O que é segmentação de rede?

Segmentação de rede é a prática de dividir as redes em seções menores e isoladas para ajudar a reduzir o movimento lateral e aprimorar o desempenho da rede.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir "segmentação de rede"
  • Entender as vantagens de segurança e desempenho da segmentação de rede
  • Contrastar a segmentação de rede com relação à microssegmentação

Copiar o link do artigo

O que é segmentação de rede?

Segmentação de rede é a prática de dividir uma rede* em seções menores e isoladas. Essas partições podem ser criadas e protegidas por meio de um hardware físico ou software, cada um com seus próprios desafios de implementação.

Ao isolar diferentes segmentos de uma rede, as organizações podem impedir com mais facilidade o movimento lateral, exercer um controle granular sobre o tráfego da rede e aprimorar o desempenho da rede. Podem, até mesmo, definir políticas para cargas de trabalho e aplicativos individuais, uma abordagem conhecida como microssegmentação.

* Uma rede é um grupo de computadores conectados entre si.

Como funciona a segmentação da rede?

A segmentação de rede divide uma rede em várias seções, às quais diferentes controles podem ser aplicados. De modo geral, o processo é realizado por meio de um desses dois métodos: segmentação física e segmentação lógica.

Segmentação física

A segmentação física requer dispositivos de hardware — como, por exemplo, roteadores, comutadores e firewalls — para separar uma rede em seções distintas. Esses dispositivos controlam o tipo de tráfego que tem permissão para entrar e sair de cada seção por meio das políticas de segmentação, que podem ser configuradas de acordo com critérios específicos (como, por exemplo, origem do tráfego, destino e assim por diante).

A segmentação física (também chamada de segmentação baseada em perímetro) costuma ser cara e trabalhosa para se configurar e manter. Além disso, opera sob a premissa de que a maioria das organizações continua mantendo um perímetro de rede físico.

Com o advento da computação em nuvem, no entanto, esse perímetro praticamente desapareceu, já que os usuários podem acessar dados e aplicativos pela internet em vez de fazê-lo por meio de redes internas gerenciadas pela TI. Mesmo as organizações que usam infraestrutura no local costumam permitir que os usuários se conectem aos recursos internos por meio de software e dispositivos externos.

Segmentação lógica

A segmentação lógica, ou segmentação de rede virtual, usa um software para dividir uma rede em seções menores. Esses segmentos podem ser criados por meio de sub-redes, redes virtuais locais (VLANs) e esquemas de endereçamento de rede.

  • As sub-redes ajudam a dividir uma rede em segmentos menores, permitindo, assim, que o tráfego de rede percorra uma distância menor para chegar ao seu destino sem passar por roteadores desnecessários
  • As VLANs dividem o tráfego de uma única rede física em duas redes sem necessidade de diversos roteadores ou conexões de internet para rotear o tráfego de rede para destinos diferentes
  • Os esquemas de endereçamento de rede criam segmentos de rede dividindo os recursos de rede entre várias sub-redes na camada 3

Assim como a segmentação física, a segmentação lógica também usa políticas de segmentação para restringir o fluxo de tráfego que entra e sai de cada segmento de rede.

Como não depende de configuração, manutenção e atualização de vários dispositivos de hardware, a segmentação lógica é amplamente considerada um método mais flexível, dimensionável e econômico de separar e proteger uma rede.

Quais são as vantagens da segmentação de rede?

Quando implementada adequadamente, a segmentação da rede pode ajudar as organizações a aprimorarem a segurança, o desempenho e a conformidade com maior eficiência. Várias dessas vantagens mais significativas incluem o seguinte:

  • Redução do movimento lateral: após terem violado uma rede, os invasores não podem se movimentar por ela livremente, já que violaram apenas um segmento específico da rede. Isso, por sua vez, ajuda a minimizar a superfície de ataque de uma organização
  • Correção de atividades mal-intencionadas: quando um ataque ou atividade suspeita estão confinados a uma área específica, as equipes de TI podem detectá-los e corrigi-los com mais eficiência, sem afetar o restante da rede
  • Aumento do desempenho: restringir determinados tipos de tráfego a áreas específicas da rede pode ajudar a reduzir o congestionamento geral da rede e otimizar o desempenho
  • Garantia de conformidade: a segmentação pode isolar áreas da rede que estão sujeitas a padrões de conformidade, facilitando a tarefa de atualizá-las conforme a necessidade

Segmentação de rede x microssegmentação

A segmentação de rede divide uma rede em seções menores, às quais são aplicados controles e políticas de segurança diferentes.

A microssegmentação, ao contrário, é um subconjunto da segmentação de rede que permite a aplicação de controles ainda mais granulares a cargas de trabalho individuais. (Uma carga de trabalho é um programa ou aplicativo — como, por exemplo, um servidor, uma máquina virtual ou uma função sem servidor — que usam uma determinada quantidade de memória e recursos de computação.) A microssegmentação faz parte de um modelo de segurança Zero Trust, no qual nenhum usuário ou dispositivo é confiável por padrão.

Para entender melhor as vantagens de segurança da segmentação de rede com relação à microssegmentação, imagine que um rei tenha uma grande soma de ouro e joias que deseja proteger. Ele poderia colocar todo o seu tesouro em vários cofres secretos, cada um dos quais só poderia ser desbloqueado usando uma chave específica (segmentação de rede). Se roubasse a chave de um cofre, um ladrão poderia roubar o tesouro dentro dele, mas não poderia acessar outros cofres sem roubar outras chaves para essas salas. Da mesma forma, um invasor que violar uma sub-rede poderá comprometer os dados nela contidos, mas não poderá se movimentar livremente para outra sub-rede.

Alternativamente , o rei poderia não apenas distribuir seu tesouro entre vários cofres, mas também colocá-los em baús trancados dentro dessas salas e garantir que cada caixa só pudesse ser destrancada com sua própria chave (microssegmentação). Dessa forma, se roubasse a chave de um dos cofres do tesouro, um ladrão não poderia abrir os baús do tesouro individuais sem obter as chaves adicionais. Da mesma forma, em uma rede microssegmentada, mesmo que comprometa uma carga de trabalho um invasor pode não conseguir comprometer (ou mesmo acessar) cargas de trabalho adicionais.

Saiba mais sobre como a microssegmentação ajuda as organizações a obterem uma postura de segurança Zero Trust.