La segmentación de la red ayuda a mejorar la seguridad y facilita la gestión al dividir la red corporativa en segmentos más pequeños. Este artículo se centra en el uso de la Aplicación de Gestión de Cato para utilizar los segmentos de red VLAN y minimizar el impacto de una posible intrusión en la red. Si hay una intrusión en la red, el VLAN infectado se aísla y no puede propagarse a toda la red. Los VLAN también pueden proporcionar control de acceso granular, puedes crear reglas de firewall para definir el control de acceso basado en el rol de usuario en la organización.
La Aplicación de Gestión de Cato te permite definir fácilmente los VLAN para un sitio que usa el Socket de Cato. Utiliza la sección Red para un sitio para definir los segmentos de red con el Tipo de Rango de VLAN. Consulta la siguiente captura de pantalla para un ejemplo de segmentos de red VLAN (Red > Sitios > {Site Name} > Configuración de Sitio > Redes):
Luego puedes usar estos segmentos de red para aumentar la seguridad del sitio. Por ejemplo, puedes crear un VLAN separado para el departamento de Finanzas corporativo y usarlo en una regla de firewall WAN. Dado que el tráfico entre VLAN se enruta sobre el Cato Cloud, es posible que haya un impacto en el rendimiento de la red para este tráfico. Esto es cierto incluso si los VLAN están en la misma ubicación física.
Los servidores que contienen datos esenciales y sensibles a menudo requieren capas adicionales de seguridad. Puedes aislar estos servidores en un VLAN separado y limitar el acceso a estos servidores. Por ejemplo, puedes usar un VLAN separado para los servidores de base de datos en la sede corporativa.
Por otro lado, los servidores de aplicaciones a menudo tienen acceso entrante desde Internet público y pueden ser un riesgo potencial de seguridad. Recomendamos que asignes estos servidores a un VLAN separado y evites que los atacantes accedan a servidores internos y sensibles. Puedes usar este VLAN como una DMZ (zona desmilitarizada) para servidores accesibles públicamente.
Las estaciones de trabajo y los servidores corporativos pueden ser un riesgo de seguridad para tu red porque si una estación de trabajo es comprometida, entonces puede propagarse rápidamente a toda la red. Sin embargo, cuando las estaciones de trabajo están en un VLAN separado, puedes aislar el VLAN y bloquear la conectividad a la red. Para permitir la comunicación entre las redes, debes configurar una dirección IP de gateway para cada una de las redes VLAN. La siguiente captura de pantalla muestra un ejemplo de VLAN separados para servidores y estaciones de trabajo:
Crea una regla de firewall WAN que permita la conectividad entre estos VLAN. Si una de las estaciones de trabajo en tu red se infecta, puedes desactivar fácilmente esta regla y evitar que la infección se propague a los servidores. Después de remediar las estaciones de trabajo infectadas, puedes habilitar la regla nuevamente para permitir la conectividad entre las estaciones de trabajo y el servidor de aplicaciones.
La segmentación de la red te permite definir diferentes niveles de acceso para los diferentes grupos de usuarios en tu organización. Por ejemplo, define VLAN separados para gerencia, usuarios regulares y huéspedes.
Si deseas proporcionar acceso WiFi o de red para huéspedes, esto puede ser un riesgo potencial de seguridad. Segmenta la red de huéspedes en un VLAN separado que solo permite acceso a Internet, y no pueden acceder a los recursos internos. La siguiente captura de pantalla muestra un VLAN para los usuarios de WiFi de invitados:
Luego crea una regla en el firewall de Internet que permita a este VLAN acceder a Internet. La siguiente captura de pantalla muestra una regla de firewall de Internet que permite al VLAN de WiFi de invitados acceder a Internet:
Además de segmentar la red para mejorar la seguridad de la red, también puedes restringir los tipos de tráfico que son riesgos potenciales de seguridad. Por ejemplo, los protocolos RDP (escritorio remoto) y SMB (compartición de archivos) a menudo son utilizados por intrusos para acceder a información sensible o para propagar ransomware que causa daño a los datos corporativos.
Recomendamos que configures el firewall WAN para limitar el acceso a estos protocolos por defecto y solo permitir este tráfico cuando sea necesario. Para más información sobre la configuración de reglas de firewall WAN y mejores prácticas, consulta Políticas de Firewall de Internet y WAN: Mejores Prácticas.
0 comentarios
Inicie sesión para dejar un comentario.