PRÁCTICAS

RECOMENDADAS

PROTECCIÓN DE DATOS EN EL CENTRO DE DATOS

Reducción de la superficie de ataque y prevención de amenazas

Protección del valor digital

El volumen y la sofisticación de los ataques a los centros de datos corporativos
y gubernamentales siguen creciendo a un ritmo alarmante. Un estudio publicado
muestra que tales ataques suelen centrarse en tres categorías principales:
• Ciberdelincuentes que atacan pequeños negocios y empresas comerciales, como
tiendas, cadenas de restaurantes o bancos, entre otros.
• Ciberactivistas que intentan causar daños a empresas a las que están enfrentados.
• Ataques con el apoyo de algún estado dirigidos a empresas públicas o comerciales.
Tradicionalmente, para responder a estos ataques, las organizaciones han centrado
sus esfuerzos en detectar y prevenir las amenazas en el perímetro de la red y el tráfico
que entra y sale del centro de datos, también conocido como tráfico vertical. Muchos
administradores de TI dan por sentado que el tráfico horizontal, es decir, el tráfico entre los
sistemas y las aplicaciones de un centro de datos, es de confianza y no requiere medidas
de seguridad. Sin embargo, en muchas de las infracciones documentadas, una vez que
el atacante logra entrar en el perímetro de la red, este tiene capacidad para desplazarse
lateralmente y sin ser detectado dentro de la red, localizar otros servidores, así como
acceder a datos confidenciales y sacarlos del perímetro de la red, ya que no se aplica el
mismo nivel de seguridad del perímetro a los segmentos internos del centro de datos.
El acceso a los activos confidenciales del centro de datos debe estar regulado mediante
el uso de credenciales de identidad que no supongan un riesgo y reglas basadas en
aplicaciones, junto con una combinación de herramientas de inspección y prevención
de amenazas, como antivirus, IPS y antispyware, a fin de proteger adecuadamente
el centro de datos. Una arquitectura de seguridad integrada y ampliable en toda la
organización es fundamental para proteger la información confidencial ante los accesos
no autorizados y las pérdidas de datos, no solo en el perímetro, sino también en el
perímetro y los segmentos internos del centro de datos. Este enfoque se conoce como
modelo Zero Trust de seguridad de la información.

Palo Alto Networks | Guía de prácticas recomendadas 1


Consejo: identifique el tráfico
vertical (el tráfico existente entre
el centro de datos y los sistemas
externos) y horizontal (el tráfico
dentro del centro de datos)
y céntrese en las deficiencias de
seguridad del tráfico horizontal.
Palo Alto Networks | Guía de prácticas recomendadas 2
El modelo Zero Trust (propuesto originalmente por Forrester® Research) da por hecho
que todo el tráfico es una amenaza hasta que no se pruebe lo contrario. En lugar de
centrarse en una recopilación basada en el perímetro de dispositivos de seguridad
individuales, Forrester aconseja crear una arquitectura de red con una «puerta de enlace
de segmentación» centralizada que combine distintas operaciones de seguridad y cifrado
(cortafuegos, IPS, NAC, filtrado de contenido, VPN, etc.) en un único dispositivo de alta
velocidad ubicado en el núcleo de la red. Esto permite a los administradores segmentar la
red en distintas zonas para aislar el tráfico a un activo de gran valor del tráfico rutinario y de
menos valor, de manera que los atacantes lo tendrán más difícil a la hora de obtener acceso
a tales activos y mantener la persistencia en ellos, e incluso para extraer datos de la red.
La plataforma de seguridad de nueva generación de Palo Alto Networks®, incluidos los
dispositivos basados en hardware y virtuales, permite implementar un modelo eficaz de
seguridad Zero Trust gracias a la segmentación de la red, el uso de listas de aplicaciones
permitidas o no permitidas, el acceso de usuario, el contenido específico, así como la
inspección del tráfico en busca de amenazas.
Enfoque dividido en fases para proteger los datos del centro de datos
Tanto si ha empezado recientemente a implementar productos de Palo Alto Networks
como si los lleva administrando desde hace años, sáqueles el máximo partido y revise las
prácticas recomendadas para utilizar el sistema Zero Trust con el fin de proteger los datos
del centro de datos.
Al igual que ocurre con cualquier otra tecnología, suele haber un método para completar
la implementación de forma gradual, que consiste en una serie de fases de despliegue
cuidadosamente planificadas diseñadas para que la transición sea lo más fluida posible
y cause un impacto mínimo en los usuarios finales. Teniendo en cuenta esta transición
gradual, aconsejamos seguir nuestras prácticas recomendadas para el centro de datos
en tres fases, atendiendo a las recomendaciones previas. El principal objetivo de la
implementación en el centro de datos debe ser lograr una visibilidad exhaustiva y una
inspección completa del tráfico tanto vertical como horizontal para evitar la presencia
de amenazas en el centro de datos.
FASE 1: PLANIFICACIÓN DE LA IMPLEMENTACIÓN EN EL CENTRO DE DATOS
Tanto la sustitución de un cortafuegos heredado por un nuevo sistema como la
implementación de un cortafuegos en el centro de datos por primera vez conllevan una
planificación compleja, ya que las dos opciones brindan la posibilidad de empezar desde
cero con una nueva arquitectura de red (Zero Trust).
Un primer paso consiste en realizar un inventario y una evaluación exhaustivos de los
entornos de centro de datos tanto físicos como lógicos. Identifique y documente los distintos
sistemas del centro de datos, incluidos los servidores, enrutadores, conmutadores y otros
tipos de infraestructura de red y seguridad. En esta evaluación se debe identificar y describir
todo el tráfico de datos: el tráfico existente entre el centro de datos y los sistemas externos
(incluidos otros centros de datos de la organización), así como el tráfico entre los sistemas del
centro de datos.
BD
W BD
EB de
sa
rr.
AP
L.
Se
gm
en
to
de
rec
urs
os
Cortafuegos
Segmento de usuarios

