/ O que é segmentação de rede?
O que é segmentação de rede?
Segmentação de rede versus microssegmentação
Antes de continuarmos, vamos diferenciar entre segmentação de rede e microssegmentação.
A segmentação de rede é mais adequada para o tráfego norte-sul, enquanto a microssegmentação adiciona uma camada de proteção para o tráfego leste-oeste (de servidor para servidor, aplicativo para servidor, web para servidor e assim por diante). Para fazermos uma analogia, a segmentação de rede funciona como as paredes externas e o fosso de um castelo, e a microssegmentação age como os guardas que protegem cada uma das portas em seu interior.
Por que usar segmentação de rede?
A segmentação de rede é uma defesa proativa, não reativa, oferecendo algumas vantagens importantes. A defesa reativa – realizar investigação e controle de danos somente após uma violação – geralmente é cara e ainda pode gerar perda de dados, problemas de conformidade e danos à reputação.
A defesa proativa, isto é, a prevenção, procura abordar possíveis riscos e vulnerabilidades antes que possam ser explorados. A segmentação de rede é uma das maneiras mais comuns de fazer isso hoje.
Tipos de segmentação de rede
Tradicionalmente, existem dois tipos básicos de segmentação de rede:
- A segmentação física usa firewalls, cabeamento, switches e conexões de internet distintos para separar partes de uma rede de computadores. É o tipo menos econômico e dimensionável.
- Segmentação virtual: também chamada de segmentação lógica, ela geralmente segmenta os fluxos de tráfego de rede usando redes locais virtuais (VLANs) que podem ser protegidas pelo mesmo firewall.
Casos de uso da segmentação de rede
Então, o que a segmentação de rede realmente faz? Resumindo, ela foi projetada para ajudar você a:
- Interromper a movimentação lateral de ameaças externas: em uma rede segmentada, uma violação de dados em um segmento não representa uma ameaça imediata aos dados de outro segmento.
- Interromper a movimentação lateral de ameaças internas: segmentar o acesso por necessidade comercial (por exemplo, tornar os dados financeiros inacessíveis ao RH) reduz o risco de ataques internos.
- Separar redes internas e de convidados: manter os convidados em um segmento separado permite oferecer conectividade sem colocar em risco seus dispositivos e dados internos.
- Proteger os dados regulamentados e manter a conformidade: armazenar dados sigilosos em um segmento com acesso restrito irá protegê-los melhor e ajudar você a cumprir as regulamentações de dados.
Benefícios da segmentação de rede
Seja qual for o esquema que uma organização utilize, uma rede segmentada tem algumas vantagens óbvias em relação a uma rede plana sem hierarquia ou sub-redes. Entre estes podemos citar:
- Segurança cibernética mais robusta para dados sigilosos: esse benefício inclui prevenção contra violações (movimentação norte-sul), controle de acesso mais restrito e controles de segurança específicos a cada segmento.
- Conformidade regulatória mais fácil: limitar quem pode acessar determinados dados e para onde eles são transmitidos simplifica a conformidade e as auditorias de regulamentações como PCI DSS e RGPD.
- Análise de risco e controle de danos mais simples: quando os criminosos cibernéticos não conseguem se mover livremente por toda a rede, é mais fácil identificar as técnicas deles e os pontos fracos da sua postura de segurança.
- Terminais e usuários mais seguros: isso ocorre em ambos os sentidos — os usuários finais e os terminais ficam mais seguros quando as ameaças não podem se espalhar facilmente entre os segmentos, e os próprios segmentos ficam mais seguros contra as ameaças que se originam nos terminais.
- Congestionamento de rede reduzido: a atividade em um segmento não irá afetar outra parte da rede. Por exemplo: os clientes que utilizam a rede Wi-Fi para convidados não deixarão as transações de cartão de crédito mais lentas.
Práticas recomendadas de segmentação de rede
Para implementar e manter uma segmentação de rede eficaz, aqui estão cinco práticas recomendadas de segmentação de rede:
1. Não segmente em excesso
A segmentação excessiva pode diminuir a visibilidade geral da rede e dificultar o gerenciamento, mas a baixa segmentação amplia a superfície de ataque e prejudica sua postura de segurança.
2. Realize auditorias frequentes
A segmentação de rede só melhorará a segurança da rede se você auditar continuamente seus segmentos em busca de vulnerabilidades, permissões restritas e atualizações. Se você sabe que não há falhas para explorar na sua cobertura, você está um passo à frente dos hackers.
3. Siga o princípio do privilégio mínimo
Ao aplicar o princípio de privilégio mínimo em todos os seus segmentos de rede, você garante a seus usuários, administradores de rede e equipe de segurança que o acesso seja concedido apenas quando necessário. É por isso que o acesso de privilégio mínimo é fundamental para o acesso à rede zero trust.
4. Limite o acesso de terceiros
Conceder acesso a terceiros já é algo arriscado, por isso é importante fazê-lo apenas onde for necessário, especialmente se estiver concedendo acesso a vários segmentos. Considerar cuidadosamente novas permissões é fundamental para manter uma boa postura de segurança de rede.
