🏰 Arquitectura de Defensa en Profundidad: Dispositivos y Colocación Estratégica
🎯 Objetivo Central
Garantizar que el tráfico entre zonas y dentro de ellas cumpla las políticas de seguridad de forma preventiva, detectiva y correctiva, en múltiples capas del modelo OSI, ubicando los dispositivos de manera estratégica según su rol.
🛡️ 1. Tipos de controles y su propósito
🔐 Controles preventivos
¿Qué hacen?
Evitan que amenazas entren o se propaguen.
Ejemplos:
-
Firewalls de red y de host
-
Sistemas de autenticación
-
Segmentación por VLAN o subred
-
Balanceadores de carga (para alta disponibilidad)
Dónde colocarlos:
-
En los límites del perímetro (firewalls, WAFs).
-
En cada zona interna sensible.
-
En el host final (firewall personal).
👁️ Controles de detección
¿Qué hacen?
Observan, registran y alertan sobre comportamientos sospechosos.
Ejemplos:
-
IDS (Intrusion Detection System)
-
NDR (Network Detection and Response)
-
SIEMs (para recolección y correlación de eventos)
-
Honeypots
Dónde colocarlos:
-
Detrás del firewall, en modo espejo (SPAN port o TAP).
-
Dentro de segmentos críticos para observar tráfico lateral.
-
En el endpoint con EDR (Endpoint Detection and Response).
🔄 Controles correctivos
¿Qué hacen?
Corrigen problemas o eliminan amenazas activas.
Ejemplos:
-
Firewalls con capacidad de respuesta (NGFW con IPS)
-
Software antivirus con cuarentena automática
-
Load balancers con filtrado de DoS
-
Automatización con SOAR (Security Orchestration, Automation and Response)
Dónde colocarlos:
-
En el flujo de tráfico (NGFW en línea).
-
En servidores expuestos públicamente.
-
En el endpoint, con capacidad de reacción inmediata.
🧠 2. Principio clave: Defensa en profundidad
Imagina tu arquitectura como un castillo medieval:
-
Foso y murallas exteriores: Firewalls de borde.
-
Torre de vigilancia: IDS/IPS analizando el tráfico que logró entrar.
-
Guardias interiores: ACLs en routers internos segmentando zonas.
-
Vigilancia en la aldea: Agentes en endpoints con EDR, firewall de host y antivirus.
-
Alarma central: SIEM correlacionando eventos y alertando.
-
Guardia rápida de élite: SOAR automatizando la respuesta ante alertas.
La redundancia y diversidad de controles en distintas capas y puntos de la topología hacen que aunque un atacante penetre una defensa, se enfrente con otra inmediatamente después.
🗺️ 3. Ejemplo de topología con dispositivos de seguridad
Imagina una red empresarial con 3 zonas:
-
Zona pública (servidores web/email expuestos)
-
Zona interna de confianza (usuarios y recursos internos)
-
Zona crítica (bases de datos, controladores de dominio)
Cómo se protege:
-
En la frontera: Firewall NGFW con filtrado L3-L7 y reglas de geolocalización.
-
Después del firewall: IDS inspeccionando tráfico entrante.
-
Entre zonas: ACLs en routers limitando accesos entre segmentos.
-
En la zona crítica: Monitorización activa + segmentación estricta.
-
En cada host: Antivirus, DLP, firewall personal, políticas de actualizaciones.
-
Consola central: SIEM que recoge eventos de todos estos sistemas y lanza acciones vía SOAR.
🌐 Desde la visión Purple Team:
-
Como Red Team: sabrás cómo burlar cada defensa.
-
Como Blue Team: sabrás cómo reforzar, detectar y contener cada intento.
-
Como CISO: sabrás cómo diseñar esta sinfonía de seguridad, equilibrando presupuesto, rendimiento y protección.