Microsegmentació de xarxa: què és i com aplicar-la amb Zero Trust
Quan un atacant aconsegueix entrar a la xarxa corporativa, el que determina el mal real no és la porta que va obrir sinó fins on pot moure's per dins. La microsegmentació és la tècnica que talla aquest moviment lateral.
Què és la microsegmentació
La microsegmentació divideix la xarxa en zones petites i aïllades on cada comunicació s'autoritza o denega per política. Va molt més enllà d'una VLAN:
- Una VLAN separa per xarxa física/lògica.
- La segmentació tradicional separa per firewall intern.
- La microsegmentació separa per identitat, aplicació i context en qualsevol pla (est-oest inclòs).
És una de les peces centrals del model Zero Trust.
Per què importa
El 95 % de les bretxes greus impliquen moviment lateral. Sense microsegmentació:
- Un phishing en un portàtil obre accés a servidors.
- Un ransomware xifra recursos compartits que mai no havien de ser accessibles.
- Un proveïdor compromès salta a la producció del client.
Amb microsegmentació ben feta:
- Cada aplicació és una zona d'un sol salt.
- Un dispositiu compromès no pot descobrir ni escanejar la resta.
- Els registres mostren qui va intentar què, per a forense i NIS2.
Com implementar-la amb ZTNA
Un model ZTNA modern ja incorpora microsegmentació per disseny:
- Directori d'aplicacions.
- Polítiques per identitat + grup + dispositiu.
- Túnel efímer per aplicació.
- Registre complet de sessions.
Amb la plataforma ConnectaSec, la microsegmentació s'activa creant grups d'aplicacions i assignant-los a rols. No cal redissenyar la LAN.
Comparativa d'enfocaments
| Enfocament | Cost | Complexitat | Abast | Est-oest |
|---|---|---|---|---|
| VLAN + ACL | Baix | Baixa | Només LAN | No |
| Firewall intern | Alt | Alta | LAN + datacenter | Limitat |
| SDN (NSX, ACI) | Molt alt | Molt alta | Datacenter | Sí |
| ZTNA amb microsegmentació | Mitjà | Baixa | LAN + remot + núvol | Sí |
Casos d'ús reals
- Clíniques i hospitals: aïllar història clínica.
- Retail multi-seu: TPV separat del Wi-Fi de convidats.
- Indústria: OT separat d'IT.
- Administració pública: expedients ENS Alt aïllats.
Errors comuns
- Començar per tot alhora.
- Polítiques per IP en lloc d'identitat.
- No registrar denegacions.
- Oblidar serveis interns (DNS, backup).
Microsegmentació i compliment
- NIS2 (art. 21.2.d).
- ENS Alt: mp.com.1.
- ISO 27001: A.13.1.3.
- RGPD.
Vegeu també la guia NIS2 i SASE vs ZTNA.
Preguntes freqüents
Cal canviar la xarxa actual? No. Amb ZTNA la microsegmentació s'aplica al pla d'accés.
Quant triga a implementar-se? Un pilot amb 3–5 aplicacions es fa en 1–2 setmanes.
És el mateix que una VLAN? No.
Vols veure microsegmentació funcionant a la teva xarxa? Sol·licita una demo o calcula l'impacte amb la calculadora ROI ZTNA.