Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

6 requisitos de microssegmentação para aplicativos modernos

Editorial Illumio
,
April 21, 2020
23 leitura mínima

A ideia de segmentar a rede como forma de aumentar a segurança não é nova. Mas tem sido difícil obter uma segmentação granular porque a computação e a segurança estão intimamente ligadas. Isso significa que qualquer alteração feita para atingir a postura de segurança desejada exige mudanças no transporte de rede subjacente ou sacrifica a granularidade. Além disso, as equipes de TI e segurança geralmente lidam com prioridades concorrentes, e a segmentação nem sempre foi a estratégia mais popular.

O aumento na escala e no escopo dos ataques cibernéticos está mudando isso.

“... agora não há desculpa para não permitir a microssegmentação para qualquer empresa ou infraestrutura”

Microsegmentação é um ótimo impedimento para hackers. Cada vez mais organizações estão implementando a microssegmentação como parte essencial de uma estratégia de defesa aprofundada. De acordo com uma pesquisa recente com mais de 300 profissionais de TI, 45% atualmente têm um projeto de segmentação ou estão planejando um. Terceiro trimestre de 2020 da Forrester Research Relatório Zero Trust Wave reforçou a importância em afirmar que “... agora não há desculpa para não permitir a microssegmentação para nenhuma empresa ou infraestrutura”.

Mas, como acontece com qualquer controle de segurança, é importante equilibrar a estratégia da empresa com a necessidade de protegê-la. Segmentar sua rede é um grande projeto e uma forma totalmente diferente de gerenciar sua rede. Você pode estar passando de uma infraestrutura de rede plana, onde as comunicações são totalmente abertas, para uma rede que exige conjuntos de regras de firewall, assim como sua infraestrutura de perímetro. É preciso um planejamento cuidadoso para alcançar o resultado desejado de uma rede que é difícil para os invasores, mas ainda assim gerenciável para você.

Então, como você chega lá?

Para implantações eficazes de microssegmentação, aqui está uma lista das seis principais funções e recursos que as soluções devem fornecer:

1. Visibilidade com o contexto do aplicativo

O ditado de que “você não pode proteger o que não pode ver” não poderia ser mais verdadeiro. As organizações executam uma variedade de aplicativos para operar seus negócios, cada um deles se comunicando entre si e compartilhando dados. Aí está o desafio. Sem visibilidade, um usuário não autorizado tem ampla oportunidade de se infiltrar em uma empresa, acessar um ativo desprotegido ou vulnerável e se mover lateralmente em direção a ativos críticos, tudo isso antes de qualquer sinal de detecção.

A microssegmentação adequada dos ativos do aplicativo pode minimizar ou impedir a propagação de violações, mas você precisa de visibilidade na camada do aplicativo. Isso é diferente de obter tráfego de fluxo de rede ou tocar em uma porta SPAN no switch que fornece informações sobre fluxos de rede em L2 e L3. Você precisa ser capaz de ver como os componentes do aplicativo se comunicam entre si em várias camadas (Web, Processamento, Banco de Dados) e como os aplicativos interagem entre si.

As inscrições não ficam em uma ilha. Eles conversam entre si e é assim que os processos de negócios funcionam. Por exemplo, um sistema de ponto de venda (POS) provavelmente conversará com um aplicativo de gerenciamento de estoque antes de atender ao pedido de um cliente. Isso faz sentido. Tráfego do sistema POS deveria ter permissão para conversar com aplicativos de inventário. Por outro lado, um servidor Web voltado para o público não deve se comunicar diretamente com um banco de dados, mas sim passar pelo servidor de processamento de aplicativos para concluir uma transação ou consulta.

Mas esses fluxos não são necessariamente bem conhecidos — certamente não pelas equipes de rede e talvez nem mesmo pelas equipes de segurança. Os desenvolvedores de aplicativos podem ter esse nível de clareza, mas nem sempre. As organizações precisam de visibilidade integrada que mostre as dependências dos aplicativos para obter a microssegmentação correta. Idealmente, isso apareceria na forma de um mapa que mostra como vários aplicativos conversam entre níveis e entre si. Esse mapa também deve descrever como diferentes ambientes, como desenvolvimento, preparação, produção e regulamentação, são dispostos e que tipo de comunicação flui entre eles. Isso ajuda as organizações a entender “o que está acontecendo” e “o que deveria acontecer” com base na postura de segurança desejada.

