O que é microssegmentação?

A microssegmentação é uma técnica para dividir uma rede em segmentos separados na camada de aplicação, a fim de aumentar a segurança e reduzir o impacto de uma violação.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir a microssegmentação
  • Explicar como a microssegmentação melhora a segurança
  • Descrever como a microssegmentação se encaixa em uma arquitetura Zero Trust

Copiar o link do artigo

O que é microssegmentação?

A microssegmentação divide uma rede em seções pequenas e distintas, cada uma das quais tem suas próprias políticas de segurança e é acessada separadamente.O objetivo da microssegmentação é aumentar a segurança confinando as ameaças e as violações ao segmento comprometido, sem afetar o resto da rede.

Grandes navios são frequentemente divididos em compartimentos abaixo do convés, cada um dos quais é estanque e pode ser isolado dos outros. Dessa forma, mesmo que um vazamento encha um compartimento com água, os demais compartimentos permanecem secos e o navio permanece flutuando. O conceito de microssegmentação de rede é semelhante: um segmento da rede pode ficar comprometido, mas pode ser facilmente separado do restante da rede.

A microssegmentação é um componente chave de uma arquitetura Zero Trust . Essa arquitetura pressupõe que qualquer tráfego entrando, saindo ou que esteja dentro de uma rede pode ser uma ameaça. A microssegmentação torna possível isolar essas ameaças antes que se espalhem, impedindo o movimento lateral.

Onde ocorre a microssegmentação?

As organizações podem microssegmentar data centers locais e implantações de computação em nuvem, qualquer lugar onde as cargas de trabalho sejam executadas. Servidores, máquinas virtuais, contêineres, e microsserviços, todos podem ser segmentados desta forma, cada um com sua própria política de segurança.

A microssegmentação pode ocorrer em níveis extremamente granulares em uma rede, até o isolamento de cargas de trabalho individuais (ao contrário de isolar aplicações, dispositivos ou redes), com uma "carga de trabalho" sendo qualquer programa ou aplicação que utilize alguma quantidade de memória e CPU.

Como funciona a microssegmentação?

As técnicas de microssegmentação de uma rede variam ligeiramente. Mas alguns princípios-chave quase sempre se aplicam:

Visibilidade da camada de aplicação

As soluções de microssegmentação estão cientes dos aplicativos que estão enviando tráfego na rede.A microssegmentação fornece o contexto no qual os aplicativos estão se comunicando e como o tráfego de rede flui entre eles.Esse é um dos aspectos que diferencia a microssegmentação da divisão de uma rede usando redes locais virtuais (VLANs) ou outro método de camada de rede.

Baseada em software, não em hardware

A microssegmentação é configurada através de software. A segmentação é virtual, portanto os administradores não precisam ajustar roteadores, switches, ou outros equipamentos de rede a fim de implementá-la.

Usa firewalls de última geração (NGFWs)

A maioria das soluções de microssegmentação usa firewalls de próxima geração (NGFWs) para separar seus segmentos.Os NGFWs, ao contrário dos firewalls tradicionais, têm consciência do aplicativo, permitindo-lhes analisar o tráfego da rede na camada de aplicação, não apenas nas camadas de rede e transporte.

Além disso, os firewalls baseados em nuvens podem ser usados para microssegmentar implantações de computação em nuvem. Alguns provedores de hospedagem em nuvem oferecem essa capacidade usando seus serviços de firewall integrados.

As políticas de segurança diferem entre os segmentos

Os administradores podem personalizar as políticas de segurança para cada carga de trabalho, se quiserem. Uma carga de trabalho pode permitir amplo acesso, enquanto outra pode ser altamente restrita, dependendo da importância da carga de trabalho em questão e dos dados que ela processa. Uma carga de trabalho pode aceitar consultas de API a partir de uma gama de endpoints; outra pode se comunicar apenas com um servidor específico.

Visibilidade de todo o tráfego da rede

O log de rede típico fornece informações de camada de rede e transporte, como portas e endereços de IP. A microssegmentação também fornece contexto de aplicativos e carga de trabalho. Ao monitorar todo o tráfego de rede e adicionar contexto de aplicativo, as organizações podem aplicar segmentação e políticas de segurança de forma consistente em suas redes. Isso também fornece as informações necessárias para ajustar as políticas de segurança conforme necessário.

Como a microssegmentação melhora a segurança?

A microssegmentação evita que as ameaças se espalhem por toda uma rede, limitando os danos de um ataque cibernético. O acesso dos invasores é limitado e eles podem não ser capazes de alcançar dados confidenciais.

Por exemplo, uma rede com cargas de trabalho funcionando em um data center microsegmentado pode conter dezenas de zonas separadas e seguras. Um usuário com acesso a uma zona precisa de autorização separada para cada uma das outras zonas. Isto minimiza os riscos de escalada de privilégios (quando um usuário tem muito acesso) e ameaças internas (quando os usuários, consciente ou inconscientemente, comprometem a segurança dos dados confidenciais).

Como outro exemplo, suponha que um contêiner tenha uma vulnerabilidade.O invasor explora essa vulnerabilidade através de código malicioso e pode agora alterar os dados dentro do contêiner.Em uma rede protegida apenas no perímetro, o invasor poderia mover-se lateralmente para outras partes da rede, escalar os privilégios e, finalmente, extrair ou alterar dados altamente valiosos.Em uma rede microssegmentada, o invasor provavelmente não poderá fazê-lo sem encontrar um ponto de entrada separado.

Quais são os outros componentes de uma rede Zero Trust?

"Zero Trust" é uma filosofia e uma abordagem da segurança de rede que assume que as ameaças já estão presentes tanto dentro como fora de um ambiente seguro. Muitas organizações estão adotando uma arquitetura Zero Trust, a fim de evitar ataques e minimizar os danos de ataques bem sucedidos.

Embora a microssegmentação seja um componente chave de uma estratégia Zero Trust, ela não é a única. Outros princípios de Zero Trust incluem:

  • Monitoramento e validação contínuos: nenhum dispositivo ou usuário é confiável automaticamente, mesmo aqueles que já foram autenticados.Logins e conexões expiram periodicamente, verificando continuamente usuários e dispositivos.
  • Princípio do menor privilégio: os usuários só têm acesso aos sistemas e dados que são absolutamente necessários.
  • Controle de acesso do dispositivo: o acesso do dispositivo é rastreado e restrito, assim como o acesso do usuário.
  • Autenticação multi-fator (MFA): a autenticação ocorre usando pelo menos dois fatores de identidade, em vez de depender apenas de senhas, perguntas de segurança ou outros métodos baseados em conhecimento.

Para saber como a Cloudflare ajuda as organizações a implementar estes componentes, leia sobre a plataforma Zero Trust da Cloudflare.