🏰 Arquitectura de Defensa en Profundidad: Dispositivos y Colocación Estratégica

🎯 Objetivo Central

Garantizar que el tráfico entre zonas y dentro de ellas cumpla las políticas de seguridad de forma preventiva, detectiva y correctiva, en múltiples capas del modelo OSI, ubicando los dispositivos de manera estratégica según su rol.

🛡️ 1. Tipos de controles y su propósito

🔐 Controles preventivos

¿Qué hacen?
Evitan que amenazas entren o se propaguen.

Ejemplos:

  • Firewalls de red y de host

  • Sistemas de autenticación

  • Segmentación por VLAN o subred

  • Balanceadores de carga (para alta disponibilidad)

Dónde colocarlos:

  • En los límites del perímetro (firewalls, WAFs).

  • En cada zona interna sensible.

  • En el host final (firewall personal).

👁️ Controles de detección

¿Qué hacen?
Observan, registran y alertan sobre comportamientos sospechosos.

Ejemplos:

  • IDS (Intrusion Detection System)

  • NDR (Network Detection and Response)

  • SIEMs (para recolección y correlación de eventos)

  • Honeypots

Dónde colocarlos:

  • Detrás del firewall, en modo espejo (SPAN port o TAP).

  • Dentro de segmentos críticos para observar tráfico lateral.

  • En el endpoint con EDR (Endpoint Detection and Response).

🔄 Controles correctivos

¿Qué hacen?
Corrigen problemas o eliminan amenazas activas.

Ejemplos:

  • Firewalls con capacidad de respuesta (NGFW con IPS)

  • Software antivirus con cuarentena automática

  • Load balancers con filtrado de DoS

  • Automatización con SOAR (Security Orchestration, Automation and Response)

Dónde colocarlos:

  • En el flujo de tráfico (NGFW en línea).

  • En servidores expuestos públicamente.

  • En el endpoint, con capacidad de reacción inmediata.

🧠 2. Principio clave: Defensa en profundidad

Imagina tu arquitectura como un castillo medieval:

  • Foso y murallas exteriores: Firewalls de borde.

  • Torre de vigilancia: IDS/IPS analizando el tráfico que logró entrar.

  • Guardias interiores: ACLs en routers internos segmentando zonas.

  • Vigilancia en la aldea: Agentes en endpoints con EDR, firewall de host y antivirus.

  • Alarma central: SIEM correlacionando eventos y alertando.

  • Guardia rápida de élite: SOAR automatizando la respuesta ante alertas.

La redundancia y diversidad de controles en distintas capas y puntos de la topología hacen que aunque un atacante penetre una defensa, se enfrente con otra inmediatamente después.

🗺️ 3. Ejemplo de topología con dispositivos de seguridad

Imagina una red empresarial con 3 zonas:

  1. Zona pública (servidores web/email expuestos)

  2. Zona interna de confianza (usuarios y recursos internos)

  3. Zona crítica (bases de datos, controladores de dominio)

Cómo se protege:

  • En la frontera: Firewall NGFW con filtrado L3-L7 y reglas de geolocalización.

  • Después del firewall: IDS inspeccionando tráfico entrante.

  • Entre zonas: ACLs en routers limitando accesos entre segmentos.

  • En la zona crítica: Monitorización activa + segmentación estricta.

  • En cada host: Antivirus, DLP, firewall personal, políticas de actualizaciones.

  • Consola central: SIEM que recoge eventos de todos estos sistemas y lanza acciones vía SOAR.

🌐 Desde la visión Purple Team:

  • Como Red Team: sabrás cómo burlar cada defensa.

  • Como Blue Team: sabrás cómo reforzar, detectar y contener cada intento.

  • Como CISO: sabrás cómo diseñar esta sinfonía de seguridad, equilibrando presupuesto, rendimiento y protección.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar