A microssegmentação é uma prática recomendada de segurança que ajuda a controlar e limitar o acesso à rede entre workloads no data center ou nos ambientes de nuvem de uma empresa.
A segmentação não é uma prática nova – as equipes de TI segmentam redes e aplicações há muito tempo. A segmentação de rede, por exemplo, divide uma rede em vários segmentos para reduzir a superfície de ataque e garantir que se um host em um determinado segmento de rede for violado, os hosts nos outros segmentos não serão comprometidos.
A diferença da microssegmentação está na granularidade da segmentação em nível de dados ou aplicação. Usando a tecnologia de virtualização de rede em vez de vários firewalls físicos, a TI pode segmentar uma rede em compartilhamentos individuais de dados ou workloads e, em seguida, implementar controles de segurança exclusivos baseados em políticas para cada um. Basicamente, este processo cria zonas seguras muito específicas no data center e nos ambientes de nuvem, o que otimiza a postura de segurança e a defesa da empresa contra ataques cibernéticos, minimizando a extensão dos danos no caso de um evento do gênero.
A microssegmentação vem se tornando cada vez mais popular, acompanhando a popularização da nuvem – o que exige uma separação absoluta de dados e workloads, além da implementação de políticas unificadas. Também pode oferecer proteção adicional durante a implementação de workloads que a segurança de perímetro padrão não é capaz de resguardar totalmente, como os contêineres. Por exemplo, os workloads nativos da nuvem geralmente possuem endereços IP dinâmicos, tornando ineficaz a criação de regras baseadas nos endereços IP.
Como a microssegmentação funciona?
Tradicionalmente, as empresas utilizam segurança de perímetro em suas redes. Esses protocolos e dispositivos de segurança monitoram o tráfego entre clientes e servidores, ou dados que são transmitidos dentro da rede a partir de uma fonte externa ou vice-versa. Tudo dentro da rede era considerado confiável e os dados podiam trafegar lateralmente entre workloads sem um monitoramento mais rigoroso.
Embora a nuvem venha ganhando popularidade, a maior parte do tráfego de uma empresa atualmente é lateral, ou workload para workload – e a segurança do perímetro não o inspeciona. A microssegmentação isola esses workloads e aplica políticas e regras para determinar se dois workloads podem acessar os dados um do outro.
Os administradores de TI podem separar os workloads em uma rede para reduzir ou eliminar qualquer dano causado por um ataque lateral de dentro dessa rede (ao contrário de um ataque de perímetro). Desta forma, mesmo que um invasor consiga passar pela segurança de perímetro, o sistema continuará protegido contra ameaças de servidor para servidor.
Geralmente, os controles de segurança da microssegmentação são divididos em três categorias principais:
- Agentes de software ou outras soluções baseadas em agentes - a TI pode usar um agente de software que sobrepõe os workloads e sistemas que estão sendo segmentados. Algumas dessas soluções analisam os atributos do workload para determinar como isolá-los. Outras contam com o firewall integrado do workload.
- Controles baseados em rede - aproveitam a infraestrutura de rede física ou virtual, como redes definidas por software (SDNs), switches e balanceadores de carga para criar e implementar políticas.
- Controles de nuvem integrados - nesta categoria, o sistema utiliza os controles nativos oferecidos por um provedor de serviços de nuvem, como o Amazon Security Group da AWS ou firewalls integrados.
O que é segurança zero-trust?
Os controles de segurança da microssegmentação normalmente são baseados nas estruturas subjacentes de privilégio mínimo e uma arquitetura zero-trust (ZTA). O modelo de segurança zero-trust elimina a confiança implícita inerente às abordagens de segurança tradicionais. Essa confiança implícita geralmente era proporcionada aos usuários dentro de um sistema de rede. Mas agora, o princípio de zero-trust predominante permite apenas que os usuários acessem os sistemas, informações e aplicações de que precisam, mantendo-os isolados de todo o resto. Isso restringe o movimento lateral desnecessário de dados entre sistemas e aplicações.
