Zpedia 

/ O que é microssegmentação?

O que é microssegmentação?

A microssegmentação é uma técnica de segurança cibernética que ajuda as organizações a administrar melhor o acesso à rede entre recursos (por exemplo: tráfego de servidor para servidor/leste-oeste). Ao identificar individualmente cada recurso (por exemplo: servidor, aplicativo, host, usuário), ela permite configurar permissões que oferecem controles refinados do tráfego de dados. Combinada com uma abordagem zero trust, a microssegmentação ajuda a evitar a movimentação lateral de ameaças, o comprometimento de cargas de trabalho e as violações de dados.
Leia “Introdução à microssegmentação 101”
Zero TrustSegurança na nuvem
  1. Por que é importante
  2. Microssegmentação versus segmentação de rede
  3. Como funciona
  4. Abordagens tradicionais
  5. Recursos/benefícios
  6. Como a Zscaler pode ajudar
  7. Recursos sugeridos
  8. Perguntas Frequentes
  9. Tópicos relacionados

Por que a microssegmentação é importante

A microssegmentação permite que a TI baseie políticas e permissões na identidade dos recursos, tornando-a o método ideal para criar agrupamentos inteligentes de cargas de trabalho com base nas características individuais das cargas de trabalho que se comunicam no data center. Em conjunto com controles de acesso baseados no princípio do privilégio mínimo, a microssegmentação protege melhor os aplicativos e dados críticos de uma organização, ao mesmo tempo que reforça significativamente a postura geral de segurança.

Além disso, a microssegmentação não depende de redes que mudam dinamicamente nem de seus requisitos comerciais ou técnicos, o que torna a microssegmentação mais robusta e confiável para a segurança de rede. Na verdade, ela é parte fundamental de uma estrutura de acesso à rede zero trust (ZTNA), que comprovadamente simplifica o controle de acesso.

Ela também é mais fácil de gerenciar — você pode proteger um segmento com apenas algumas políticas baseadas em identidade em vez de centenas de políticas de firewall baseadas em endereços.

Microssegmentação versus segmentação de rede

Embora os termos segmentação de rede e microssegmentação sejam muitas vezes usados de forma intercambiável, eles são conceitos completamente diferentes.

A segmentação de rede é melhor usada para o tráfego norte-sul (que entra e sai de uma rede). As organizações normalmente constroem segmentos de rede por meio de VLANs ou firewalls, com os segmentos (zonas) baseados na região geográfica ou nas camadas de rede existentes – dados, aplicativos ou rede. Com a segmentação de rede, uma entidade como um usuário é considerada confiável uma vez dentro de uma determinada zona.

A microssegmentação é melhor usada para tráfego leste-oeste (dentro do data center ou rede na nuvem – de servidor para servidor, de aplicativo para servidor, etc.). Simplificando, a segmentação de rede é como as paredes externas e o fosso de um castelo, enquanto a microssegmentação é como os guardas que protegem cada uma das portas internas do castelo.

Como a microssegmentação funciona

As soluções de microssegmentação criam zonas seguras que permitem às empresas isolar as cargas de trabalho ou máquinas virtuais (VMs) umas das outras e protegê-las individualmente. Elas são projetadas para permitir o particionamento granular do tráfego de rede para oferecer maior resistência aos ataques cibernéticos.

Em nosso mundo hiperconectado, a microssegmentação tornou-se central para qualquer estratégia de segurança moderna e eficaz. Com uma abordagem que inclui políticas de microssegmentação, as equipes de TI e segurança podem adaptar as configurações aos diferentes tipos de tráfego, criando controles que limitam os fluxos de rede e aplicativos entre cargas de trabalho para aquelas que são explicitamente permitidas.

Aplicar regras de segmentação no nível da carga de trabalho ou aplicativo permite que a TI reduza a superfície de ataque, diminuindo as chances de um invasor passar de uma carga de trabalho ou aplicativo comprometido para outro.

Casos de uso de microssegmentação

A microssegmentação é essencial para o sucesso de vários casos de uso empresariais comuns, incluindo:

  • Migração para a nuvem: a microssegmentação pode acelerar e simplificar a adoção da nuvem, oferecendo conectividade direta e segura para cargas de trabalho na nuvem e garantindo comunicações seguras de cargas de trabalho em toda a infraestrutura multinuvem.
  • Fusões e aquisições: a microssegmentação agiliza os esforços de integração após fusões e aquisições, oferecendo acesso a aplicativos entre redes sem conectá-las. Os administradores podem aplicar uma postura de segurança universal para proteger cargas de trabalho em várias VPCs, regiões e nuvens públicas.
  • Infraestrutura de desktop virtual: a microssegmentação ajuda a proteger a VDI fornecida a partir da infraestrutura na nuvem, permitindo a aplicação de políticas precisas de controle de acesso para sites e aplicativos privados explicitamente permitidos.
  • Segmentação de cargas de trabalho: a microsegmentação oferece às organizações controle granular sobre a conectividade para cargas de trabalho na nuvem localizadas em diferentes VPCs/VNets, regiões ou nuvens públicas.