Como o Illumio ajuda: O mapa de dependência de aplicativos da Illumio mostra claramente como os componentes do aplicativo interagem e como os diferentes aplicativos se comunicam entre si. Este mapa, conhecido como Iluminação, não só fornece visibilidade inigualável, mas também recomenda políticas com base na granularidade desejada. As políticas são definidas em linguagem natural usando rótulos e não exigem informações da camada de rede para definir políticas. Essa abordagem faz o trabalho pesado e calcula as regras precisas de L2/L3/L4 com base nessas políticas de linguagem natural. Isso facilita o desenvolvimento de uma postura de segurança alinhada às metas organizacionais.

2. Arquitetura escalável

Há várias maneiras de obter microssegmentação. Embora cada abordagem tenha seus méritos, você precisa considerar a escalabilidade, a eficácia e a granularidade da solução, a facilidade de uso e, por último, mas não menos importante, a relação custo-benefício.

As abordagens típicas incluem:

  • Segmentação usando a rede: Programação de listas de controle de acesso (ACLs) em dispositivos de rede (switches, roteadores, firewalls etc.). Embora essa abordagem forneça uma separação grosseira, ela é muito complicada, propensa a erros e cara. As redes devem transportar pacotes do ponto A para o ponto B o mais rápido possível, e atribuir ACLs para segmentação é como parar cada pacote para ver se ele deve ser permitido. Esses dois são objetivos diametralmente opostos e, quando os misturamos, as coisas começam a falhar.
  • Segmentação com SDN: Automatizar o exposto acima com redes definidas por software (SDN) permite que os usuários acessem um controlador centralizado para definir regras que são enviadas aos dispositivos de rede apropriados. Essa abordagem oferece algum alívio na configuração, mas, em muitos aspectos, não é melhor do que usar dispositivos de rede. Além disso, a maioria dos sistemas SDN foi projetada para fornecer automação de rede, não funções de segurança. Só recentemente os fornecedores perceberam os casos de uso de segurança e tentaram reutilizar os sistemas SDN para fornecer microssegmentação com pouco sucesso.
  • Microsegmentação baseada em host: Arquitetonicamente, essa abordagem é diferente. Em vez de a aplicação de políticas ocorrer em algum lugar da rede, as organizações podem usar o poder de firewalls de estado integrados para aplicar regras em ritmo de linha sem qualquer penalidade de desempenho. Além disso, essa é a única arquitetura escalável, o que significa que você adiciona capacidade à medida que adiciona cargas de trabalho. Foi comprovado que as arquiteturas de escalabilidade horizontal acompanham bem o crescimento dos componentes do sistema sem sacrificar o desempenho. Lembre-se de que, para que a fiscalização ocorra, a entidade executora precisa ver o tráfego. No caso de firewalls (ou dispositivos de rede fazendo o trabalho), eles precisam ver o tráfego. Em algum momento, a quantidade de tráfego superará a capacidade do agente, deixando a organização exposta sem proteção. A direção do tráfego representa um grande desafio e, às vezes, interrompe a camada da rede ou introduz uma grande complexidade.

Como a borda da rede não está no perímetro do firewall, mas nos segmentos internos, quanto mais granulares forem os segmentos, melhor será a proteção. Se você levar esse conceito adiante, perceberá que o melhor segmento é o segmento de um — a carga de trabalho se torna a nova vantagem. Qualquer coisa fora da carga de trabalho não é confiável e toda a fiscalização para permitir ou interromper o tráfego ocorre na carga de trabalho sem sacrificar o desempenho. Os sistemas baseados em host fazem exatamente isso.

Como o Illumio ajuda: Logo no início, reconhecemos que a única maneira escalável de obter segmentação granular e microssegmentação granular era por meio de uma arquitetura baseada em host. Essa abordagem traz a segurança muito perto de onde a ação está, e os controles são independentes da rede. Aproveitando os recursos e a capacidade do host para impor o uso da taxa de linha do kernel do sistema operacional firewall com estado, separamos a segmentação da rede e oferecemos uma forma escalável de segmentação, eliminando os pontos de estrangulamento presentes nos firewalls e adicionando capacidade à medida que novas cargas de trabalho ficam on-line.

