Tema 9

9. Segmentación defensiva: VLAN, zonas de seguridad, microsegmentación y Zero Trust

Segmentar es separar para controlar. Una red defensiva no permite que todos los equipos hablen con todos: define zonas, limita comunicaciones y reduce el impacto de un incidente.

Objetivo Diseñar separaciones defensivas entre activos
Enfoque VLAN, zonas, firewalls internos y Zero Trust
Resultado Reducir movimiento lateral y exposición interna

9.1 Introducción

En una red plana, muchos equipos pueden comunicarse entre sí sin restricciones importantes. Eso puede simplificar la operación al principio, pero también facilita que un incidente se propague. Si una estación de trabajo es comprometida, el atacante puede intentar alcanzar servidores, bases de datos, sistemas de administración o backups.

La segmentación defensiva busca evitar ese escenario. Separa redes y activos según función, criticidad, nivel de confianza o riesgo. Luego aplica reglas para que solo existan las comunicaciones necesarias.

En este tema veremos VLAN, zonas de seguridad, microsegmentación y Zero Trust como enfoques complementarios para construir una infraestructura más controlada.

9.2 Qué es segmentación defensiva

Segmentar significa dividir una infraestructura en partes más pequeñas y controladas. Desde una mirada defensiva, la segmentación sirve para limitar alcance, ordenar accesos y reducir movimiento lateral.

Una segmentación útil debe responder:

  • Qué activos deben estar juntos y por qué.
  • Qué activos deben estar separados.
  • Qué comunicación está permitida entre segmentos.
  • Qué controles aplican entre segmentos.
  • Qué tráfico debe registrarse y monitorearse.
  • Cómo se revisan excepciones.
Separar redes no alcanza. La segmentación defensiva existe cuando hay controles claros sobre la comunicación entre esas redes.

9.3 Por qué una red plana es riesgosa

Una red plana permite demasiada comunicación interna. Aunque parezca cómoda, debilita la defensa porque cualquier compromiso inicial puede abrir camino hacia otros sistemas.

Riesgos de una red plana:

  • Movimiento lateral más fácil.
  • Mayor exposición de servicios internos.
  • Dificultad para aplicar mínimo privilegio.
  • Mayor impacto ante malware o credenciales robadas.
  • Menos claridad sobre qué tráfico es normal.
  • Contención más difícil durante un incidente.

9.4 VLAN: separación lógica de red

Una VLAN, o red LAN virtual, permite separar lógicamente equipos dentro de una infraestructura de switching. Equipos en VLAN distintas se comportan como si estuvieran en redes separadas, aunque usen la misma infraestructura física.

Las VLAN son útiles para ordenar la red, pero no son una defensa completa por sí solas. Si el enrutamiento entre VLAN permite todo, la separación pierde valor defensivo.

Ejemplos de VLAN:

  • VLAN de usuarios.
  • VLAN de servidores.
  • VLAN de administración.
  • VLAN de invitados.
  • VLAN de telefonía IP.
  • VLAN de cámaras o IoT.

9.5 VLAN no es igual a seguridad completa

Una VLAN separa dominios de broadcast y ayuda a ordenar el tráfico, pero la seguridad depende de las reglas entre VLAN. Si una VLAN de usuarios puede acceder libremente a una VLAN de servidores, la separación no está cumpliendo una función defensiva fuerte.

Para convertir VLAN en segmentación defensiva se necesitan controles como:

  • Firewalls internos o ACL entre VLAN.
  • Reglas por origen, destino y servicio.
  • Registro de tráfico relevante.
  • Restricción de administración a una red dedicada.
  • Revisión de rutas y gateways.
  • Control de acceso a puertos de switch cuando corresponda.

9.6 Zonas de seguridad

Una zona de seguridad agrupa activos con un nivel similar de confianza, exposición o criticidad. A diferencia de una VLAN, que es una separación de red, una zona es un concepto de diseño defensivo.

Una zona puede contener una o varias VLAN, subredes, servicios cloud o grupos de servidores. Lo importante es que las reglas entre zonas estén claramente definidas.

Zona Activos típicos Regla defensiva general
Internet Redes externas y usuarios públicos No confiable. Permitir solo servicios publicados.
DMZ Reverse proxy, VPN, web pública Acceso limitado hacia red interna.
Usuarios PC, notebooks, dispositivos corporativos Acceso solo a servicios necesarios.
Servidores Aplicaciones, archivos, bases de datos Separación por criticidad y función.
Administración Bastiones, herramientas de gestión Acceso muy restringido, auditado y con MFA.
Invitados Visitantes y dispositivos no gestionados Aislamiento de redes internas.