Em um modelo zero-trust, entrar pela porta da frente na rede ou no sistema de uma empresa não significa mais ter acesso a tudo e qualquer coisa. Os usuários precisam ser periodicamente autenticados e autorizados para acessar dados e aplicações específicos dentro do sistema.
A abordagem de segurança zero-trust é cada vez mais comum hoje, graças, em parte, a três principais fatores: 1) o aumento significativo de graves violações de dados em todos os setores; 2) a migração para modelos de trabalho remotos e híbridos nos últimos anos e 3) a migração de recursos para a nuvem, o que ajudou a dissipar e difundir o perímetro de segurança, antes definido pelo data center. Na verdade, o Gartner estima que 60% das empresas adotarão este modelo em vez das abordagens tradicionais de segurança até 2025.
Zero trust vs microssegmentação?
Muitos especialistas consideram a microssegmentação a tecnologia primordial das práticas de segurança zero-trust, chamadas de Zero Trust Network Access (ZTNA). As duas abordagens de segurança estão indissociavelmente ligadas – na verdade, a microssegmentação permite a zero-trust. Workloads são segmentados com alta granularidade e os princípios da zero-trust garantem que ninguém consiga acessar esses workloads sem autenticação e autorização consciente ou obrigatória. Se um workload for comprometido, a empresa pode manter a tranquilidade com a certeza de que a ameaça não afetará outros workloads, usuários e recursos lateralmente.
Quais são os benefícios da microssegmentação?
Além de reduzir ou prevenir a ameaça de ataques laterais nos sistemas de uma empresa, a microssegmentação oferece à TI insights mais auspiciosos sobre os workloads mais importantes a serem protegidos. Ela também pode permitir às empresas:
Reduzir a superfície de ataque
A superfície de ataque de uma empresa é composta por todos os pontos pelos quais alguém pode acessar sua rede. Esses pontos são chamados de vetores de ataque e podem incluir desde aplicações, APIs, senhas e credenciais de usuário, dados não criptografados até os próprios usuários.
A microssegmentação é capaz de isolar cada um desses pontos individualmente. Assim, caso um invasor consiga entrar no sistema, só conseguirá acessar uma parte bem pequena da rede. A superfície de ataque foi reduzida ao tamanho de cada microssegmento.
A microssegmentação também oferece à TI uma visão detalhada da rede, de ponta a ponta, sem afetar o desempenho ou causar interrupções inesperadas. Ao permitir que os desenvolvedores de apps definam políticas e controles de segurança durante o desenvolvimento, ajuda a evitar a criação de novas vulnerabilidades pela simples instalação ou atualização de uma aplicação.
Controlar as violações de dados com eficiência
Com microssegmentos e políticas detalhadas, as equipes de TI e segurança podem monitorar os dados com mais eficácia conforme eles viajam pela rede. As equipes de segurança também conseguem identificar ataques com mais rapidez e eficiência e assim reduzir o tempo necessário para mitigar ameaças ou responder aos ataques. Como os microssegmentos são isolados individualmente, a violação fica limitada apenas ao microssegmento comprometido. Assim, ela não é capaz de se espalhar lateralmente e afetar outras áreas da rede.
Melhorar a conformidade com regulamentações
A proteção de dados regulamentados pode ser um desafio maior que a proteção de informações menos críticas, pois as empresas precisam cumprir com diversas diretrizes de armazenamento, acesso, gerenciamento e uso desses dados. A microssegmentação permite que as empresas criem e implementem políticas para seus workloads individualmente, proporcionando um controle muito mais granular sobre o acesso e uso desses dados. As próprias políticas podem auxiliar no compliance e o isolamento de outros workloads ajuda a garantir que os requisitos de conformidade sejam mais bem aplicados.
Simplificar o gerenciamento de políticas
Algumas soluções de microssegmentação contam com ferramentas integradas que ajudam as empresas a simplificar o gerenciamento de políticas. Esse processo é realizado por meio de recursos capazes de localizar aplicações na rede automaticamente e recomendar diferentes tipos e níveis de políticas com base na forma como a aplicação ou o sistema operam.