3. Políticas de segurança abstratas

Tradicionalmente, a segurança está vinculada à rede, mas ambas as entidades têm objetivos diferentes. As redes têm a ver com velocidade e taxa de transferência. Segurança tem a ver com isolamento e prevenção. Quando misturamos os dois, temos o pior dos dois mundos. É como estar em uma corrida de três pernas em que os dois participantes estão indo em direções diferentes. Nem é preciso dizer que o cenário não termina bem. As políticas de segurança devem ser retiradas da rede para que a postura de segurança desejada possa ser alcançada independentemente da infraestrutura subjacente.

Como o Illumio ajuda: Por segmentação de desacoplamento a partir da rede, fornecemos um fluxo de trabalho para que as organizações criem políticas com base em rótulos centrados nos negócios que sejam facilmente compreendidos. As cargas de trabalho são organizadas com base em quatro dimensões de rótulos, e as políticas são escritas usando esses rótulos. Todo o trabalho pesado de mapear as políticas abstratas para a aplicação em nível de rede é feito por meio de um modelo que permite testar políticas antes de aplicá-las. Isso garante que você possa alcançar o resultado desejado — microssegmentação — sem interromper nenhum aplicativo.

4. Controles granulares

As organizações têm muitos aplicativos com diferentes pontos críticos de negócios. Dessa forma, os requisitos de segurança diferem com base na importância e, às vezes, nos requisitos regulatórios associados a esse aplicativo. Você precisa de um mecanismo para definir diferentes posturas de segurança para ambientes computacionais exclusivos. Às vezes, pode ser normal simplesmente separar ambientes diferentes (por exemplo, separar o desenvolvimento da produção ou separar os ativos regulatórios dentro do escopo de todo o resto). Para controles mais rigorosos, talvez seja necessário bloquear camadas de aplicativos (Web, Processamento, Banco de Dados) e controlar quais camadas podem se comunicar com quais. Essas opções devem fazer parte do fluxo de trabalho da política e devem ser fáceis de implementar sem fazer alterações na rede.

Como o Illumio ajuda: Nosso modelo de política é simples, mas poderoso e fácil de usar. O mapa de dependência de aplicativos não apenas fornece visibilidade da camada do aplicativo, mas também impulsiona a criação de políticas ao recomendar opções diferentes, desde cercas simples até separação baseada em camadas e segmentação com base em portas, processos e serviços.

5. Estrutura de políticas consistente em todo o seu patrimônio computacional

As empresas estão cada vez mais se tornando multinuvem híbrida, e a presença de um aplicativo agora geralmente está dispersa em vários locais locais, instalações de hospedagem e nuvens públicas com base nos requisitos de resiliência, funcionalidade, desempenho e residência de dados. Você deve desenvolver um mecanismo de segurança consistente que transcenda as soluções individuais incompatíveis aplicáveis a um ambiente específico.

Os modelos de segurança são diferentes em nuvens públicas em comparação com implantações locais. As nuvens públicas operam em um modelo de segurança compartilhado. Os fornecedores de nuvem fornecerão segurança básica de infraestrutura e os clientes serão responsáveis por proteger seus ativos e aplicativos. Além disso, as ferramentas usadas para proteger as implantações locais são diferentes das disponíveis na nuvem pública. A maioria das nuvens públicas oferece grupos de segurança (eles têm vários nomes, dependendo do fornecedor) que oferecem firewall básico por rede privada virtual. Esses grupos de segurança são limitados em escala, têm os mesmos problemas que os firewalls em termos de complexidade de configuração e não são compatíveis entre nuvens. Isso pode ser um desafio para clientes que são realmente multinuvem híbrida e precisam de um mecanismo de segurança consistente.

Como o Illumio ajuda: Nossa solução é independente do formato da localização e da carga de trabalho. Suas cargas de trabalho podem residir em qualquer lugar. Fornecemos visibilidade total, bem como um modelo de segurança consistente que é aplicável em todo o ambiente computacional.

6. Integração com seu ecossistema de segurança

Definir uma postura de segurança e aplicar suas regras ajuda a manter os negócios de uma organização funcionando. Essa peça precisa se integrar firmemente aos processos e ferramentas que uma organização usa para criar novos ativos, implantar aplicativos, operacionalizar os sistemas e muito mais. A maioria das organizações corporativas tem sistemas que as ajudam nas operações diárias. Como exemplo, o SecOps pode usar o Splunk como seu principal centro de controle, e outros sistemas devem fornecer notificações e alertas a esse sistema. É improvável que o SecOps monitore várias ferramentas diariamente para manter as coisas funcionando. A menos que a segurança se integre a esses processos, ela sempre será um desafio e criará silos e complexidade.