A microssegmentação vai além da segmentação tradicional

A microssegmentação oferece uma abordagem dinâmica e sensível ao contexto para segurança de rede. Enquanto a segmentação de rede tradicional depende de regras de firewall estáticas baseadas em endereços IP, a microssegmentação concentra-se na camada de aplicação, na identidade do usuário e nos atributos do dispositivo. Como as políticas de microssegmentação não estão vinculadas a endereços IP específicos, elas são mais adaptáveis às redes modernas, seja em data centers locais ou em ambientes multinuvem.

A segmentação tradicional requer atualizações constantes de regras, enquanto a microssegmentação pode se ajustar dinamicamente às mudanças na configuração da rede, aos dispositivos e usuários móveis e às ameaças em evolução. Levando em conta o comportamento do usuário, o contexto do aplicativo e mais, a microssegmentação fornece uma estrutura de segurança mais robusta, flexível e eficaz para os ambientes de TI atuais.

Por que as abordagens de segmentação legadas não funcionam

As abordagens de segmentação baseadas no endereço de rede não conseguem identificar o que está se comunicando. Por exemplo, elas não conseguem constatar a identidade do software. Elas só conseguem informar como a comunicação está ocorrendo, seja pelo endereço IP, porta ou protocolo de onde a “solicitação” se originou. Isso significa que, desde que sejam consideradas “seguras”, as comunicações são permitidas, mesmo que as equipes de TI e segurança não saibam exatamente o que está tentando se comunicar.

Além disso, assim que a entidade estiver em uma “zona segura” na rede, será considerada confiável, o que pode resultar em violações e, em uma rede plana, na movimentação lateral.

Recursos e benefícios da microssegmentação

Alguns dos recursos e benefícios técnicos da microssegmentação incluem:

  • Controles de segurança e gerenciamento centralizados entre redes: como a microssegmentação gerencia o tráfego leste-oeste em vez do tráfego norte-sul, suas políticas se aplicam a qualquer tráfego que passe pelos segmentos que elas controlam. E como as políticas são mais bem definidas, você obtém uma visibilidade muito maior das atividades da rede do que com a segmentação de rede.
  • Políticas de segmentação que se adaptam automaticamente: as políticas são aplicadas às cargas de trabalho, e não ao hardware, permanecendo intactas independentemente das alterações de infraestrutura. Isso significa que as equipes de segurança da TI podem estender um conjunto de controles para qualquer lugar, sem a necessidade de interromper as atividades.
  • Proteção sem falhas: as políticas de segurança abrangem nuvens privadas e públicas, contêineres, data centers locais, ambientes de nuvem híbrida e sistemas operacionais porque são específicas para as cargas de trabalho, não para o segmento da rede.
  • Auditorias simplificadas: como a microssegmentação identifica cada recurso de forma exclusiva, ela oferece uma visibilidade significativamente melhor do que outras abordagens, tornando as auditorias regulatórias muito mais rápidas e fáceis de conduzir.

Depoimento

Alguns fornecedores se concentram exclusivamente na microssegmentação. Em todos os casos, a solução deve oferecer suporte à necessidade crescente de “microssegmentação” baseada na identidade (a segmentação mais granular e definida por software, também chamada de segmentação de rede zero trust) do tráfego leste-oeste nos data centers.

Neil MacDonald e Tom Croll, Guia de mercado da Gartner para proteção de cargas de trabalho na nuvem, abril de 2020

Benefícios comerciais da microssegmentação

Rede proativa e segurança de TI

A microssegmentação remove os obstáculos de segurança comuns da segmentação tradicional, criando políticas baseadas no aplicativo que acompanham todos os aplicativos e serviços. Consequentemente, as possíveis violações de dados ficam contidas nos ativos afetados, não atingindo toda a rede. Os serviços de microssegmentação mais eficazes oferecem funcionalidades que aproveitam a automação para identificar todos os softwares de comunicação, recomendam políticas de zero trust e permitem aplicá-las com um clique.

