Refocalize a segurança na nuvem: como a segmentação Zero Trust protege a nuvem
Continuamos nossa série do Mês de Conscientização sobre Segurança Cibernética voltando nossa atenção para a nuvem pública.
À primeira vista, protegendo ativos em nuvem conceitualmente, não é diferente de protegê-los no data center. Identidade, controle de acesso, conexões seguras — tudo isso é o mesmo.
Mas quando você não é dono da camada de infraestrutura — e muitos dos serviços são apenas uma chamada de API para um endereço DNS — ela acaba não sendo a mesma coisa.
É difícil saber exatamente quais conexões são necessárias para quais endereços IP. Os firewalls nativos da nuvem têm interfaces básicas orientadas por texto que dependem totalmente de endereços IP e processos manuais.
Eles podem ser automatizados, com certeza, mas quem escreve esse código? A já ocupada equipe de DevOps? Isso não é apenas mais um esforço manual? E esse esforço acaba sendo dissociado das políticas de acesso no data center, exigindo outra camada de tradução e esforço manual.
Felizmente, há uma maneira melhor de proteger a nuvem: Segmentação Zero Trust.
Há quatro maneiras principais pelas quais a Segmentação Zero Trust protege a nuvem da disseminação de ataques cibernéticos.
Veja os destaques de Nathanael Iversen, evangelista-chefe da Illumio, em seu vídeo:
E continue lendo para saber mais.
1. Visibilidade total dos fluxos de comunicação de rede
Quando muitos dos serviços, aplicativos e armazenamentos de dados usados na nuvem estão a apenas uma chamada de API de distância, a análise tradicional do fluxo de rede geralmente não produz uma compreensão útil da conectividade na nuvem.
A segmentação Zero Trust começa com uma conexão direta com o inventário do sistema em nuvem e as tabelas de conexão. Isso significa que qualquer coisa com uma interface de rede elástica (ENI) é descoberta automaticamente, seus metadados são ingeridos e usados para nomeação e colocados em um mapa de dependência de aplicativos.
Como resultado, o mapa de dependência de aplicativos não se baseia em endereços IP em constante mudança, mas sim nas convenções de nomenclatura e objetos que sua organização já investiu tempo e esforço na criação.
Esse mapa oferece uma cobertura abrangente, desde instâncias do EC2 até Kubernetes e objetos em contêineres, serviços SaaS, aplicativos em nuvem e agentes de serviços — quase todos os fluxos de comunicação.
As informações são cuidadosamente organizadas por aplicativo e serviço e nomeadas para que todos nas equipes de nuvem, infraestrutura e segurança possam ler o mapa. Essa visualização mostra a verdadeira topologia de conexão, independente de VPCs, sub-redes e zonas.
2. Política de segmentação automatizada e otimizada
Depois de entendermos claramente como as coisas estão conectadas ao mapa de dependências do aplicativo, é natural perguntar se as conexões estão bem protegidas. Qual é o risco de qualquer um desses serviços ser acessado ou interrompido de forma inadequada?
A segmentação Zero Trust inclui automação e otimização de políticas para que um verdadeiro Zero Trust, resultado com menos privilégios é fácil de obter e manter.
O mesmo mapa de dependência de aplicativos que informa a equipe de segurança sobre os fluxos de comunicação também pode informar o código de automação de políticas que:
- Analisa as conexões necessárias
- Compara essas conexões com a política atual de VPC
- Em seguida, faz recomendações sobre como otimizar e reforçar a política de segurança para que as conexões necessárias sejam permitidas e todo o resto seja negado.
A recomendação de política resultante pode então ser implementada diretamente nos firewalls nativos da nuvem, sem nenhum agente.
Como a Zero Trust Segmentation grava no firewall nativo, ela pode controlar o tráfego, independentemente do destino. EC2 para EC2? Sim. Cluster EC2 para Kubernetes? Claro. Serviço SaaS para a função Lamba? É claro.