Como o Illumio ajuda: Nossa solução é totalmente orientada por API, o que significa que ela se integra facilmente ao ecossistema maior de uma organização. Tudo o que você pode fazer com a GUI do Illumio pode ser feito por meio de chamadas de API do sistema de sua escolha. Além disso, oferecemos suporte a integrações que permitem uma funcionalidade aprimorada. As integrações notáveis incluem:

  • Atenda agora: O Illumio pode ingerir atributos do host de Atenda agora e use-o para criar rótulos que são atribuídos a cada carga de trabalho e usados para definir políticas. Além disso, a Illumio pode enviar informações sobre qualquer discrepância (com base em um mapa em tempo real) para o ServiceNow e corrigir as informações para tornar o CMDB mais preciso.
  • Splunk: O Illumio pode enviar todos os alertas e notificações para SIEMs como Splunk, relatando coisas como tráfego bloqueado, eventos de adulteração, violações de regras etc.
  • Scanners de vulnerabilidade (Qualys, Tenable, Rapid7): Exclusivo da Illumio, podemos ingerir informações sobre vulnerabilidades e sobrepor essas informações em um mapa de dependência de aplicativos para visualizar e quantificar riscos, oferecendo a você uma mapa de vulnerabilidade. Essas informações podem então ser usadas para derivar políticas de microssegmentação para contabilizar vulnerabilidades, usando essencialmente a microssegmentação como um controle compensador quando a correção imediata não é uma opção.
  • Centro de segurança da AWS: Semelhante ao Splunk, o Illumio se integra ao AWS Security Hub, que fornece funcionalidade de SIEM para implantações na nuvem.

Em resumo, aqui estão as principais vantagens da microssegmentação:

  • Segurança aprimorada: O tráfego de rede pode ser isolado e/ou filtrado para limitar ou impedir o acesso entre segmentos de rede.
  • Melhor contenção: Quando ocorre um problema de rede, seu efeito é limitado à sub-rede local.
  • Melhor controle de acesso: Permita que os usuários acessem somente recursos de rede específicos.
  • Conformidade: As organizações que cumprem os requisitos de conformidade regulatórios ou exigidos pelo cliente podem demonstrar que as medidas apropriadas foram tomadas e passar por auditorias em tempo hábil.
  • Monitoramento aprimorado: Oferece a oportunidade de registrar eventos, monitorar conexões internas permitidas e negadas e detectar comportamentos suspeitos.


A microssegmentação é uma abordagem muito eficaz para evitar movimentos laterais não autorizados em sua organização, e não é por acaso que ela se tornou um princípio fundamental de uma estrutura de Zero Trust. As violações podem ser prejudiciais, mas a ausência de uma rede segmentada internamente pode ser igualmente prejudicial.

A maioria das violações de alto perfil deixa as organizações paralisadas porque um intruso atravessou a rede sem ser detectado por semanas ou meses, movendo-se lateralmente para acessar ativos de alto valor. A microssegmentação impede esse movimento para que sua organização não se torne a próxima empresa de destaque a sofrer um ataque.

Pronto para dar o primeiro passo em sua jornada de segmentação? Cadastre-se para um teste gratuito de 30 dias.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Forrester: 3 conclusões sobre o ROI da segmentação Zero Trust da Illumio
Segmentação Zero Trust

Forrester: 3 conclusões sobre o ROI da segmentação Zero Trust da Illumio

Veja os destaques do recente webinar da Illumio com especialistas da Forrester sobre o impacto econômico total da segmentação Zero Trust da Illumio.

Leia mais
Illumio obtém a designação de critérios comuns
Segmentação Zero Trust

Illumio obtém a designação de critérios comuns

A designação de segurança de TI Common Criteria da Illumio — validação de um terceiro certificado pelo governo — a posiciona para apoiar novos mercados globais do setor público.

Leia mais
Cinco dicas para simplificar a rotulagem de cargas de trabalho para microssegmentação
Segmentação Zero Trust

Cinco dicas para simplificar a rotulagem de cargas de trabalho para microssegmentação

Aqui estão cinco dicas para simplificar seu processo de rotulagem de cargas de trabalho.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais