O que é microssegmentação?

A segurança de perímetro ou rede e a microssegmentação são duas estratégias de segurança diferentes que abordam aspectos isolados da segurança da rede. A segurança de perímetro fornece uma primeira linha de defesa contra ameaças externas, protegendo o perímetro externo de uma rede — normalmente, na borda da rede — e limitando o acesso à rede de fontes externas. Ela inspeciona o tráfego de “norte a sul” (do cliente ao servidor) que tenta atravessar o perímetro de segurança e interrompe o tráfego malicioso. Em geral, esse tipo de segurança é obtido por meio de tecnologias como firewalls, sistemas de detecção e prevenção de intrusão e VPNs.

A microssegmentação, por sua vez, concentra-se na segurança interna de uma rede, dividindo-a em segmentos ou zonas menores e aplicando controles de segurança granulares a cada segmento. Dessa forma, as organizações têm controle do tráfego lateral “de leste a oeste” dentro da rede e no nível de aplicação ou carga de trabalho, a fim de diminuir a possível superfície de ataque.

Junto com a microssegmentação, pode haver desafios em termos de desempenho e segurança da rede, caso não haja um devido planejamento e implementação.

• Queda no desempenho. A microssegmentação pode dificultar o monitoramento e gerenciamento da rede, e segmentar a rede de forma bastante minuciosa ou aplicar muitas políticas de segurança pode afetar os padrões de tráfego da rede e limitar o desempenho desta. A aplicação de políticas de segurança a cada segmento cria ainda mais sobrecarga à rede, o que pode levar à latência e a um desempenho mais lento.
• Lacunas de segurança. Embora a microssegmentação seja uma técnica de segurança importante, é preciso configurar as políticas corretamente para garantir que todo o tráfego seja devidamente filtrado e autorizado/negado. As configurações incorretas e a aplicação inconsistente de políticas podem levar a falhas de segurança, bloqueio de tráfego legítimo e possíveis vulnerabilidades.

As organizações precisam planejar a estratégia de microssegmentação com cautela, incluindo a quantidade e o tamanho dos segmentos, as políticas de segurança a serem aplicadas e o impacto nos padrões de tráfego da rede. Testes e monitoramento adequados devem ser realizados para garantir que a microssegmentação não afete negativamente o desempenho da rede ou leve a problemas de segurança.

Com a microssegmentação, as organizações podem criar zonas ou segmentos seguros dentro das suas redes, fornecendo controle granular sobre o tráfego de rede e diminuindo a superfície de ataque. Cada segmento é protegido por meio de políticas e controles que permitem somente o fluxo do tráfego autorizado entre os segmentos.

Normalmente, a microssegmentação é implementada por meio de redes definidas por software (SDN), que permitem a criação de redes virtuais que são independentes da infraestrutura de rede física. Cada um dos segmentos de rede é protegido por meio de políticas que definem os tipos de tráfego que podem entrar e sair do segmento. Por exemplo, é possível usar listas de controle de acesso (ACLs) para controlar quais usuários ou dispositivos podem acessar cada segmento, bem como usar sistemas de detecção e prevenção de intrusão (IDPS) para detectar e bloquear atividades maliciosas dentro de cada segmento. A criptografia pode ser usada para proteger os dados durante a movimentação destes entre segmentos.

A microssegmentação fornece visibilidade e controle granulares sobre o tráfego de rede, o que facilita identificar o tráfego não autorizado e possíveis violações à segurança, e dar uma resposta mais rápida a incidentes de segurança.

Existem três tipos principais de controles de microssegmentação.

Os controles de microssegmentação baseados em agente usam agentes de software instalados em endpoints, como servidores, estações de trabalho ou outros dispositivos de rede, para executar políticas de segmentação de rede. O agente monitora e aplica continuamente as diretivas específicas desse endpoint e pode ser gerenciado centralmente por meio de um terminal de gerenciamento, simplificando as políticas de configuração e implantação na rede de uma organização.

Os controles de microssegmentação baseados em rede usam SDN para criar segmentos de rede virtual, cada um com seu próprio conjunto de políticas e controles de segurança. Esses segmentos virtuais são isolados uns dos outros, o que limita o potencial de movimentação lateral dos invasores. As políticas e os controles são aplicados na camada de rede, e não no nível do endpoint, o que possibilita segmentar o tráfego de rede com base em diferentes fatores, como identidade do usuário, tipo de aplicação e localização da rede.

Os controles de microssegmentação nativos da nuvem são específicos para ambientes de nuvem. Eles usam recursos de segurança nativos da nuvem, como grupos de segurança de rede e nuvens privadas virtuais, para criar segmentos de rede virtual e executar políticas de segurança. Eles usam os recursos de segurança nativos da plataforma de nuvem para fornecer políticas de segurança granulares que são aplicadas automaticamente em todas as instâncias da nuvem.