5. Automatize onde puder
Além dos benefícios oferecidos pela automação em geral, como maior visibilidade, redução do MTTR e segurança aprimorada, automatizar a segmentação de rede permite identificar e classificar rapidamente novos ativos e dados, o que também é outra prática recomendada da segmentação.
Desvantagens da segmentação de rede
Nas atuais arquiteturas de rede complexas, distribuídas em vários ambientes de nuvem e data centers, os antigos modelos de segmentação (baseados em firewalls, VLANs e perímetros de rede) apresentam algumas limitações importantes.
Os firewalls tradicionais possuem uma falha fundamental que se opõe diretamente à segmentação: eles criam redes planas que permitem a fácil movimentação lateral. Tentar compensar isso é incrivelmente oneroso e complexo do ponto de vista operacional. Mesmo os firewalls de nova geração ainda inserem usuários em sua rede para acessar aplicativos, e as VLANs têm a mesma fraqueza.
Uma abordagem tradicional faz com que você tenha que lidar com:
- Confiança excessiva: como a segmentação baseada em firewalls tradicionais é projetada para impedir ataques externos, ela deixa você vulnerável a ameaças internas.
- Erros de configuração: é fácil configurar VLANs incorretamente nas arquiteturas atuais, especialmente se você usa provedores de nuvem de terceiros e não pode mudar a infraestrutura por conta própria.
- Gerenciamento de trabalho intensivo: cada novo aplicativo, dispositivo ou alteração implica a atualização de regras de firewall, e até mesmo atividades comuns, como a busca por vulnerabilidades, exigem mais recursos.
- Controles complexos: os métodos tradicionais não possuem controles refinados, o que complica a definição de políticas de segmentação para trabalhadores remotos, parceiros, clientes e assim por diante.
- Problemas de dimensionamento: para lidar com o crescimento da rede, é necessário criar segmentos menores ou atualizar os segmentos existentes, resultando em custos mais altos para dimensioná-los e mantê-los.
- Baixo desempenho: adicionar mais dispositivos de rede (como firewalls e roteadores) tem um efeito composto negativo no desempenho geral da rede.
ZTNA: uma maneira melhor de segmentar
À medida que suas operações dependem cada vez mais da capacidade de dimensionamento, flexibilidade e alcance da nuvem, muitas estratégias puras de segurança de rede (como a segmentação tradicional) tornam-se impraticáveis. Em vez disso, você precisa de um modelo que remova a sua rede interna, com todos os seus riscos e complexidade, da equação.
O acesso à rede zero trust (ZTNA) é uma estrutura baseada na noção de que nenhum usuário ou dispositivo é inerentemente confiável. Em vez disso, as políticas de acesso são criadas sobre o princípio de privilégio mínimo, baseado na identidade e no contexto, como dispositivo, local, aplicativo e conteúdo.
O ZTNA conecta os usuários de maneira direta e individual aos aplicativos, e nunca à rede, eliminando a movimentação lateral. Isso permite realizar a segmentação de uma maneira fundamentalmente diferente e mais eficaz, algo impossível de fazer com VPNs e firewalls legados.
Saiba mais sobre o estado do mercado de ZTNA, recomendações e tendências no Guia de mercado Gartner® para acesso à rede zero trust.
Vantagens do ZTNA sobre a segmentação tradicional
Comparado à segmentação tradicional, o ZTNA:
- Oferece acesso adaptativo, baseado na identidade e preciso sem acessar a rede. Isso elimina a confiança implícita, substituindo-a pela confiança explícita baseada na identidade.
- Ele não requer conexão de rede, portanto seus aplicativos internos (e endereços IP) nunca ficam expostos à internet, reduzindo a superfície de ataque e os riscos.
- Oferece segmentação em nível de usuário para aplicativo por meio de políticas de acesso granular aplicadas na nuvem, em vez de exigir que você configure políticas de acesso e regras de firewall.
- Melhora a flexibilidade, agilidade e capacidade de dimensionamento ao mesmo tempo em que reduz a necessidade de firewalls internos. O ZTNA pode ser oferecido como um serviço na nuvem ou como um software gerenciado no local.
- Permite o acesso seguro aos aplicativos para dispositivos não gerenciados e parceiros externos e mantém os usuários fora da rede, minimizando os riscos de proliferação de malware.
Zscaler e segmentação de rede
O Zscaler Private Access™ é a plataforma de ZTNA mais implantada do mundo. Ao aplicar os princípios de privilégio mínimo, ele oferece aos usuários conectividade segura e direta aos seus aplicativos privados sem inseri-los na sua rede.
Não importa se você ainda está na etapa de planejamento ou se já administra um modelo de segmentação tradicional ultrapassado, nós podemos ajudar você a obter uma segmentação madura com o ZTNA. Veja como começar:
- Substitua suas VPNS e firewalls pelo Zscaler Private Access para reduzir sua superfície de ataque e eliminar a movimentação lateral com a segmentação de usuário para aplicativo.
- Implemente a segmentação de aplicativo para aplicativo e leve o ZTNA para suas cargas de trabalho e aplicativos na nuvem em ambientes híbridos e multinuvem.
- Por fim, implemente a microssegmentação de processo para processo/baseada na identidade para a comunicação dentro da nuvem.