A microssegmentação é uma técnica para dividir uma rede em segmentos separados na camada de aplicação, a fim de aumentar a segurança e reduzir o impacto de uma violação.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança Zero Trust
O que é ZTNA?
Princípio do Menor Privilégio
Segurança do tipo castelo e fosso
O que é uma ameaça interna?
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
A microssegmentação divide uma rede em seções pequenas e distintas, cada uma das quais tem suas próprias políticas de segurança e é acessada separadamente. O objetivo da microssegmentação é aumentar a segurança da rede confinando as ameaças e as violações ao segmento comprometido, sem afetar o resto da rede.
Grandes navios são frequentemente divididos em compartimentos abaixo do convés, cada um dos quais é estanque e pode ser isolado dos outros. Dessa forma, mesmo que um vazamento encha um compartimento com água, os demais compartimentos permanecem secos e o navio permanece flutuando. O conceito de microssegmentação de rede é semelhante: um segmento da rede pode ficar comprometido, mas pode ser facilmente separado do restante da rede.
A microssegmentação é um componente chave de uma arquitetura Zero Trust . Essa arquitetura pressupõe que qualquer tráfego entrando, saindo ou que esteja dentro de uma rede pode ser uma ameaça. A microssegmentação torna possível isolar essas ameaças antes que se espalhem, impedindo o movimento lateral.
As organizações podem microssegmentar data centers locais e implantações de computação em nuvem, qualquer lugar onde as cargas de trabalho sejam executadas. Servidores, máquinas virtuais, contêineres, e microsserviços, todos podem ser segmentados desta forma, cada um com sua própria política de segurança.
A microssegmentação pode ocorrer em níveis extremamente granulares em uma rede, até o isolamento de cargas de trabalho individuais (ao contrário de isolar aplicações, dispositivos ou redes), com uma "carga de trabalho" sendo qualquer programa ou aplicação que utilize alguma quantidade de memória e CPU.
As técnicas de microssegmentação de uma rede variam ligeiramente. Mas alguns princípios-chave quase sempre se aplicam:
As soluções de microssegmentação estão cientes dos aplicativos que estão enviando tráfego na rede.A microssegmentação fornece o contexto no qual os aplicativos estão se comunicando e como o tráfego de rede flui entre eles.Esse é um dos aspectos que diferencia a microssegmentação da divisão de uma rede usando redes locais virtuais (VLANs) ou outro método de camada de rede.
A microssegmentação é configurada através de software. A segmentação é virtual, portanto os administradores não precisam ajustar roteadores, switches, ou outros equipamentos de rede a fim de implementá-la.
A maioria das soluções de microssegmentação usa firewalls de próxima geração (NGFWs) para separar seus segmentos.Os NGFWs, ao contrário dos firewalls tradicionais, têm consciência do aplicativo, permitindo-lhes analisar o tráfego da rede na camada de aplicação, não apenas nas camadas de rede e transporte.
Além disso, os firewalls baseados em nuvens podem ser usados para microssegmentar implantações de computação em nuvem. Alguns provedores de hospedagem em nuvem oferecem essa capacidade usando seus serviços de firewall integrados.
Os administradores podem personalizar as políticas de segurança para cada carga de trabalho, se quiserem. Uma carga de trabalho pode permitir amplo acesso, enquanto outra pode ser altamente restrita, dependendo da importância da carga de trabalho em questão e dos dados que ela processa. Uma carga de trabalho pode aceitar consultas de API a partir de uma gama de endpoints; outra pode se comunicar apenas com um servidor específico.
O log de rede típico fornece informações da camada de rede e de transporte, como portas e endereços de IP. A microssegmentação também fornece contexto de aplicativos e carga de trabalho. Ao monitorar todo o tráfego de rede e adicionar contexto de aplicativo, as organizações podem aplicar segmentação e políticas de segurança de forma consistente em suas redes. Isso também fornece as informações necessárias para ajustar as políticas de segurança conforme necessário.
A microssegmentação evita que as ameaças se espalhem por toda uma rede, limitando os danos de um ataque cibernético. O acesso dos invasores é limitado e eles podem não ser capazes de alcançar dados confidenciais.
Por exemplo, uma rede com cargas de trabalho funcionando em um data center microsegmentado pode conter dezenas de zonas separadas e seguras. Um usuário com acesso a uma zona precisa de autorização separada para cada uma das outras zonas. Isto minimiza os riscos de escalada de privilégios (quando um usuário tem muito acesso) e ameaças internas (quando os usuários, consciente ou inconscientemente, comprometem a segurança dos dados confidenciais).
Como outro exemplo, suponha que um contêiner tenha uma vulnerabilidade.O invasor explora essa vulnerabilidade através de código malicioso e pode agora alterar os dados dentro do contêiner.Em uma rede protegida apenas no perímetro, o invasor poderia mover-se lateralmente para outras partes da rede, escalar os privilégios e, finalmente, extrair ou alterar dados altamente valiosos.Em uma rede microssegmentada, o invasor provavelmente não poderá fazê-lo sem encontrar um ponto de entrada separado.
Zero Trust é uma filosofia e uma abordagem da segurança de rede que pressupõe que as ameaças já estão presentes, tanto dentro quanto fora de um ambiente seguro. Muitas organizações estão adotando uma arquitetura Zero Trust, tanto para evitar ataques quanto para minimizar os danos de ataques bem-sucedidos.
Embora a microssegmentação seja um componente chave de uma estratégia Zero Trust, ela não é a única. Outros princípios de Zero Trust incluem:
Para saber como a Cloudflare ajuda as organizações a implementar estes componentes, leia sobre a plataforma Zero Trust da Cloudflare.