Consejo: son cuatro las
«palancas» que puede utilizar
para proteger los activos de
centro de datos: el control de
acceso, la inspección de los
patrones de uso de los datos
para detectar un uso fraudulento,
la eliminación de datos cuando la
empresa ya no los necesita o el
cifrado de datos para restarles
valor en caso de robo.
(Fuente: Forrester Research)
Palo Alto Networks | Guía de prácticas recomendadas 3
Planifique la implementación de las siguientes tecnologías básicas en la plataforma de Palo
Alto Networks. Estas resultan fundamentales para ayudarle a conocer el flujo de tráfico del
centro de datos, en qué consiste, a qué activos se dirige y quién intenta obtener acceso,
todo ello indispensable para proteger de forma eficaz los activos de gran valor.
• User-ID™ comprueba la identidad del usuario, y no solo las direcciones IP, mediante
el uso de directorios de empresa, servicios de terminal o Microsoft® Exchange.
User-ID proporciona un contexto detallado sobre los usuarios que acceden a la red.
• App-ID™ reconoce y clasifica de forma nativa miles de aplicaciones, incluidas las
aplicaciones web. App-ID ayuda a identificar las aplicaciones que se están utilizando,
a detectar si las aplicaciones utilizan puertos personalizados o predeterminados,
y a encontrar aplicaciones desconocidas o no autorizadas en la red.
• Content-ID™ permite a los clientes aplicar políticas para inspeccionar y controlar
el contenido que pasa por la red. Content-ID combina un motor de prevención
de amenazas en tiempo real, una completa base de datos de URL y elementos
de identificación de aplicaciones para limitar las transferencias no autorizadas
de datos y archivos, así como detectar y bloquear una gran variedad de exploits,
malware y conexiones web peligrosas o no autorizadas (HTTP y DNS). Content-
ID está disponible como parte de la suscripción a Threat Prevention y permite
implementar el control de políticas sobre el contenido del tráfico no aprobado,
limitar la transferencia no autorizada de archivos y datos confidenciales, como
los números de tarjetas de crédito o de la seguridad social, así como ofrecer
protección ante el malware y los exploits nuevos y conocidos.
Tipo de política Descripción
Seguridad Determina si una sesión se bloqueará o se permitirá
basándose en atributos del tráfico, como la zona de
seguridad de origen y destino, la dirección IP de origen
y destino, la aplicación, el usuario y el servicio.
NAT Indica al cortafuegos qué paquetes necesitan
traducción y cómo realizarla. El cortafuegos admite
tanto las direcciones de origen y destino como la
traducción de puertos.
QoS Identifica el tráfico que requiere un tratamiento de
QoS (ya sea un tratamiento preferente o una limitación
del ancho de banda) mediante un parámetro definido
o varios parámetros y le asigna una clase.
Reenvío basado en políticas Identifica el tráfico que debería usar una interfaz de
salida diferente a la que debería usar según la tabla
de enrutamiento.
Descifrado Identifica el tráfico cifrado que quiere inspeccionar para
ganar visibilidad, control y seguridad exhaustiva.
Cancelación de aplicación Identifica sesiones que no quiere que procese el motor
de App-ID, lo cual es una inspección de capa 7.
Portal cautivo Identifica el tráfico que requiere un usuario conocido.
La política de portal cautivo solo se activa si el resto de
mecanismos User-ID no identificaron a un usuario para
asociarlo con la dirección IP de origen.
Protección DoS Identifica posibles ataques de denegación de servicio
(DoS) y toma medidas de protección que responden
a las coincidencias de reglas.
Protección de zona Ofrece protección adicional entre zonas de red
específicas en el mismo cortafuegos para protegerlas
de los ataques, incluidas las técnicas de evasión y la
adherencia a los umbrales de tráfico.
Consejo: instale la plataforma
frente a cualquier dispositivo de
protección heredado para que
pueda examinar el tráfico de red
antes de que pase a través de tal
dispositivo y proporcionar una
visibilidad que puede que no
tenga ahora.
Consejo: el descifrado SSL puede
tener lugar en las interfaces de
Virtual Wire (VWire), capa 2 o
capa 3, o en el modo TAP. Para
obtener una visión más detallada
del tráfico del centro de datos,
asegúrese de que el descifrado
sea lo más completo posible.
Consejo: la plataforma de
seguridad de nueva generación
de Palo Alto Networks
puede funcionar en varias
implementaciones a la vez,
ya que estas tienen lugar
