Agregando Seguridad Zero-Trust de Microsegmentación a Sitios

Resumen

La microsegmentación (segmentación a nivel de host) asegura el tráfico dentro del mismo dominio de difusión (por ejemplo, una VLAN) al agregar control de acceso para el movimiento lateral entre hosts. Los cortafuegos de red tradicionales a menudo operan en la Capa 3, donde no siempre inspeccionan o bloquean el tráfico intra-VLAN (Capa 2).

Cuando habilite la microsegmentación para un Sitio Socket en Cato, la máscara de subred del rango se dividirá en múltiples direcciones /32. Todo el tráfico host a host en esa VLAN se ve obligado a enviarse al gateway predeterminado (Socket), donde el motor de cortafuegos de Cato relevante evalúa el tráfico antes de que alcance el host de destino. Esto obliga al tráfico "este-oeste" entre hosts que comparten una VLAN a pasar por el cortafuegos para inspección y aplicación de políticas.

Recomendamos que use el Socket Next Gen LAN Firewall para microsegmentación para proporcionar la Seguridad óptima en las instalaciones para los Dispositivos.

Por qué lo necesitas

  • Reducir el riesgo previniendo el tráfico no autorizado entre hosts en la misma LAN

  • Obtener visibilidad del tráfico de Capa 2 para que toda la comunicación entre hosts esté sujeta a tus políticas de cero confianza

  • Simplificar la segmentación: en lugar de crear numerosos VLAN, puedes aplicar reglas de política a nivel de host

Microsegmentación y Configuración DHCP

La microsegmentación depende de DHCP para aplicar el aislamiento a nivel de host asignando a cada dispositivo una dirección /32 y forzando todo el tráfico este-oeste a través del Socket para la evaluación de políticas. Puede habilitar la microsegmentación utilizando ya sea Cato como servidor DHCP o un servidor DHCP de terceros que esté integrado a través del relé DHCP de Cato.

Estas son descripciones de las opciones de configuración DHCP para la microsegmentación:

  • Cato como el servidor DHCP - Cato asigna direcciones IP directamente a hosts en el rango de la red. Cuando la microsegmentación está habilitada, Cato aplica automáticamente la direccionamiento /32 a cada asignación DHCP y aplica la inspección este-oeste a través del Socket.

  • Servidor DHCP de terceros usando el relé DHCP - Habilita la microsegmentación para rangos de red que usan un servidor DHCP externo, con Cato configurado como un relé DHCP. En esta configuración, el servidor externo asigna la dirección IP, y Cato aplica de manera transparente el mismo enrutamiento de host /32 y la inspección de tráfico este-oeste como con DHCP gestionado por Cato. Esto le permite aplicar segmentación de confianza cero sin cambiar su infraestructura DHCP existente.

Nota

Nota: El soporte de microsegmentación para el relé DHCP requiere un sitio fisico de Socket corriendo la versión 24.0.21570 o superior.

Requisitos Previos

  • Sockets Físicos con Socket v22.x o superior

  • Soportado para el rango Nativo y los rangos de red VLAN

  • Basado en tus requisitos de seguridad, configura la política de Firewall LAN o WAN para permitir el tráfico relevante para los dispositivos cubiertos por microsegmentación

Sistema Operativo Verificado para Microsegmentación

Los siguientes sistemas operativos son verificados por Cato para soportar microsegmentación. Antes de aplicar la microsegmentación para dispositivos que utilizan un SO diferente, recomendamos verificar que el SO funcione correctamente en su entorno.

  • Android Samsung Galaxy A24 SM-A245F/DSN

  • Cliente DHCP BusyBox (basado en Linux 18.04.6 LTS Ubuntu Debian OS)

  • iOS 18.3.1

  • Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)

  • macOS Apple M4 Pro 15.3.2 (24D81)

  • Impresora HP LaserJet Pro MFP M428fdn

  • Impresora Brother Modelo MFC-L2700DW

  • Windows 11

  • Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (sistema operativo de 64 bits, procesador basado en x64)

  • Windows Server 2022 ESX VM Datacenter, AMD EPYC 7413 Procesador de 24 Núcleos 2.65 GHz (sistema operativo de 64 bits, procesador basado en x64)

  • Windows Server 2019 ESX VM estándar AMD EPYC 7413 Procesador de 24 Núcleos 2.65 GHz (sistema operativo de 64 bits, procesador basado en x64)

  • Teléfono IP Yealink SIP-T23G & SIP-T40G

Recomendaciones para Desplegar Microsegmentación

Implementar la microsegmentación puede potencialmente interrumpir el tráfico legítimo mientras asegura la aplicación precisa de políticas de seguridad que limitan el movimiento lateral dentro de la red. Siga estas recomendaciones para implementar correctamente la microsegmentación en su red.