As organizações podem optar por implementar um ou mais tipos de microssegmentação, dependendo do que precisam e quais são suas metas. Abaixo é possível ver alguns tipos comuns de microssegmentação.

Segmentação de aplicações

A segmentação de aplicações protege cada uma das aplicações com a criação de políticas de segurança que controlam o acesso a recursos de aplicações específicas, como bancos de dados, APIs e servidores Web, ajudando a impedir o acesso não autorizado e violações de dados. Além disso, permite que as organizações imponham controles de acesso com menos privilégios, garantindo que usuários e aplicações tenham acesso apenas aos recursos necessários para executar suas funções específicas.

Segmentação de camada

A segmentação de camada protege diferentes níveis ou camadas de uma pilha de aplicações, como a camada da Web, a camada de aplicação e a camada de banco de dados, para evitar a movimentação lateral de invasores dentro da pilha de aplicações e acessem dados ou recursos confidenciais.

Segmentação de ambiente

Ao proteger diferentes ambientes ou zonas dentro de uma rede, como ambientes de desenvolvimento, teste e produção, as organizações podem impor controles de acesso rigorosos a esses ambientes e garantir que o acesso a dados e recursos confidenciais seja concedido apenas a usuários e aplicações autorizados.

Segmentação de contêineres

A segmentação de contêineres protege contêineres individuais ou grupos de contêineres dentro de um ambiente de contêineres, diminuindo a superfície de ataque e ajudando a evitar a movimentação lateral de invasores dentro do ambiente de contêineres. Sem a segmentação adequada, os contêineres podem acessar os dados e arquivos de configuração uns dos outros, o que pode causar vulnerabilidades à segurança.

Práticas recomendadas de segmentação de contêineres

• Isolamento de contêineres. Use tecnologias como Docker ou Kubernetes para garantir que os contêineres sejam isolados do sistema host e de outros contêineres no mesmo sistema. Assim, você impede que os contêineres tenham acesso a recursos fora do escopo designado.
• Segmentação de rede. A segmentação de rede pode ser usada para limitar a comunicação entre contêineres e outros recursos de rede, o que envolve a criação de redes separadas para cada contêiner e a configuração de regras de firewall para autorizar ou negar o tráfego entre contêineres e permitir que sejam feitas apenas comunicações autorizadas.
• Controle de acesso baseado em função. Implemente o controle de acesso baseado em função (RBAC) para garantir que apenas usuários autorizados tenham acesso e possam alterar contêineres e recursos relacionados. Estruturas de RBAC como o Kubernetes RBAC podem ser implementadas para definir e impor funções e permissões de usuário.
• Assinatura de imagem. Use a assinatura de imagem para que apenas imagens confiáveis sejam usadas na criação de contêineres. As assinaturas digitais podem ajudar a evitar que as imagens de contêineres sejam adulteradas ou modificadas.
• Proteção do tempo de execução. Use a proteção do tempo de execução para detectar e responder a ameaças à segurança durante o tempo de execução do contêiner. Ferramentas como agentes de segurança do tempo de execução e scanners de vulnerabilidade podem monitorar contêineres em busca de indícios de violação e tomar as medidas cabíveis para mitigar os riscos.

Segmentação de usuários em segurança na nuvem

• O RBAC atribui aos usuários funções ou grupos específicos com base em suas responsabilidades e necessidades de acesso. Cada função está associada a um conjunto de permissões e controles de acesso que são pertinentes à função específica. O RBAC garante que os usuários só tenham acesso aos recursos e dados necessários para suas funções.
• A autenticação multifator (MFA) exige que os usuários forneçam duas ou mais formas de autenticação antes de terem acesso a um sistema ou aplicação, como uma senha, um token de segurança, um código de acesso único ou dados biométricos. A MFA é uma maneira eficaz de impedir o acesso não autorizado aos recursos da nuvem, particularmente quando combinada com o RBAC.
• O monitoramento contínuo envolve a análise periódica da atividade do usuário e dos registros do sistema quanto a comportamentos suspeitos ou possíveis ameaças à segurança. Ele ajuda a identificar comportamentos anormais, alertando as equipes de segurança para atividades que estão fora dos padrões ou dos comportamentos normais de acesso de um usuário.
• A segregação de funções garante que nenhum usuário tenha controle total sobre um processo ou sistema importante. Segmentar os usuários em diferentes funções e responsabilidades reduz o risco de fraude ou erros, e garante que operações confidenciais sejam realizadas por vários funcionários.
• A revisão periódica de acesso envolve a avaliação rotineira do acesso do usuário a sistemas e aplicações para garantir que os usuários tenham acesso apenas aos recursos necessários. Esse tipo de revisão ajuda a identificar e remover direitos de acesso desnecessários, reduzindo o risco de acesso não autorizado.

