Nova pesquisa: Estudo sobre o custo global do ransomware. Veja o que as violações estão custando a você.
Obtenha o relatório
Blog
/
Segmentação Zero Trust

Guia de um arquiteto para implantar a microsegmentação: gerenciando o relacionamento com o fornecedor e a integração operacional

Editorial Illumio
,
September 3, 2020
23 leitura mínima

Transição do tradicional segmentação de rede (como firewalls) para microsegmentação exige um esforço orquestrado liderado por arquitetos ou gerentes de projeto. Ao entender e explorar os verdadeiros benefícios com antecedência e o caminho mais claro para a otimização, é possível obter sucesso em todo o processo de implantação.

Esta série revelou as muitas considerações. Nesta quinta e última parte, discutirei a melhor forma de gerenciar seu relacionamento com o fornecedor e manter a integração operacional.

Gerenciando o relacionamento com o fornecedor

O fornecedor escolhido quer que seu projeto de microssegmentação seja bem-sucedido tanto quanto você. Do lado do fornecedor, nos comunicamos regularmente internamente sobre cada implantação para garantir que os recursos, os recursos e o código estejam todos disponíveis quando necessários.

Trate seu fornecedor como um parceiro estratégico para obter nosso melhor desempenho. Quando sabemos não apenas “o que você precisa”, mas “por que você precisa” e “por que você precisa e quando”, fica muito mais fácil mover nossa equipe estendida. Se você mantém seu fornecedor à distância e só conseguimos ver a próxima etapa no plano do projeto, muitas vezes não conseguimos ver o panorama geral e trazer nossa experiência e lições aprendidas até que seja tarde demais. Qualquer projeto pode ser adiado, ter que ser concluído mais cedo ou qualquer outro resultado. Comunique grandes mudanças com antecedência e seu fornecedor estará na melhor posição para absorvê-las e ajudá-lo a ajustar o plano e a execução.

Check list

Há várias parcerias importantes que precisam ser formadas nas primeiras semanas do projeto:

  1. Arquiteto de soluções, engenheiro de serviços profissionais, gerente de projetos, líder de tecnologia. Esta é a principal equipe técnica de trabalho. Juntos, eles farão a maior parte do trabalho técnico para que o projeto seja bem-sucedido. É importante que haja um diálogo livre, aberto e respeitoso.
  2. Arquiteto de sucesso do cliente, diretor, arquiteto de projetos. Essa é a equipe de trabalho estratégica. Eles precisam saber o que está acontecendo tecnicamente e esperar que a equipe do projeto remova ou minimize os obstáculos. Esse relacionamento precisa ser confortável o suficiente para que ambos os lados possam falar de forma transparente sobre problemas e desafios. Esse é o primeiro ponto de “escalada” para os dois lados se algo não estiver indo bem.
  3. Gerente de contas, vice-presidentes de fornecedores e patrocinador executivo. Essa é a equipe de trabalho em nível de negócios responsável pelos resultados. Essa equipe lida com quaisquer escalações que possam surgir entre empresas. Cada lado terá um risco de execução que deve ser entendido e expresso nesse nível. Essa equipe deve discutir mais do que o projeto em questão para incluir um roteiro, oportunidades adicionais e pontos de alavancagem para microssegmentação.

O patrocinador executivo que garante que cada uma dessas equipes funcione bem raramente se surpreenderá com o lado negativo e descobrirá que a maioria das questões inevitáveis são tratadas sem chamar a atenção do executivo, exceto como relatórios de status. Nenhum projeto é “autogerenciável”, mas quando esses três níveis de relacionamento são bem cuidados, os projetos tendem a funcionar sem problemas.

Gerenciando a integração operacional

Agora, vamos mudar de marcha. A maioria das soluções de microssegmentação tem alguns componentes: um mecanismo central de políticas e, no mínimo, um agente baseado em host. A complexidade associada a uma implantação de microssegmentação vem do fato de que esses dois componentes afetam muitas outras coisas no ambiente corporativo. Existem várias “melhores práticas” que ajudarão na integração operacional com os sistemas existentes.

Crie um ambiente de teste de controle de qualidade ou de pré-produção

Embora as equipes internas e de fornecedores se concentrem naturalmente nas instâncias PROD da solução, certifique-se de que a equipe configure uma pequena versão de controle de qualidade da solução de microssegmentação em um ambiente que não seja de produção. Essa plataforma servirá a vários propósitos. Logo no início, será um lugar onde desenvolvedores internos e equipes de ferramentas de automação poderão testar e desenvolver código. As equipes de operações podem testar integrações de registro e tratamento de eventos. As aulas de treinamento interno podem usar o sistema para treinamento de familiarização.

