A diferencia de parchar sobre la marcha en una implementación, el enfoque Secure by Design nos obliga a incluir la ciberseguridad desde la misma concepción del hardware o software. En este artículo, exploraré cómo aplicar este principio a la infraestructura de networking utilizando la ISO/IEC 27033 como framework.
Utilizaré un abordaje innovador donde la ciberseguridad no es un accesorio, sino parte del tejido mismo de la red: NetSec Fabric.
NetSec Fabric
La norma establece que la seguridad debe ser planificada, diseñada, implementada, monitoreada y revisada en cada etapa. Ya no se trata de un appliance apartado de la red ni de un evento de log en océanos de logs.
En la fase de diseño, lo primero que debemos determinar son los activos de red, las amenazas, las vulnerabilidades y el impacto. El NetSec Fabric logra esto de manera nativa bajo la premisa de que cada puerto de switch es una extensión del Firewall.
La segmentación basada en VLANs enrutadas y ACLs ya no es suficiente. Dividir la red en dominios o zonas de seguridad basadas en el nivel de confianza hace mucho más sentido con un Internal Segmentation Firewall (ISFW) que con un Switch de Capa 3. Mientras que el SWL3 solo entiende direcciones IP y puertos, un NGFW (Next-Generation Firewall) puede identificar usuarios, aplicaciones y contenido además de las funciones de capa 3 y 4.
Otro recurso fundamental del NetSec Fabric es la visibilidad: mientras que la identificación de activos en una red tradicional suele ser estática, en un entorno NetSec es dinámica y en tiempo real.
El monitoreo y la detección son puntos clave de la norma. La identificación temprana de intrusiones es un reto complejo cuando existen silos separados entre redes y ciberseguridad. El NetSec Fabric propone una respuesta automática: ante un host infectado, el sistema reacciona cambiándolo a una VLAN de cuarentena o a un segmento aislado.
La propuesta de NetSec Fabric de Fortinet integra funciones de SD-WAN, Switching y Wireless Controller bajo un sistema operativo unificado en el NGFW, logrando que la ciberseguridad sea una parte intrínseca de la infraestructura.
Otra clave de la norma es el Control de Acceso a la Red, que garantiza que solo usuarios y dispositivos autorizados accedan a segmentos específicos. El NetSec Fabric potencia esto al integrar la validación de la postura de seguridad del dispositivo con el motor de IPS y protección antimalware de la red.
El Internal Segmentation Firewall, en el contexto de NetSec Fabric, cumple el rol de Control de Gateway de la norma. Donde un gateway tradicional solo observa tráfico cifrado sin poder analizarlo, un ISFW puede inspeccionar el contenido gracias a la función de Deep Packet Inspection y hardware especializado diseñado para esta tarea.
Finalmente, la norma 27033 detalla la conectividad remota segura, centrada en la autenticación y el cifrado. El NetSec Fabric evoluciona este concepto hacia ZTNA (Zero Trust Network Access), donde además de validar usuario y contraseña, se verifica la salud del dispositivo (antivirus activo, parches al día, etc.) antes de permitir cada sesión.
En conclusión, diseñar una red moderna adoptando la ISO/IEC 27033 y la arquitectura NetSec Fabric es una decisión estratégica antes que técnica. Romper los silos entre redes y protección para ver, defender y gestionar ambas de manera integrada es el único camino hacia una infraestructura de red resiliente, escalable y verdaderamente segura.
Deja una respuesta
Lo siento, debes estar conectado para publicar un comentario.