en el nivel de interfaz.
Palo Alto Networks | Guía de prácticas recomendadas 4
La visibilidad y el control de las aplicaciones y los usuarios que ofrecen App-ID y
User-ID, junto con la inspección del contenido que proporciona Content-ID, permite
a los departamentos de TI tomar decisiones en función de los riesgos para proteger
a la organización frente a las amenazas y habilitar de forma segura los sistemas y las
aplicaciones necesarios para mantener la actividad de la empresa.
En la tabla que figura a continuación se resumen los distintos tipos de políticas
compatibles con la plataforma de seguridad de nueva generación de Palo Alto Networks.
Determine las características y reglas de políticas que va a implementar y su orden,
valorando para ello los objetivos en el contexto de las prioridades del centro de datos de
la organización, como la disponibilidad del sistema, el consumo de ancho de banda o las
políticas de seguridad de los datos.
Guía del administrador:
• Habilitación de política basada en usuarios y grupos
• Descripción general de App-ID
• Implementaciones de VM-Series
• Configuración de interfaces y zonas
FASE 2: VISIBILIDAD COMPLETA DEL TRÁFICO DEL CENTRO DE DATOS
El objetivo de esta fase consiste en identificar y validar todas las comunicaciones de las
aplicaciones que entran y salen del centro de datos. Al instalar la plataforma de seguridad de
nueva generación por primera vez, recomendamos realizar la implementación en modo TAP.
El modo TAP proporciona la capacidad de supervisar de forma pasiva el tráfico de red
sin interrupciones, pero no impide ni bloquea las conexiones. Esto permite supervisar
e identificar el tráfico vertical y horizontal del centro de datos en relación con las
aplicaciones, las amenazas y el uso del tráfico sin que se produzcan interrupciones en
el tráfico de producción. La revisión del tráfico y los logs de amenazas creados en el
modo TAP permite también comprobar las aplicaciones, los usuarios y las amenazas
identificados en la revisión previa de los documentos y las configuraciones existentes.
Gracias a la recopilación y el análisis del tráfico de red, se puede identificar rápidamente
el entorno y detectar las amenazas en tiempo real. Estos datos se pueden usar para crear
rápidamente informes personalizados y una Revisión del ciclo de vida de la seguridad
(SLR), que incluye:
• Identificación de aplicaciones
• Número de sesiones y ancho de banda consumido asociado a cada aplicación
• Redes de origen y destino
• Alcance total de las amenazas desconocidas observadas
• Porcentaje de malware detectado por la plataforma que pasó desapercibido para las
soluciones de antivirus de terceros
• Malware de día cero y amenazas avanzadas persistentes identificados por WildFire
de Palo Alto Networks
• Vectores de amenazas de las aplicaciones y tipos de archivos maliciosos
• Comportamiento arriesgado de usuarios
Una vez que se han recopilado y analizado los datos del tráfico de red del centro de
datos, se pueden crear alertas para las amenazas más frecuentes. Esto permite analizar
más detenidamente el entorno mediante las capacidades de informes y tendencias
históricos para la validación del tráfico, con lo que se puede empezar el proceso de
desarrollo de políticas más completas y avanzadas.
Una vez que se han recopilado datos suficientes en el modo TAP, vuelva a configurar la
plataforma en modo VWire o de capa 2 (L2)/capa 3 (L3) para empezar a actuar ante el
tráfico no deseado o arriesgado.
VWire ofrece flexibilidad a la hora de aplicar las distintas políticas para gestionar el
tráfico de varias redes internas, así como separarlo y clasificarlo en distintas zonas. Esta
configuración aísla lógicamente el entorno de un activo de gran valor de otros sistemas
menos importantes. En el modo VWire, la plataforma se instala de forma transparente en
un segmento de red uniendo dos puertos. Esto simplifica la instalación y configuración,
y no obliga a realizar cambios en la configuración de los dispositivos de red adyacentes.
Los conmutadores de núcleo y distribución del centro de datos están configurados para
reenviar de forma selectiva a la plataforma (a través de VLAN) únicamente el tráfico
relevante de los activos de gran valor, lo que permite al entorno mantener la VLAN
y el direccionamiento IP. El modo VWire redirige el tráfico a través de la plataforma
para habilitar el desarrollo de políticas iniciales y supervisar el tráfico que entra y sale
del entorno.

