A microssegmentação cria zonas de segurança pequenas e específicas em uma rede, limitando o acesso a recursos e oferecendo maior segurança.
A microssegmentação é uma estratégia de segurança que envolve a divisão de uma rede em segmentos pequenos, diferentes entre si, com a finalidade de melhorar a segurança. Cada segmento ou carga de trabalho é isolado dos outros, criando zonas seguras cada vez mais granulares em data centers e implantações em nuvem que podem ser protegidas individualmente.
Ao isolar cargas de trabalho e aplicações, a microssegmentação pode diminuir a possível superfície de ataque e limitar o impacto das violações à segurança. Além disso, ela permite aos administradores gerenciar políticas de segurança que limitam o tráfego com base no princípio de privilégio mínimo e Zero Trust, bem como pode fornecer maior visibilidade do tráfego de rede e oferecer um melhor controle sobre o fluxo de tráfego da rede.
As cargas de trabalho são uma parte essencial da microssegmentação, pois representam as unidades de computação ou processamento que são executadas em uma rede, podendo se dar na forma de aplicações, serviços ou processos que precisam se comunicar entre si para operar corretamente. A microssegmentação fornece controle de segurança granular no nível da carga de trabalho, permitindo que as organizações isolem e protejam cargas de trabalho específicas contra possíveis ameaças. Com a segmentação das cargas de trabalho, as organizações limitam a possível superfície de ataque, restringem a movimentação lateral de ameaças e aplicam políticas de segurança por carga de trabalho.
A segurança de perímetro ou rede e a microssegmentação são duas estratégias de segurança diferentes que abordam aspectos isolados da segurança da rede. A segurança de perímetro fornece uma primeira linha de defesa contra ameaças externas, protegendo o perímetro externo de uma rede — normalmente, na borda da rede — e limitando o acesso à rede de fontes externas. Ela inspeciona o tráfego de “norte a sul” (do cliente ao servidor) que tenta atravessar o perímetro de segurança e interrompe o tráfego malicioso. Em geral, esse tipo de segurança é obtido por meio de tecnologias como firewalls, sistemas de detecção e prevenção de intrusão e VPNs.
A microssegmentação, por sua vez, concentra-se na segurança interna de uma rede, dividindo-a em segmentos ou zonas menores e aplicando controles de segurança granulares a cada segmento. Dessa forma, as organizações têm controle do tráfego lateral “de leste a oeste” dentro da rede e no nível de aplicação ou carga de trabalho, a fim de diminuir a possível superfície de ataque.
Junto com a microssegmentação, pode haver desafios em termos de desempenho e segurança da rede, caso não haja um devido planejamento e implementação.
As organizações precisam planejar a estratégia de microssegmentação com cautela, incluindo a quantidade e o tamanho dos segmentos, as políticas de segurança a serem aplicadas e o impacto nos padrões de tráfego da rede. Testes e monitoramento adequados devem ser realizados para garantir que a microssegmentação não afete negativamente o desempenho da rede ou leve a problemas de segurança.
Com a microssegmentação, as organizações podem criar zonas ou segmentos seguros dentro das suas redes, fornecendo controle granular sobre o tráfego de rede e diminuindo a superfície de ataque. Cada segmento é protegido por meio de políticas e controles que permitem somente o fluxo do tráfego autorizado entre os segmentos.
Normalmente, a microssegmentação é implementada por meio de redes definidas por software (SDN), que permitem a criação de redes virtuais que são independentes da infraestrutura de rede física. Cada um dos segmentos de rede é protegido por meio de políticas que definem os tipos de tráfego que podem entrar e sair do segmento. Por exemplo, é possível usar listas de controle de acesso (ACLs) para controlar quais usuários ou dispositivos podem acessar cada segmento, bem como usar sistemas de detecção e prevenção de intrusão (IDPS) para detectar e bloquear atividades maliciosas dentro de cada segmento. A criptografia pode ser usada para proteger os dados durante a movimentação destes entre segmentos.
A microssegmentação fornece visibilidade e controle granulares sobre o tráfego de rede, o que facilita identificar o tráfego não autorizado e possíveis violações à segurança, e dar uma resposta mais rápida a incidentes de segurança.
Existem três tipos principais de controles de microssegmentação.
Os controles de microssegmentação baseados em agente usam agentes de software instalados em endpoints, como servidores, estações de trabalho ou outros dispositivos de rede, para executar políticas de segmentação de rede. O agente monitora e aplica continuamente as diretivas específicas desse endpoint e pode ser gerenciado centralmente por meio de um terminal de gerenciamento, simplificando as políticas de configuração e implantação na rede de uma organização.
Os controles de microssegmentação baseados em rede usam SDN para criar segmentos de rede virtual, cada um com seu próprio conjunto de políticas e controles de segurança. Esses segmentos virtuais são isolados uns dos outros, o que limita o potencial de movimentação lateral dos invasores. As políticas e os controles são aplicados na camada de rede, e não no nível do endpoint, o que possibilita segmentar o tráfego de rede com base em diferentes fatores, como identidade do usuário, tipo de aplicação e localização da rede.
Os controles de microssegmentação nativos da nuvem são específicos para ambientes de nuvem. Eles usam recursos de segurança nativos da nuvem, como grupos de segurança de rede e nuvens privadas virtuais, para criar segmentos de rede virtual e executar políticas de segurança. Eles usam os recursos de segurança nativos da plataforma de nuvem para fornecer políticas de segurança granulares que são aplicadas automaticamente em todas as instâncias da nuvem.
