitectura de ciberseguridad. Si te ha gustado, ¡asegúrate de suscribirte a mi blog Todoforti.net y estar atento a futuros artículos relacionados con la ciberseguridad!
¡Hasta la próxima!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!