Consejo: para evaluar el tráfico
sin necesidad de llevar a cabo las
laboriosas revisiones manuales
de logs, desarrolle informes
personalizados que aborden
por ejemplo las principales
aplicaciones, las reglas de
seguridad más importantes
y el tráfico que coincida con la
regla de seguridad comodín de
tipo «allow any any». Estos tipos
de informes proporcionan una
base histórica de datos que le
permiten a usted y a su equipo
identificar en todo momento
el tráfico que entra y sale del
centro de datos.
Consejo: el orden de las reglas es
fundamental para garantizar los
mejores criterios de coincidencia.
Dado que la política se evalúa en
orden descendente, las políticas
más específicas deben preceder
a las más generales. Una regla
situada en un nivel más bajo
no llega a evaluarse en caso de
que el criterio de coincidencia lo
cumpla otra regla que la preceda.
Palo Alto Networks | Guía de prácticas recomendadas 5
Utilice la información recopilada para desarrollar una política de seguridad inicial que
describa el acceso autorizado, como los orígenes aprobados, las redes de destino,
las aplicaciones y los grupos de usuarios. A continuación, cree reglas de seguridad
para las comunicaciones entrantes y salientes del centro de datos con agrupaciones
de aplicaciones conocidas similares, como base de datos, web, aplicación, Microsoft,
gestión e infraestructura. De esta forma, puede desarrollar un amplio marco de
políticas de seguridad para clasificar las aplicaciones aprobadas. Aplique los perfiles de
protección frente a amenazas a todas las políticas con el fin de ampliar la visibilidad de
la seguridad y lograr una buena posición para bloquear exploits, malware y tráfico de
comando y control sin que ello afecte a la comunicación empresarial.
A fin de asegurarse de no bloquear las comunicaciones esenciales a la hora de crear
y probar las políticas del centro de datos, implemente una regla de seguridad comodín
(catchall) de tipo «allow any any» al final de la jerarquía de políticas de seguridad que
permita explícitamente todas las comunicaciones que no estén adjuntas a una regla.
Las aplicaciones que no utilicen puertos o protocolos estándar, o las aplicaciones
desconocidas, deben revisarse detenidamente y ejecutarse solo después de validarlas
con el propietario del sistema. Las reglas de aplicación validadas deben agregarse por
encima de la regla comodín en la jerarquía para permitir la habilitación segura y el
desarrollo lógico de políticas.
Al final de esta fase, la política de seguridad debería incluir todas las aplicaciones,
puertos, protocolos, orígenes y redes de destino identificados y aprobados, así como
los usuarios y grupos de usuarios autorizados para acceder a ellos. El resultado es
que una aplicación identifica todo el tráfico aprobado con una política de seguridad
específica. Solo el tráfico no aprobado activará la regla comodín para poder revisarlo,
validarlo y crear otra regla para permitirlo explícitamente. Por último, para garantizar
una protección activa, deje a un lado las alertas simples y sírvase del bloqueo activo de
amenazas conocidas mediante la adición de perfiles de seguridad al conjunto de reglas.
BD prod.
BD SAP
TI
RR. HH.
Asesoría legal
Contratistas
Ejecutivos
Sustituya la regla comodín con una nueva regla de tipo «deny any any» al final de la lista
de políticas configurada para bloquear y registrar el tráfico denegado. La adopción de un
enfoque de listas de acceso en lugar de listas de prohibición permite al sistema denegar
el tráfico que no se haya permitido expresamente, a la vez que se maximiza la visibilidad
y la prevención de amenazas. En este punto, ya puede dejar de usar la plataforma de
seguridad heredada y retirarla del servicio.
Consejo: el orden de las reglas es
fundamental para garantizar los
mejores criterios de coincidencia.
Dado que la política se evalúa en
orden descendente, las políticas
más específicas deben preceder