Após a conclusão da implantação, esse recurso deve ser mantido. Certifique-se de que esse sistema de pré-produção gerencie uma de cada uma das imagens principais do sistema operacional. Dessa forma, o novo código do fornecedor pode ser testado no ambiente sem produção em relação ao conjunto completo de imagens do sistema operacional PROD antes de colocar novos lançamentos em produção. Idealmente, a equipe de implantação do fornecedor pode manter esse sistema como uma única VM leve.

Configure e teste o registro de registros/alertas de eventos antes da implantação da produção

Não é de surpreender que as equipes de OPS tenham a maior confiança quando a integração operacional completa é concluída antes de emparelhar as cargas de trabalho de produção. É preciso tempo e esforço para transmitir registros, analisá-los, emitir alertas e criar painéis.

No entanto, este trabalho fornece visibilidade total da integridade do mecanismo de políticas, dos agentes e dos sistemas subjacentes. É muito mais fácil para todos trabalharem em ambientes de produção sensíveis sabendo que toda a instrumentação necessária está pronta. Espere que os engenheiros de serviços profissionais do seu fornecedor forneçam recomendações sobre as principais mensagens de registro e recomendem alertas que já foram populares entre outros clientes.

Três pontos de vista diferentes precisam ser capturados no mecanismo de análise de registros/tratamento de eventos:

  1. Segurança. A equipe de segurança se concentrará mais nos registros do firewall e nos mecanismos antiadulteração do agente. Eles estão sempre interessados em políticas e violações de políticas.
  2. OPS. A equipe de OPS estará mais focada na carga de trabalho e na integridade do mecanismo de políticas e desejará saber como correlacionar eventos do sistema com outros eventos do data center
  3. Painel de controle. Os administradores de gerenciamento ou de NOC geralmente precisam de uma visão consolidada da implantação da microssegmentação que contenha destaques e a capacidade de detalhar

Quando cada uma dessas preocupações é refletida no mecanismo de tratamento de registros/eventos/alertas, a confiança aumenta em toda a organização, pois muitas equipes diversas percebem que o projeto fornece uma integração total que segue a prática existente.

Invista em fluxos de trabalho automatizados

Uma implantação de microssegmentação fornecerá muitas oportunidades para automatizar processos de segurança que há muito tempo eram um esforço puramente manual. Além disso, a rotulagem de microssegmentação revisará e aprimorará a investigação de fontes de metadados existentes e as combinará de novas maneiras. Os metadados resultantes em si são valiosos e podem ser preservados para uso em outros sistemas e tarefas de automação. É comum que as empresas tenham metadados melhores após uma implantação bem-sucedida de microssegmentação se um esforço modesto for feito. Esse esforço paga enormes dividendos na operação contínua e na expansão da implantação inicial da microssegmentação.

Instalação do agente

A implantação de um agente de microssegmentação em centenas ou milhares de sistemas envolverá alguma forma de automação. Em alguns casos, essas ferramentas serão existentes; em outros, serão construídas do zero. Mas, em muitos casos, o desejo será integrar a instalação do agente aos processos de criação automatizados. Seja Chef, Puppet, Ansible, Salt ou outras estruturas, há uma oportunidade de incorporar a segurança ao ciclo de vida automatizado padrão da empresa.

A maioria dos data centers corporativos tem uma combinação de automação total usando estruturas de orquestração e ambientes legados sem essas ferramentas. Dedicar um tempo para trabalhar por meio da integração com a equipe de orquestração, sempre que possível, configura o projeto para o melhor sucesso. Ambientes mais antigos que não receberão a estrutura de orquestração podem ser tratados separadamente com scripts personalizados.

Instalação do mecanismo de políticas

Alguns de nossos clientes também incluem a criação do mecanismo de políticas em seu pacote de orquestração. Se a instanciação da política tiver sido automatizada, a recuperação de uma falha no servidor pode acontecer quase tão rapidamente quanto a automação pode criar um novo mecanismo de políticas. Organizações com um forte movimento de DEV-OPS vão querer considerar isso.

Backup do banco de dados do Policy

Todos os mecanismos de política de microssegmentação têm algum tipo de banco de dados por trás deles. Se esse banco de dados estiver corrompido ou indisponível, é provável que a solução não funcione ou ofereça resultados indesejáveis. Certifique-se de que a equipe de OPS tenha os backups necessários automatizados e seja qualificada em restauração e recuperação de acordo com os procedimentos do seu fornecedor.

