La segmentación de la red sigue siendo un requisito de seguridad crítico; sin embargo, las organizaciones luchan con enfoques tradicionales que exigen grandes inversiones en hardware, gestión de políticas complejas y cambios disruptivos en la red. Los sectores de atención médica y manufactura enfrentan desafíos particulares a medida que integran diversos puntos finales (desde dispositivos médicos heredados hasta sensores de IoT) en sus redes de producción. Estos dispositivos a menudo carecen de un refuerzo de seguridad sólido, lo que crea vulnerabilidades importantes que las soluciones de segmentación tradicionales tienen dificultades para abordar.
Elisity tiene como objetivo resolver estos desafíos a través de un enfoque innovador que aprovecha la infraestructura de red existente y al mismo tiempo proporciona microsegmentación basada en identidad en el borde de la red. En lugar de requerir nuevo hardware, agentes o rediseños complejos de redes, los clientes de Elisity ejecutan algunos conectores virtuales livianos (llamados Elisity Virtual Edge) para hacer cumplir las políticas de seguridad a través de la infraestructura de conmutación actual de las organizaciones.
En esta revisión práctica, examinaremos las capacidades técnicas de Elisity y su aplicabilidad en el mundo real basándose en pruebas en un entorno de atención médica simulado que refleja escenarios de implementación empresarial comunes. Para obtener una demostración personalizada, visite el Sitio web de Elisity aquí.
Arquitectura que prioriza la identidad
En el centro de la plataforma de Elisity se encuentra el Centro de control de la nube, que proporciona visibilidad y gestión de políticas centralizadas. Durante las pruebas, vimos cómo los componentes “Elisity’s Virtual Edge” se pueden implementar directamente en conmutadores compatibles (serie Cisco Catalyst 9K) o como máquinas virtuales o contenedores en nubes privadas o en redes, y se integran con conmutadores de red existentes, incluidos Cisco, Juniper y Arista. . El entorno de prueba demuestra que Elisity puede gestionar la segmentación tanto en una serie de clínicas que se conectan a la red con conmutadores Cisco 9300 y 3850 como en sitios hospitalarios con un Cisco 9300 que ejecuta Elisity Virtual Edge.
El motor Elisity IdentityGraph resulta particularmente impresionante en la práctica. Más allá de simplemente descubrir dispositivos, correlaciona datos de identidad de múltiples fuentes en lo que Elisity llama “atributos efectivos centrales”: una vista consolidada de los datos más válidos y confiables sobre cada activo. Durante las pruebas, vimos cómo extraía datos simultáneamente de Active Directory, ServiceNow, CrowdStrike y otras fuentes, creando perfiles contextuales enriquecidos que informan las decisiones políticas.
Debido a que los “conectores” Virtual Edge de Elistiy son redes corporativas conectadas que descubren y ven más que solo los detalles del dispositivo, también envían datos de flujo de red al Centro de control en la nube de Elisity. Este nivel de integración permite a la plataforma correlacionar “quién habla con quién”.
Creación y gestión de políticas
Todos estos metadatos correlacionados para usuarios, cargas de trabajo y dispositivos se vuelven valiosos con las capacidades de política de acceso de Elisity. La interfaz de políticas utiliza una visualización matricial intuitiva que muestra claramente las relaciones entre los grupos de activos. Una característica clave demostrada fue la capacidad de clasificar activos dinámicamente según múltiples criterios. Por ejemplo, vimos cómo una computadora portátil no autorizada se reclasificaba automáticamente en un grupo de radiología autorizado según las etiquetas de activos de ServiceNow, el tipo de dispositivo y el estado de CrowdStrike EDR coincidentes.
La plataforma incluye potentes funciones para perfeccionar las políticas:
· Modo de aprendizaje para comprender los patrones de tráfico reales.
· Simulación de políticas antes de su aplicación.
· Análisis de flujo de tráfico superpuestos en la matriz de políticas
· La capacidad de bloquear activos en grupos específicos (particularmente valioso para entornos OT)
Una característica particularmente útil es la vista de análisis del flujo de tráfico, que superpone patrones de comunicación reales en la matriz de políticas. Esto ayuda a los administradores a identificar rutas no utilizadas que se pueden bloquear de forma segura y validar los cambios de políticas antes de aplicarlas.
Análisis profundo de casos de uso sanitario
Para evaluar la aplicabilidad en el mundo real, probamos un escenario de atención médica común: proteger dispositivos médicos heredados que ejecutan sistemas operativos obsoletos. La plataforma descubrió automáticamente nuestro equipo médico simulado y proporcionó visibilidad granular de sus patrones de comunicación.