a las más generales. Una regla
situada en un nivel más bajo
no llega a evaluarse en caso de
que el criterio de coincidencia lo
cumpla otra regla que la preceda.
Consejo: puesto que se
pueden utilizar varias capas de
codificación como técnica de
evasión, use varios niveles de
codificación para garantizar que
los archivos sin identificar que
no se hayan procesado en busca
de amenazas no pasen a través
del cortafuegos hacia el centro
de datos.
Palo Alto Networks | Guía de prácticas recomendadas 6
Guía del administrador:
• Supervisión
• Componentes de una regla de seguridad
• Cómo configurar un dispositivo de Palo Alto Networks para su uso en modo TAP
• Configuración de políticas y perfiles de seguridad
• Descifrado
• Implementaciones de Virtual Wire
• Generación de informes personalizados
FASE 3: SEGURIDAD AVANZADA DEL CENTRO DE DATOS
Una vez que haya configurado la plataforma de seguridad básica, ya puede empezar
a crear informes especiales adicionales, adaptar las reglas de políticas e implementar
capacidades de prevención adicionales, como perfiles de seguridad estrictos, el entorno
de análisis de malware basado en la nube de WildFire™, el servicio de seguridad de la
fuerza de trabajo móvil GlobalProtect™ y la protección avanzada del endpoint de Traps™.
Habilite el reenvío de archivos a WildFire para asegurarse de que los archivos desconocidos
(sobre todo, los tipos de archivos con usos empresariales legítimos, como los archivos
de Microsoft Office y Adobe® Acrobat®) no contienen amenazas avanzadas persistentes
(APT) ni malware de día cero. WildFire analiza los archivos desconocidos y, a continuación,
crea métodos de protección ante malware, tráfico de comando y control y URL cuando
un archivo se considera «malicioso». WildFire ejecuta el contenido sospechoso en varias
versiones de la aplicación de destino ubicadas en sistemas operativos virtualizados
e identifica cientos de comportamientos asociados al software malicioso, como las
modificaciones realizadas en el host, el tráfico de red sospechoso y las técnicas de
evasión antianálisis. Además de las medidas de protección de las aplicaciones, tales
comportamientos también se reflejan en un informe que permite identificar de modo
fehaciente los sistemas infectados.
Si dispone de activos que se comunican externamente por algún motivo, configure los
perfiles de filtrado de URL para las reglas aplicables para añadir una capa de seguridad
adicional y evitar que tales activos se comuniquen con URL maliciosas y de alto riesgo.
Habilite GlobalProtect en los teléfonos y portátiles proporcionados por la empresa
para identificarlos fuera de su dirección IP cuando intenten acceder a activos de forma
remota, amplíe las medidas de seguridad en la plataforma cuando no se encuentran
en la red y asegúrese de que la conexión al centro de datos es segura. GlobalProtect
es un origen de User-ID™ que aumenta el alcance de la plataforma de seguridad a los
usuarios, dondequiera que estén, y garantiza que el acceso a los activos de gran valor
del centro de datos cumpla siempre con la política de seguridad.
Implemente Traps Advanced Endpoint Protection en todos los servidores de Windows
e infraestructuras de escritorio virtual (VDI) que se ejecutan en el centro de datos
para proporcionar una capa adicional de protección frente a exploits. Traps es un
agente que previene los exploits de vulnerabilidades de día cero y los ataques por
malware sin necesidad de firmas, lo que evita poner en riesgo los activos del centro
de datos. El agente de Traps se introduce en cada uno de los procesos cuando se
inician y se centra en las principales técnicas que un atacante debe combinar para
ejecutar un ataque. Si el proceso intenta ejecutar alguna de las técnicas de ataque
principales, Traps bloquea de inmediato dicha técnica, interrumpe el proceso y notifica
al administrador de que se ha prevenido un ataque.