As organizações podem optar por implementar um ou mais tipos de microssegmentação, dependendo do que precisam e quais são suas metas. Abaixo é possível ver alguns tipos comuns de microssegmentação.
Segmentação de aplicações
A segmentação de aplicações protege cada uma das aplicações com a criação de políticas de segurança que controlam o acesso a recursos de aplicações específicas, como bancos de dados, APIs e servidores Web, ajudando a impedir o acesso não autorizado e violações de dados. Além disso, permite que as organizações imponham controles de acesso com menos privilégios, garantindo que usuários e aplicações tenham acesso apenas aos recursos necessários para executar suas funções específicas.
Segmentação de camada
A segmentação de camada protege diferentes níveis ou camadas de uma pilha de aplicações, como a camada da Web, a camada de aplicação e a camada de banco de dados, para evitar a movimentação lateral de invasores dentro da pilha de aplicações e acessem dados ou recursos confidenciais.
Segmentação de ambiente
Ao proteger diferentes ambientes ou zonas dentro de uma rede, como ambientes de desenvolvimento, teste e produção, as organizações podem impor controles de acesso rigorosos a esses ambientes e garantir que o acesso a dados e recursos confidenciais seja concedido apenas a usuários e aplicações autorizados.
Segmentação de contêineres
A segmentação de contêineres protege contêineres individuais ou grupos de contêineres dentro de um ambiente de contêineres, diminuindo a superfície de ataque e ajudando a evitar a movimentação lateral de invasores dentro do ambiente de contêineres. Sem a segmentação adequada, os contêineres podem acessar os dados e arquivos de configuração uns dos outros, o que pode causar vulnerabilidades à segurança.
Práticas recomendadas de segmentação de contêineres
Segmentação de usuários em segurança na nuvem
A microssegmentação oferece inúmeros benefícios para as organizações, como:
P: Qual a diferença entre segmentação de rede e microssegmentação?
R: A segmentação de rede e a microssegmentação melhoram a segurança e o desempenho da rede, mas são fundamentalmente diferentes. A segmentação de rede tradicional (às vezes chamada de macrossegmentação) envolve a divisão de uma rede em segmentos maiores com base na função ou localização. Normalmente, tem como foco o tráfego que vai de “norte a sul” (do cliente ao servidor), dentro e fora da rede.
A microssegmentação, por sua vez, divide uma rede em segmentos menores e aplica políticas de segurança próprias, fornecendo um nível mais granular de controle sobre o acesso à rede “de leste a oeste”, com a capacidade de impor controles de acesso Zero Trust. A microssegmentação aplica políticas de segurança na carga de trabalho individual ou no nível da aplicação, e não no nível da rede.
P: O que é uma dependência de aplicações?
R: Dependência de aplicações refere-se às relações e interações entre diferentes aplicações e serviços dentro de um ambiente de rede. Entender as dependências de aplicações é importante para estratégias eficazes de microssegmentação, pois as mudanças no acesso a uma aplicação ou serviço podem afetar o desempenho ou a segurança de outras aplicações e serviços. Tais dependências devem ser mapeadas antes da implementação da microssegmentação.
P: O que são políticas de firewall?
R: As políticas de firewall são regras que definem como os firewalls de uma organização autorizam ou negam o tráfego entre diferentes segmentos de uma rede ou entre uma rede e a Internet. Tratam-se das regras que determinam como o tráfego é autorizado ou negado entre esses segmentos e camadas.
P: Qual a diferença entre firewalls e microssegmentação?
R: Os firewalls controlam o acesso a uma rede ao filtrar o tráfego com base em regras predefinidas. Embora os firewalls possam ser usados para controlar o acesso entre segmentos, a microssegmentação divide uma rede em segmentos menores e aplica políticas de segurança próprias a cada segmento, o que fornece um nível mais granular de controle sobre o acesso à rede, permitindo que as organizações limitem o acesso a aplicações e serviços específicos.
P: O que é uma rede virtual?
R: A rede virtual opera dentro de uma infraestrutura de rede física, mas usa software para conectar computadores, VMs e servidores ou servidores virtuais em uma rede segura. Isso se difere do modelo de rede física tradicional, no qual o equipamento e os cabos conectam sistemas de rede. As redes virtuais podem ser usadas para criar ambientes isolados dentro de uma rede maior, permitindo que as organizações microssegmentem aplicações ou serviços específicos.
A microssegmentação pode ajudar as organizações a proteger melhor suas aplicações e dados em suas redes contra possíveis ameaças, pois limita a superfície de ataque disponível para um criminoso. Além disso, a microssegmentação pode fornecer maior visibilidade e controle sobre o tráfego de rede, facilitando a identificação e a resposta a incidentes de segurança.
A F5 oferece produtos e serviços que podem ajudar as organizações a implementar e gerenciar microssegmentação e outros controles de segurança em suas redes. Saiba como a F5 oferece conectividade simples e segura em nuvens públicas e híbridas, data centers e locais de borda. Veja como a F5 oferece uma rede segura na camada das aplicações e provisionamento automatizado de rede em nuvem para maior eficiência operacional
PERFIL DA SOLUÇÃO