A microssegmentação oferece inúmeros benefícios para as organizações, como:

• Redução da superfície de ataque: ao dividir a rede em segmentos menores, a microssegmentação diminui a superfície de ataque e dificulta o acesso dos invasores a ativos essenciais.
• Melhor contenção das violações: se houver alguma violação, a microssegmentação pode ajudar a conter o impacto do ataque, limitando a capacidade de movimentação do criminoso pela rede. Ao isolar áreas afetadas da rede, a microssegmentação pode impedir a disseminação de malware ou outras atividades maliciosas, reduzindo o possível dano causado pela violação.
• Consolidação da conformidade regulatória: muitas estruturas regulatórias exigem que as organizações implementem controles de acesso e medidas de segurança robustas para proteger dados confidenciais. Ao garantir que apenas usuários e aplicações autorizados tenham acesso a recursos confidenciais, a microssegmentação pode ajudar as organizações a demonstrar conformidade com os padrões regulatórios.
• Gerenciamento simplificado de políticas: a microssegmentação pode simplificar o gerenciamento de políticas, permitindo que as políticas de segurança sejam aplicadas a segmentos específicos da rede, o que é particularmente útil em redes grandes ou complexas, nas quais o gerenciamento de políticas para cada dispositivo ou usuário individual pode não ser fácil.

P: Qual a diferença entre segmentação de rede e microssegmentação?

R: A segmentação de rede e a microssegmentação melhoram a segurança e o desempenho da rede, mas são fundamentalmente diferentes. A segmentação de rede tradicional (às vezes chamada de macrossegmentação) envolve a divisão de uma rede em segmentos maiores com base na função ou localização. Normalmente, tem como foco o tráfego que vai de “norte a sul” (do cliente ao servidor), dentro e fora da rede.

A microssegmentação, por sua vez, divide uma rede em segmentos menores e aplica políticas de segurança próprias, fornecendo um nível mais granular de controle sobre o acesso à rede “de leste a oeste”, com a capacidade de impor controles de acesso Zero Trust. A microssegmentação aplica políticas de segurança na carga de trabalho individual ou no nível da aplicação, e não no nível da rede.

P: O que é uma dependência de aplicações?

R: Dependência de aplicações refere-se às relações e interações entre diferentes aplicações e serviços dentro de um ambiente de rede. Entender as dependências de aplicações é importante para estratégias eficazes de microssegmentação, pois as mudanças no acesso a uma aplicação ou serviço podem afetar o desempenho ou a segurança de outras aplicações e serviços. Tais dependências devem ser mapeadas antes da implementação da microssegmentação.

P: O que são políticas de firewall?

R: As políticas de firewall são regras que definem como os firewalls de uma organização autorizam ou negam o tráfego entre diferentes segmentos de uma rede ou entre uma rede e a Internet. Tratam-se das regras que determinam como o tráfego é autorizado ou negado entre esses segmentos e camadas.

P: Qual a diferença entre firewalls e microssegmentação?

R: Os firewalls controlam o acesso a uma rede ao filtrar o tráfego com base em regras predefinidas. Embora os firewalls possam ser usados para controlar o acesso entre segmentos, a microssegmentação divide uma rede em segmentos menores e aplica políticas de segurança próprias a cada segmento, o que fornece um nível mais granular de controle sobre o acesso à rede, permitindo que as organizações limitem o acesso a aplicações e serviços específicos.

P: O que é uma rede virtual?

R: A rede virtual opera dentro de uma infraestrutura de rede física, mas usa software para conectar computadores, VMs e servidores ou servidores virtuais em uma rede segura. Isso se difere do modelo de rede física tradicional, no qual o equipamento e os cabos conectam sistemas de rede. As redes virtuais podem ser usadas para criar ambientes isolados dentro de uma rede maior, permitindo que as organizações microssegmentem aplicações ou serviços específicos.

A microssegmentação pode ajudar as organizações a proteger melhor suas aplicações e dados em suas redes contra possíveis ameaças, pois limita a superfície de ataque disponível para um criminoso. Além disso, a microssegmentação pode fornecer maior visibilidade e controle sobre o tráfego de rede, facilitando a identificação e a resposta a incidentes de segurança.

A F5 oferece produtos e serviços que podem ajudar as organizações a implementar e gerenciar microssegmentação e outros controles de segurança em suas redes. Saiba como a F5 oferece conectividade simples e segura em nuvens públicas e híbridas, data centers e locais de borda. Veja como a F5 oferece uma rede segura na camada das aplicações e provisionamento automatizado de rede em nuvem para maior eficiência operacional