La demostración mostró con qué facilidad se pueden crear políticas para diversos equipos médicos, incluidas máquinas de rayos X, escáneres de tomografía computarizada y sistemas EHR. Un ejemplo particularmente valioso demostró el bloqueo de puertos específicos (como el puerto SSH 22) para dispositivos médicos heredados que ejecutan sistemas operativos obsoletos mientras se mantiene el acceso clínico necesario.
Rendimiento y escala
Las pruebas revelaron un impacto mínimo en el rendimiento de los mecanismos de aplicación de Elisity. Al aprovechar los ASIC de conmutación para la aplicación de políticas, la solución mantuvo una latencia inferior a milisegundos sin una reducción notable del rendimiento. La arquitectura distribuida manejó nuestra carga de prueba de manera eficiente, lo que sugiere una buena escalabilidad para implementaciones empresariales.
El proceso de implementación resultó notablemente sencillo: tomó menos de 30 minutos por sitio y no hubo tiempo de inactividad de la red. Esta eficiencia surge del enfoque basado en contenedores de Elisity y de su capacidad para trabajar con la infraestructura existente.
Áreas de mejora
Si bien Elisity cumple su promesa principal, algunas áreas podrían mejorarse. Las capacidades de integración inalámbrica se han ampliado recientemente para incluir controladores inalámbricos Cisco Catalyst 9800 que admiten segmentación inter e intra SSID o, alternativamente, en el conmutador donde el AP o el controlador se conecta a la red, lo que podría ser importante para entornos de atención médica con una creciente adopción de dispositivos inalámbricos. Además, si bien la interfaz de políticas es intuitiva, más plantillas predefinidas ayudarían a acelerar la implementación inicial.
También notamos que era necesario realizar algunos ajustes manuales de políticas para optimizar las reglas para casos de uso específicos. Si bien la plataforma ofrece buena visibilidad para este ajuste, una automatización adicional podría agilizar este proceso. Observamos que Elisity nos informó que lanzarán Elisity Intelligence a principios de 2025, que, según dicen, proporcionará un motor automatizado de recomendación de políticas más potente.
Ejemplo de estudio de caso público
Elisity comparte que un sistema de salud líder en EE. UU. con más de 800 hospitales y clínicas de atención médica logró notables ganancias de eficiencia y ahorros de costos al implementar Elisity, reduciendo los costos totales de $38 millones a $9 millones: una reducción del 76% del costo total de propiedad. La implementación requirió solo 2 miembros del personal por sitio en lugar de 14, y la implementación tomó solo de 4 a 10 horas por ubicación y, al mismo tiempo, evitó el tiempo de inactividad y la interrupción de la atención al paciente. La plataforma de Elisity descubrió y clasificó el 99 % de los dispositivos en 4 horas y eliminó la necesidad de costosos procesos de re-IP de dispositivos IoMT, y proporcionó actualizaciones continuas y automatizadas del inventario de dispositivos a su CMDB con visibilidad de red integral en todas las ubicaciones. Lea más sobre las implementaciones exitosas de Elisity en atención médica, farmacéutica y manufactura en su sitio web.
Conclusión
Elisity aborda con éxito los principales desafíos de los enfoques tradicionales de microsegmentación y al mismo tiempo proporciona un camino práctico hacia la implementación. La capacidad de la solución para aprovechar la infraestructura existente y al mismo tiempo ofrecer controles basados en identidad la hace particularmente valiosa para organizaciones con diversos tipos de terminales y requisitos de segmentación complejos.
Durante las pruebas, quedamos particularmente impresionados por las capacidades de respuesta a incidentes de Elisity. La plataforma permite a las organizaciones mantener múltiples conjuntos de políticas, incluidas políticas “bloqueadas” preconfiguradas que se pueden implementar rápidamente a través de sus guías SOAR o integraciones API, si se detecta ransomware u otras amenazas.
Las capacidades de implementación rápida de la plataforma y su impacto mínimo en el rendimiento la convierten en una opción atractiva para las empresas que buscan mejorar su postura de seguridad sin inversiones masivas en infraestructura. Si bien algunos aspectos, como la integración inalámbrica, podrían mejorarse, Elisity ofrece un enfoque pragmático para implementar la microsegmentación en toda la empresa.
Para las organizaciones que luchan con enfoques de segmentación tradicionales, particularmente aquellas en los sectores de salud y manufactura, Elisity proporciona un camino claro a seguir que equilibra los requisitos de seguridad con las realidades operativas. Para obtener más información sobre Elisity IdentityGraph, visite el página de solución aquí.
About the Author