Proteger os workloads mais críticos
Alguns workloads são mais críticos para os negócios da empresa do que outros. Com a natureza granular da microssegmentação, a TI pode garantir que os workloads mais importantes e valiosos contem com uma proteção mais poderosa através da criação de políticas de segurança personalizadas e controles definidos pela empresa.
Como é implementada a microssegmentação?
Conforme a zero-trust e a microssegmentação vão ganhando popularidade, as boas práticas para sua implementação vão surgindo. A primeira coisa que devemos observar é que se trata de um processo e sua empresa precisa avaliar se está pronta para adotá-lo.
Antes da implementação, sua equipe de TI precisa estar familiarizada com o uso de segmentação de rede em geral. Você também precisa ter uma política de segurança bem definida, pois ela será a base dos critérios que você usará para separar os recursos de rede.
Além disso, pode levar algum tempo até passar por um processo completo de descoberta e garantir que você tenha uma visibilidade melhor dos fluxos de tráfego de rede e aplicações. Isto é, descobrir quais dispositivos, aplicações e workloads estão em execução na sua rede e determinar os fluxos de dados de cada um.
Agora, com ampla visibilidade de sua rede, é hora de decidir o que cada workload poderá fazer. Isso é a base da criação das políticas para cada microssegmento.
Chegado o momento de implementar a microssegmentação, especialistas da eSecurityPlanet apontam quatro abordagens principais:
- Malha de rede - essa abordagem implica em dobrar o tamanho da malha de rede, o que significa integrar hardware e software verticalmente, obtendo melhor timing na visibilidade e gerenciamento da infraestrutura microssegmentada. É mais eficaz em ambientes de data center.
- Hipervisor - um hipervisor, ou gerenciador de máquina virtual, também pode ser o ponto de controle do tráfego de dados através de uma rede. Essa abordagem elimina o gerenciamento tedioso de atualizações e patching de software em cada máquina individual.
- Proteção terceirizada de endpoint - delegar a proteção de endpoints a um fornecedor terceirizado é uma ótima opção para algumas empresas. Esse método é baseado em agentes e pode proteger as políticas em tempo real.
- Firewalls de última geração - considerados o método de implementação mais avançado, os firewalls de última geração oferecem uma proteção sólida que inclui controles de aplicações, detecção e prevenção de invasão e inspeção profunda de pacotes. Originalmente, essa abordagem não foi desenvolvida para ser usada na nuvem, mas hoje já existem fornecedores que oferecem firewall como serviço.
Casos de uso da microssegmentação
- Gerenciando a nuvem híbrida - as empresas podem criar políticas e controles de segurança consistentes e desfrutar de uma proteção sólida não só no data center, como também em diversas plataformas de nuvem diferentes.
- Separação dos sistemas de produção e desenvolvimento - a microssegmentação não atua só para separar os dois ambientes, ela também permite a criação de políticas para um isolamento mais preciso entre eles.
- Segurança reforçada para dados e ativos confidenciais - ativos “sensíveis”, que incluem informações confidenciais de clientes, empresas e propriedade intelectual, ganham um nível extra de proteção contra agentes mal intencionados a partir da empresa.
- Resposta a incidentes - a microssegmentação limita a propagação da invasão e a maioria das soluções conta com recursos de registro integrados, oferecendo às equipes de segurança mais visibilidade sobre ataques e ações subsequentes.
Conclusão
À medida que a nuvem segue mudando o mundo dos negócios, é essencial entender como a segurança da nuvem funciona e encontrar as ferramentas e práticas certas para proteger seus dados, aplicações, sistemas e outros ativos da melhor forma.
Um elemento crucial da segurança da nuvem é a microssegmentação, que permite uma abordagem de segurança zero-trust – cuja popularidade tende a aumentar cada vez mais nos próximos anos.
A Nutanix entende os desafios da proteção dos dados e outros ativos na nuvem. Também adotamos o modelo de segurança zero-trust e oferecemos diversas soluções para ajudar empresas a reduzir sua superfície de ataque, manter a conformidade com regulamentações que mudam constantemente, além de reagir com mais eficiência e evitar violações de dados.
Recomendado para você:
Explore os nossos principais recursos
Guia do Flow Network Security
Segurança centrada em aplicações