Vulnerabilidade reduzida

Em vez de utilizar controles estáticos que dependem de endereços IP, portas e protocolos, as equipes podem identificar criptograficamente cada carga de trabalho, para fornecer proteção consistente às cargas de trabalho operando em um data center interno ou na nuvem. A identificação separa a segurança da carga de trabalho dos conceitos de endereço IP, para evitar problemas com controles baseados em IP.

Avaliação de riscos contínua

A microssegmentação permite quantificar a exposição aos riscos, medindo automaticamente a superfície de ataque visível da rede, para entender quantos caminhos possíveis de comunicação de aplicativos estão em uso. Alguns serviços até mesmo verificam as identidades dos softwares de comunicação cada vez que o software solicita uma comunicação, o que mitiga riscos, oferece suporte aos mandatos de conformidade regulatória e oferece relatórios de riscos visualizados.

Práticas recomendadas para uma microssegmentação bem-sucedida

Como obter esses benefícios? As especificidades serão diferentes dependendo do setor, obrigações regulatórias, entre outros, mas algumas práticas recomendadas gerais devem fazer parte de qualquer plano de microssegmentação bem-sucedido:

  • Crie políticas de acesso de privilégio mínimo detalhadas e granulares com base no reconhecimento em nível de aplicativo, nas identidades dos usuários e nos atributos do dispositivo, limitando o acesso aos recursos apenas ao que cada usuário ou entidade precisa para realizar seu trabalho.
  • Integre sistemas de gerenciamento de identidade e acesso (IAM) para garantir que suas políticas se alinhem às funções e permissões de usuário.
  • Implemente monitoramento e auditoria contínuos e em tempo real do tráfego de rede e aplicação de políticas para detectar anomalias ou violações de políticas.
  • Utilize ferramentas automatizadas para implantar e ajustar políticas em resposta a alterações na configuração da sua rede ou postura de segurança.
  • Realize auditorias de segurança e testes de penetração frequentese mantenha uma documentação completa para garantir que suas políticas permaneçam eficazes, além de oferecer suporte a relatórios de conformidade e solução de problemas.

Segmentação zero trust

Um modelo de segurança zero trust é baseado nos princípios da microssegmentação. As políticas são aplicadas às cargas de trabalho, não aos segmentos de rede, permitindo controlar granularmente o acesso a qualquer recurso em qualquer local se não for possível estabelecer contexto suficiente para qualquer conexão.

Por exemplo, com um modelo zero trust, especialmente um baseado na nuvem, uma empresa pode definir uma política que estabeleça que dispositivos médicos só podem se comunicar com outros dispositivos médicos. Se um dispositivo ou carga de trabalho fosse movido, as políticas de segurança e os atributos seriam movidos com ele em tempo real.

Muitos fornecedores de segurança na nuvem prometem um modelo zero trust baseado na nuvem que não podem cumprir. Apenas um fornecedor oferece segurança zero trust abrangente e nativa da nuvem que pode proteger sua rede, aplicativos e dados sigilosos das sofisticadas ameaças cibernéticas atuais.

Como a Zscaler pode ajudar

A Zscaler Workload Communications é a abordagem moderna para a proteção dos seus aplicativos e cargas de trabalho na nuvem. Com a conectividade de nuvem zero trust segura para cargas de trabalho, é possível eliminar a superfície de ataque da rede, impedir a movimentação lateral de ameaças, evitar o comprometimento de cargas de trabalho e prevenir a perda de dados sigilosos.

A Workload Communications usa a plataforma Zscaler Zero Trust Exchange™ para proteger cargas de trabalho na nuvem, permitindo que sua organização impeça acessos maliciosos com uma segurança explícita baseada em confiança que utiliza identidade, perfis de risco, localização e análises comportamentais.

A prevenção contra ameaças com inspeção de SSL profunda reforça ainda mais suas defesas cibernéticas. Com a proteção cibernética fornecida da nuvem, as políticas de segurança são fáceis de configurar, gerenciar e manter. Nunca foi tão fácil eliminar a superfície de ataque e adotar proteções zero trust eficazes.

Elimine a movimentação lateral, reduza os custos operacionais e a complexidade e garanta proteção consistente contra ameaças e dados com a Zscaler Workload Communications.

Recursos sugeridos

Conectividade Zero Trust na nuvem
Visite a página web
Zscaler Workload Communications
Leia a ficha técnica
Microssegmentação zero trust: uma questão de dados
Leia o blog
Zscaler Private Access
Visite a nossa página web

01 / 02

Perguntas frequentes