9.7 Reglas entre zonas

Las zonas se vuelven defensivas cuando se definen reglas explícitas entre ellas. Una regla entre zonas debería permitir solo flujos necesarios y bloquear el resto.

Ejemplos:

  • Usuarios hacia servidores web internos por HTTPS.
  • Aplicación en DMZ hacia base de datos interna por un puerto específico.
  • Administración hacia servidores por SSH o RDP desde bastión.
  • Invitados solo hacia internet, sin acceso a redes internas.
  • Servidores hacia internet solo para actualizaciones o destinos aprobados.

El objetivo es que cada comunicación tenga una razón, un alcance y un registro.

9.8 Segmentación por función

La segmentación por función agrupa activos según el trabajo que realizan. Es una forma práctica de empezar porque suele coincidir con necesidades operativas.

Función Ejemplos Control recomendado
Usuarios Equipos de oficina Acceso limitado a aplicaciones, proxy y servicios internos.
Aplicaciones Servidores web o API Comunicación solo con dependencias necesarias.
Bases de datos PostgreSQL, MySQL, SQL Server No exponer a usuarios ni internet; permitir solo aplicaciones autorizadas.
Administración Consolas, bastiones, herramientas MFA, registro, mínimo privilegio y red dedicada.
Backups Repositorios y servidores de respaldo Aislamiento estricto y acceso controlado.

9.9 Segmentación por criticidad

No todos los activos tienen el mismo impacto si son comprometidos. La segmentación por criticidad separa sistemas según su importancia para el negocio, sensibilidad de datos o impacto operativo.

Ejemplos de activos críticos:

  • Controladores de dominio.
  • Bases de datos con información sensible.
  • Sistemas financieros o de facturación.
  • Backups y repositorios de recuperación.
  • Consolas de administración de nube o virtualización.
  • Equipos de seguridad como firewalls, SIEM o EDR.

Estos activos deben tener reglas más estrictas, monitoreo más cuidadoso y acceso administrativo muy controlado.

9.10 Microsegmentación

La microsegmentación lleva la segmentación a un nivel más granular. En lugar de separar solo grandes redes, controla comunicaciones entre servidores, cargas de trabajo, contenedores, máquinas virtuales o aplicaciones específicas.

Es especialmente útil en datacenters, nube, virtualización y entornos donde varias aplicaciones comparten infraestructura.

Ejemplo: aunque dos servidores estén en la misma red de servidores, uno solo puede comunicarse con el otro por un puerto concreto y con una justificación específica.

La microsegmentación reduce movimiento lateral porque limita comunicaciones incluso dentro de zonas que antes se consideraban confiables.

9.11 Microsegmentación en nube y virtualización

En entornos cloud y virtualizados, la microsegmentación puede implementarse con grupos de seguridad, firewalls distribuidos, políticas de red, etiquetas, identidades de carga de trabajo o controles nativos de la plataforma.

Ventajas:

  • Políticas más cercanas a la carga de trabajo.
  • Menor dependencia de una única barrera perimetral.
  • Mejor control entre aplicaciones internas.
  • Mayor capacidad de contención durante incidentes.
  • Aplicación de reglas por etiqueta, rol o identidad.

El desafío es mantener visibilidad. Si las políticas se distribuyen en muchas plataformas, la documentación y el monitoreo centralizado se vuelven fundamentales.

9.12 Zero Trust

Zero Trust, o confianza cero, es un modelo que evita asumir confianza automática por ubicación de red. No basta con estar "dentro" de la red corporativa. Cada acceso debe verificarse según identidad, dispositivo, contexto, riesgo y necesidad.

Zero Trust no es un producto único. Es una estrategia que combina identidad, segmentación, mínimo privilegio, monitoreo continuo y políticas dinámicas.

Principios comunes:

  • Verificar explícitamente.
  • Aplicar mínimo privilegio.
  • Asumir que puede existir compromiso.
  • Controlar acceso por identidad y contexto.
  • Monitorear y ajustar continuamente.

9.13 Zero Trust aplicado a segmentación

Aplicado a segmentación, Zero Trust implica que una comunicación interna no se permite solo porque origen y destino están dentro de la organización. Debe existir una razón concreta y verificable.

Ejemplos:

  • Un usuario accede a una aplicación, no a toda la red donde vive la aplicación.
  • Un servidor solo se comunica con sus dependencias necesarias.
  • Una cuenta administrativa usa MFA y accede desde un bastión controlado.
  • Un dispositivo no gestionado recibe acceso limitado o nulo.
  • Una conexión se registra y se revisa si se comporta de forma anómala.