Consejo: configure la plataforma
para comprobar si hay
actualizaciones de seguridad de
WildFire cada cinco minutos.
Consejo: utilice la función de
listas dinámicas externas para
detener los ataques mediante la
importación de las direcciones IP
de origen de quienes aparecen
en los logs de amenazas de
manera reincidente en un periodo
de tiempo determinado y el
bloqueo de tales usuarios durante
24 horas o más.
Guía del administrador:
• Implementaciones de VPN
• Filtrado de URL
• Habilitación de reenvío de WildFire básico
• Uso de una lista dinámica externa en políticas
Nuestro compromiso con la asistencia técnica a los clientes
Palo Alto Networks mantiene su compromiso de garantizar una implementación
adecuada y ofrece un servicio completo de asistencia técnica gracias a la organización
de servicios globales al cliente. Estamos convencidos de que el fallo no es una opción.
Nuestras ofertas de asistencia técnica y programas de formación están diseñados para
paliar las inquietudes relacionadas con la implementación que puedan surgir.
• Solution Assurance Services de Palo Alto Networks
• Planes de asistencia técnica al cliente de Palo Alto Networks
• Servicios de consultoría de Palo Alto Networks
• Servicios de formación de Palo Alto Networks
Únase a Palo Alto Networks LIVE Community para obtener acceso a debates,
tutoriales y artículos de la base de conocimientos.
• Guía del administrador de PAN-OS Versión 7.1: Panorama
• Guía del administrador de PAN-OS Versión 7.0: Panorama
• Guía del administrador de PAN-OS Versión 6.1: Panorama

Únase a la comunidad Fuel User Group de Palo Alto Networks para entrar en contacto con
profesionales de todo el mundo con un perfil similar dispuestos a analizar sus prácticas
recomendadas adquiridas con gran esfuerzo y puntos de vista sobre el sector. Además,
puede obtener un acceso exclusivo a expertos en la materia para dar respuesta a sus dudas
sobre seguridad más complejas por medio de eventos en línea, como seminarios web
y sesiones de preguntas y respuestas, y eventos presenciales.

4401 Great America Parkway
Santa Clara, CA 95054
Línea principal: +1.408.753.4000
Ventas: +1.866.320.4788
Asistencia técnica: +1.866.898.9087
© 2016 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial registrada
de Palo Alto Networks. Hay una lista de nuestras marcas comerciales disponible en
http://www.paloaltonetworks.com/company/trademarks.html. El resto de las marcas
mencionadas en este documento podrían ser marcas comerciales de sus respectivas
compañías. pan-wp-best-practiceschapter7-sddc-052716

www.paloaltonetworks.com