  1. Habilita gradualmente la microsegmentación en tu cuenta, comenzando con un único rango.

  2. Como la microsegmentación solo toma efecto después de que finaliza el tiempo de concesión actual del DHCP, y los dispositivos solicitan un nuevo IP de DHCP, debe:

    1. Anula la configuración de cuenta para el tiempo de arrendamiento DHCP y reduce el tiempo de arrendamiento DHCP para el rango de red, el valor mínimo es 1 minuto.

    2. Cuando esté habilitando la microsegmentación para toda la cuenta, reduzca temporalmente el tiempo de concesión de DHCP a nivel de cuenta. Después de confirmar que la microsegmentación funciona correctamente, puede cambiar el tiempo de concesión del DHCP de nuevo a la configuración anterior.

      Nota: El tiempo de concesión predeterminado del DHCP es de 72 horas (3 días).

  3. Monitoree el impacto en los dispositivos en el rango de red:

    1. Verifica que los dispositivos puedan comunicarse con las entidades permitidas en tu cuenta basado en la política del firewall.

    2. Verifique que los dispositivos tengan completa conectividad a recursos de Internet.

      La microsegmentación es para tráfico intra-VLAN este-oeste, y no debería haber ningún impacto en el tráfico de Internet.

  4. Evite el enrutamiento asimétrico para asegurar que el tráfico intra-VLAN se enruta a través del Socket de manera simétrica. Recomendamos que los dispositivos protegidos por microsegmentación usen Cato como el servidor DHCP.

    Por ejemplo, una impresora con una IP estática que accidentalmente no está configurada con la máscara de subred asignada Cato /32 no podrá comunicarse con otros dispositivos detrás del sitio.

Habilitando Microsegmentación para un Rango de Red

Configure los rangos de red nuevos o existentes para microsegmentación. Esta configuración impone una asignación automática de máscara de subred /32 para cada host en el sitio. Luego revise la política de cortafuegos LAN o WAN del Socket para confirmar que el tráfico segmentado está permitido.

DHCP_Microsegmentation.png

Para habilitar la microsegmentación para un rango de red detrás de un sitio:

  1. Desde el menú de navegación, haz clic en Red > Sitios y selecciona el sitio.

  2. Desde el menú de navegación, haz clic en Configuración del Sitio > Redes.

  3. Haz clic en Nuevo, o en la columna de Configuración DHCP, haz clic en el rango de red.

    El panel de Rango IP se abre.

  4. Establece el Tipo de red al rango soporte.

  5. Ingresa la otra configuración del rango de red, como: VLAN, Subred, etc...

  6. Defina la configuración DHCP:

    • Para usar Cato como el servidor DHCP:

      • Configura el Tipo de DHCP como Rango DHCP e ingresa el rango de direcciones IP para los hosts en este Rango DHCP.

    • Para configurar un servidor DHCP de terceros usando el relé DHCP:

      1. Establecer Tipo de DHCP en Retransmisión DHCP.

      2. En Grupo de Retransmisión DHCP, seleccione el grupo de retransmisión DHCP para esta red.

        Para más información sobre Grupos de Retransmisión DHCP y configurar Cato como el relé DHCP, consulte Configurando Cato como el relé DHCP.

  7. Selecciona Microsegmentación Basada en DHCP.

  8. Haz clic en Aplicar, y luego haz clic en Guardar.

Recomendaciones para Revertir la Microsegmentación

Si necesita deshacer y revertir la microsegmentación que se ha implementado en su red, siga estas recomendaciones para minimizar el impacto en su red.

  1. Deshabilita gradualmente la microsegmentación en tu cuenta, comenzando con un único rango.

  2. Dado que desactivar la microsegmentación solo toma efecto después de que finaliza el tiempo de concesión actual del DHCP, y los dispositivos solicitan un nuevo IP de DHCP, debe:

    1. Anula la configuración de cuenta para el tiempo de arrendamiento DHCP y reduce el tiempo de arrendamiento DHCP para el rango de red, el valor mínimo es 1 minuto.

    2. Cuando esté deshabilitando la microsegmentación para toda la cuenta, reduzca temporalmente el tiempo de concesión de DHCP a nivel de cuenta. Después de confirmar que la microsegmentación funciona correctamente, puede cambiar el tiempo de concesión del DHCP de nuevo a la configuración anterior.

      Nota: El tiempo de concesión predeterminado del DHCP es de 72 horas (3 días).

Limitaciones conocidas

  • Para sistemas basados en Linux, habilitar la micro-segmentación no crea una entrada de ruta para la puerta de enlace predeterminada cuando ya hay dos rutas predeterminadas conectadas a dos enrutadores.

    Para más información sobre una solución, consulta este artículo.

¿Fue útil este artículo?

Usuarios a los que les pareció útil: 2 de 2

0 comentarios