Atribuição de etiquetas

A atribuição inicial de rótulos às cargas de trabalho geralmente é feita por meio de algum tipo de upload em massa no mecanismo de políticas. Isso produzirá rótulos corretos para os sistemas iniciais, em um estado inicial. Com o tempo, os rótulos mudarão. Novos sistemas serão adicionados, alguns desaparecerão. Quanto mais esse fluxo de trabalho for automatizado, mais fácil será para todos os envolvidos. Isso envolverá a codificação da atribuição da etiqueta na documentação interna do design e a decisão de como armazená-la, atualizá-la e recuperá-la.

Sua solução de microssegmentação sempre usará rótulos, mas talvez seja melhor manter esses rótulos por meio do gerenciamento centralizado de metadados. Sua equipe de DEV OPS provavelmente terá uma opinião forte sobre o gerenciamento de metadados, e é aconselhável incluir sua voz.

Gerenciamento de metadados

Uma implantação de microssegmentação cria uma política de segurança de acordo com as atribuições de metadados. Isso significa que, com o tempo, sua solução de microssegmentação terá um conjunto de rótulos e outros metadados que descrevem como as coisas devem interagir. Essas etiquetas geralmente não são personalizadas pelo seu fornecedor — elas são reutilizadas a partir de uma fonte confiável existente.

Isso oferece uma oportunidade de automação. Uma boa solução de microssegmentação sempre recalculará a política quando os rótulos mudarem. Portanto, se os metadados forem mantidos fora da sua solução de microssegmentação, essa separação de tarefas poderá ser aproveitada para automação. Quando a solução de microssegmentação faz referência a uma “fonte confiável” externa, qualquer alteração de metadados pode notificar seu mecanismo de políticas de forma programática, e as regras são atualizadas automaticamente.

Com a microssegmentação, ficar mais inteligente no gerenciamento de metadados é o mesmo que ficar mais inteligente no gerenciamento de políticas e políticas. O tempo gasto pensando em onde os metadados usados para criar rótulos são armazenados e como são atualizados, recuperados e enviados a um mecanismo de políticas é sempre um exercício frutífero. Em outros casos, as informações do mecanismo de políticas podem ser úteis na atualização dos sistemas CMDB existentes. A implantação da microssegmentação fornecerá um excelente motivo para considerar como os metadados são usados e aproveitados na organização e poderá impulsionar a automatização dessas melhorias.

Trazendo tudo para casa

Uma implantação bem-sucedida de microssegmentação melhorará o modelo de segmentação interna, o diálogo de políticas e o nível de automação de segurança. Liderar a equipe até esse destino envolverá novos aprendizados e novas oportunidades. A microssegmentação alterará partes do modelo operacional existente e será melhor atendida por uma equipe de implantação multifuncional.

Como líder, sua opinião será necessária em vários momentos importantes. Ao insistir em ter as conversas certas sobre metadados e desenvolvimento de políticas, você tem a oportunidade de fazer uma diferença duradoura na velocidade e na agilidade dos negócios. Você realmente pode ter um controle refinado e uma automação rápida ao mesmo tempo. Espero ouvir sobre seu sucesso na implantação, operacionalização e execução de sua própria implantação de microssegmentação.

Para uma leitura mais aprofundada sobre tudo o que você precisa saber para implementar uma estratégia de microssegmentação do início ao fim, não deixe de conferir o eBook, Proteja além da violação: um guia prático para criar uma estratégia de segurança cibernética de defesa profunda por meio da microssegmentação.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

Garantindo projetos de microsegmentação bem-sucedidos: por que você precisa de uma nova abordagem
Segmentação Zero Trust

Garantindo projetos de microsegmentação bem-sucedidos: por que você precisa de uma nova abordagem

Se você implementar com sucesso um projeto de microssegmentação, reduzirá sua superfície de ataque, conterá violações, limitará os danos causados por ataques, alcançará a conformidade regulatória e preparará o terreno para estratégias de segurança mais profundas, como o Zero Trust.

Leia mais
Por que é importante ser capaz de implementar a microssegmentação gradualmente?
Segmentação Zero Trust

Por que é importante ser capaz de implementar a microssegmentação gradualmente?

Quase todo mundo na área de TI concordaria que a segmentação é melhor quanto mais refinada ela se torna.

Leia mais
Superando barreiras à confiança zero com informações do Reino Unido
Segmentação Zero Trust

Superando barreiras à confiança zero com informações do Reino Unido

Os atuais diretores de segurança da informação (CISOs) são desafiados por todos os lados. A escala das ameaças enfrentadas por suas organizações e o tamanho da superfície de ataque corporativa são tais que as violações de segurança são um caso de “quando”, não de “se”.

Leia mais
Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Saiba mais