A segmentação Zero Trust fornece segmentação automatizada e sem agente, totalmente orientada por API e acessível por API. Como ele usa metadados da nuvem, isso significa que a segmentação como serviço já está disponível.
As equipes de automação e do CloudOps podem acessar uma camada de abstração confiável, orientada por metadados, que lida com toda a tradução de volta para endereços IP e políticas de firewall, e até mesmo acompanha as alterações na topologia do aplicativo automaticamente.
3. Visibilidade e controle completos para ambientes de nuvem, data center e endpoint
Acabamos de explorar alguns dos recursos nativos da nuvem que a Zero Trust Segmentation oferece, mas a melhor notícia é que esses recursos ainda incluem visibilidade e controle completos para ambientes de data center e endpoint.
Nenhuma nuvem é uma ilha.
Usuários e administradores acessam a nuvem, e a nuvem se comunica com sistemas em data centers e instalações de co-localização. Muitas vezes, a comunicação entre provedores de nuvem flui constantemente.
A segmentação Zero Trust fornece um único modelo de política, visualização e camada de distribuição de políticas para unir todos esses diferentes ambientes em um fluxo de trabalho colaborativo e tranquilo. Os sistemas visualizados a partir das APIs da nuvem aparecem na mesma tela com os sistemas descobertos no data center, nas instâncias de VDI ou nos terminais do usuário.
Quando implantado com endpoints, o Zero Trust Segmentation fornece segmentação orientada por identidade e controle de acesso para cargas de trabalho na nuvem.
4. Melhore a resiliência operacional
Ter um hub universal para políticas de segmentação significa que é fácil incluir todos os sistemas em uma política comum.
Muitas organizações querem reforçar a resposta a incidentes pré-provisionando políticas de segmentação proativas e reativas. A ideia é simples e baseada no que todos sabem que precisam fazer no instante em que descobrem uma violação: apertar controles de segmentação.
Quais políticas de emergência você gostaria de implementar imediatamente no caso de um ataque cibernético para proteger os sistemas mais críticos?
A segmentação Zero Trust permite que você crie e implemente essas políticas com antecedência, para que elas estejam prontas para serem ativadas a qualquer momento. O melhor de tudo é que essas políticas se estenderão aos ambientes de nuvem, data center e endpoint.
A segmentação Zero Trust facilita a criação de uma política básica à qual todos os sistemas devem aderir e, em seguida, aplicar essa política em todos os lugares, desde implantações de contêineres na nuvem até máquinas virtuais no data center.
Reforce sua postura de segurança na nuvem com a segmentação Zero Trust
As organizações migram para a nuvem para obter disponibilidade, agilidade, automatizar implantações globais e muito mais.
A segmentação Zero Trust fornece a visibilidade, a automação e a cobertura necessárias para fornecer segmentação como serviço. Tudo começa com visibilidade automatizada e mapeamento de conexões, com informações transmitidas diretamente das APIs do provedor de nuvem. Esses dados então alimentam um poderoso código de automação e otimização que sugere como otimizar e reforçar a política de segmentação.
Quando essas políticas são implantadas, elas podem ser enviadas para os sistemas de nuvem, data center e endpoint, conforme necessário. Embora a nuvem tenha suas diferenças em relação ao data center, acontece que aproveitar os metadados, as informações de conexão e as APIs da nuvem significa que as organizações podem impulsionar uma política de segmentação automatizada em suas implantações na nuvem.
Finalmente, há uma segmentação de nuvem totalmente automatizada que otimiza para Princípios de confiança zero.
O Mês de Conscientização sobre Segurança Cibernética oferece uma ótima oportunidade para dar um passo atrás e considerar recursos como a Segmentação Zero Trust que mais afetariam sua postura de segurança na nuvem.
Na próxima semana, continuaremos nossa série sobre tópicos nos quais focar novamente durante o Mês de Conscientização sobre Segurança Cibernética.
Quer saber mais sobre segurança na nuvem? Leia nosso e-book: 5 coisas que você talvez não saiba sobre segurança na nuvem