9.14 Segmentación y firewalls internos

Los firewalls internos controlan tráfico entre segmentos, zonas o aplicaciones dentro de la organización. Son importantes porque no todo riesgo viene desde internet.

Un firewall interno puede ubicarse:

  • Entre usuarios y servidores.
  • Entre DMZ y red interna.
  • Entre servidores de aplicación y bases de datos.
  • Entre sedes o áreas de negocio.
  • Entre red administrativa y resto de la infraestructura.
  • Entre entornos de desarrollo, pruebas y producción.

9.15 Segmentación y monitoreo

Una buena segmentación mejora el monitoreo porque reduce ruido y aclara qué flujos son esperados. Si un segmento de invitados intenta conectarse a un servidor interno, eso es una señal clara de problema.

Eventos útiles para monitorear:

  • Bloqueos entre zonas sensibles.
  • Intentos de acceso desde redes no autorizadas.
  • Tráfico lateral inusual.
  • Conexiones desde servidores hacia destinos no esperados.
  • Cambios en reglas entre segmentos.
  • Alertas IDS/IPS asociadas a movimiento lateral.

9.16 Ejemplo práctico de segmentación

Supongamos una empresa con usuarios, invitados, servidores, DMZ, administración y backups. Un diseño defensivo podría ser:

Segmento Puede acceder a No debería acceder a
Usuarios Aplicaciones internas, proxy, DNS autorizado Bases de datos, backups, administración directa
Invitados Internet Cualquier red interna
DMZ Servicios internos puntuales y necesarios Red de usuarios, backups, administración general
Administración Servidores y dispositivos autorizados Internet libre sin control
Backups Servidores protegidos según política Acceso desde usuarios e invitados

9.17 Migrar desde una red plana

Pasar de una red plana a una red segmentada requiere cuidado. Si se bloquea sin conocer dependencias, se pueden interrumpir servicios importantes.

Un camino razonable:

  1. Inventariar activos y servicios.
  2. Observar tráfico real durante un período representativo.
  3. Identificar flujos necesarios.
  4. Definir zonas y criterios de segmentación.
  5. Aplicar reglas en modo monitoreo si la plataforma lo permite.
  6. Implementar bloqueos por etapas.
  7. Revisar logs, ajustar excepciones y documentar.
  8. Eliminar accesos amplios cuando ya no sean necesarios.

9.18 Errores frecuentes

  • Creer que VLAN equivale a seguridad completa: sin reglas entre VLAN, el valor defensivo es limitado.
  • Segmentar sin inventario: puede romper dependencias importantes.
  • Crear demasiadas zonas sin operación: aumenta complejidad sin mejorar control real.
  • Permitir todo entre segmentos críticos: anula el propósito de la segmentación.
  • No monitorear bloqueos: se pierden señales de movimiento lateral o errores.
  • Aplicar Zero Trust como eslogan: debe traducirse en identidad, reglas, monitoreo y revisión.

9.19 Lista de verificación inicial

  • Identificar zonas de confianza y criticidad.
  • Separar usuarios, invitados, servidores, DMZ, administración y backups.
  • Definir reglas explícitas entre zonas.
  • Evitar que usuarios accedan directamente a bases de datos.
  • Aislar redes de invitados y dispositivos no gestionados.
  • Proteger administración con bastión, MFA y logging.
  • Monitorear tráfico lateral y bloqueos entre segmentos.
  • Revisar dependencias antes de bloquear.
  • Documentar excepciones y responsables.
  • Aplicar microsegmentación donde el riesgo lo justifique.

9.20 Ideas clave para recordar

  • La segmentación reduce movimiento lateral y limita impacto.
  • VLAN separa redes, pero necesita reglas para aportar defensa real.
  • Las zonas de seguridad agrupan activos por confianza, función o criticidad.
  • La microsegmentación controla comunicaciones con mayor granularidad.
  • Zero Trust evita confiar automáticamente por estar dentro de la red.
  • Segmentar requiere inventario, monitoreo, documentación y revisión continua.

9.21 Conclusión

La segmentación defensiva convierte una red amplia y difícil de controlar en zonas con reglas claras. Su valor principal es limitar el movimiento lateral, reducir exposición interna y facilitar la contención durante incidentes.

En el próximo tema estudiaremos alta disponibilidad, redundancia, respaldos y gestión de cambios en firewalls. Allí veremos cómo mantener los controles defensivos funcionando de forma confiable incluso ante fallas o modificaciones.

Volver al índice