La segmentación de la red es una técnica de seguridad de la red que la divide en distintas subredes más pequeñas, que permiten a los equipos de red compartimentar las subredes y otorgar controles y servicios de seguridad únicos a cada subred.

El proceso de segmentación de la red implica dividir una red física en diferentes subredes lógicas. Una vez la red se ha subdividido en unidades más pequeñas y manejables, se aplican controles a los segmentos individuales compartimentados.

La segmentación de la red proporciona servicios de seguridad específicos para cada segmento de red, lo que brinda más control sobre el tráfico de red, optimiza el rendimiento de la red y mejora la situación de seguridad.

La primera ventaja es una mejora en la seguridad. Es bien sabido que, en lo que a seguridad respecta, no importa lo sólidos que sean la mayoría de los aspectos si hay alguno que sea un punto débil. Una amplia red plana presenta inevitablemente una gran superficie de ataque. Sin embargo, cuando una red amplia se divide en subredes más pequeñas, aislar el tráfico de la red en estas subredes reduce la superficie de ataque e impide el desplazamiento lateral. Por lo tanto, si se vulnera el perímetro de la red, los segmentos de la red evitan que los atacantes se desplacen lateralmente en su interior.
Además, la segmentación proporciona una forma lógica de aislar un ataque activo antes de que se propague por la red. Por ejemplo, la segmentación garantiza que un programa malicioso en un segmento no afecte a los sistemas de otro. Segmentar la red limita la extensión de un ataque y reduce la superficie de ataque al mínimo absoluto.

Ahora hablemos del rendimiento. La segmentación reduce la congestión de la red, lo que elimina el tráfico innecesario en un segmento en particular y mejora el rendimiento de la red. Por ejemplo, los dispositivos médicos de un hospital se pueden ubicar en una subred distinta a la de los visitantes, de forma que los dispositivos médicos no se vean afectados por el tráfico de los invitados que navegan por Internet.

Como resultado de la segmentación de la red, tenemos menos hosts por subred, minimizamos el tráfico local en cada subred y limitamos el tráfico externo solo al designado para la subred.

La segmentación de la red crea múltiples segmentos aislados dentro de una red más grande, cada uno de los cuales puede tener diferentes requisitos y políticas de seguridad. Estos segmentos contienen tipos específicos de aplicaciones o terminales que tienen el mismo nivel de confianza.

Hay varias formas de segmentar la red. Veremos la segmentación basada en el perímetro implementada con VLAN y, a continuación, la segmentación que se efectúa a más profundidad mediante técnicas de virtualización de red.

Segmentación basada en el perímetro

La segmentación basada en el perímetro crea segmentos internos y externos basados en la confianza: los elementos internos del segmento de red se consideran fiables, los elementos externos no. Como resultado, apenas se restringen los recursos internos, que suelen funcionar en una red plana con una mínima segmentación interna de la red. El filtrado y la segmentación tienen lugar en puntos de red fijos.

Originalmente, las VLAN se introdujeron para dividir los dominios de difusión y mejorar el rendimiento de la red. Con el tiempo, las VLAN se convirtieron en una herramienta de seguridad, aunque no se idearon para este fin. El problema con este tipo de red es que no hay filtrado dentro de la VLAN misma, el acceso es muy amplio.

Además, para desplazarse entre segmentos, es necesario que existan políticas. Con una política, puede detener o limitar el flujo de tráfico de un segmento a otro (según el tipo, el origen y el destino del tráfico).
El cortafuegos de red es una herramienta común que se utiliza para la segmentación basada en el perímetro. En origen se utilizaba para controlar el tráfico norte-sur de la red, pero permitía la comunicación entre cualquier elemento dentro del segmento.

Virtualización de red

Hoy en día, muchas organizaciones mantienen una variedad de áreas de red con funciones específicas que requieren la segmentación en muchos puntos de la red. Además, cada vez hay más tipos de terminales con los que la red debe ser compatible, cada uno con un nivel de confianza distinto.

Como resultado, la segmentación basada en el perímetro ya no es suficiente. Con la llegada de desarrollos como la nube, el uso de dispositivos personales en el trabajo (BYOD) y los dispositivos móviles, el perímetro se ha difuminado y ya no tiene unos límites claros. Ahora, para mejorar la seguridad y el rendimiento de la red, es necesario segmentarla más y de manera más profunda. Además, con los patrones de tráfico este-oeste actuales, la segmentación de la red es aún más necesaria. Aquí es donde entra en juego la virtualización de red, ya que posibilita una mejor segmentación.

En su forma más simple, la virtualización de redes es el aprovisionamiento de servicios de red y seguridad independientes de la infraestructura física. Al permitir la segmentación en toda la red, y no solo en el perímetro, la virtualización es fundamental para impulsar una segmentación de la red más eficiente. En efecto, la segmentación basada en el perímetro a la que antes estábamos acostumbrados ahora está virtualizada y distribuida, junto con políticas de seguridad flexibles y detalladas, en todos y cada uno de los segmentos de la red.