Segmentação de rede versus segurança

A necessidade de segmentação como estratégia de segurança evoluiu bastante. Desde os primórdios das redes até os complexos ambientes de data center e nuvem de hoje, a abordagem que as organizações adotam em relação à segmentação não acompanhou o ritmo. Qualquer pessoa que tente usar abordagens tradicionais de segmentação para enfrentar novos desafios de segurança descobrirá rapidamente que elas não atendem às expectativas e aos requisitos de segurança.

No entanto, isso não impediu que fornecedores e algumas organizações tentassem encaixar o proverbial pino quadrado de rede na brecha redonda de segurança. Alerta de spoiler: simplesmente não vai caber.

O que você realmente precisa é Segmentação de segurança.

Neste post, explorarei a diferença entre segmentação de rede e segurança, concentrando-me no data center e em como segmentação de rede foi mal direcionado para atender aos requisitos de segurança.

Controle de solo para aplicações principais

Quando entrei pela primeira vez em redes, um segmento era uma vertente do RG-58 COAX. Estou namorando a mim mesmo? Sim

À medida que minha carreira progredia, trabalhei na Xylan, pioneira em “emergir” VLAN tecnologia. Na época, o desafio era interligar qualquer mídia (Token Ring, FDDI, ATM, Ethernet) com qualquer mídia e estender as VLANs — não principalmente por questões de segurança, mas para reduzir os domínios de transmissão — para manter o desempenho da rede e permitir que as redes se expandissem. Não havia switches de camada 3 e os elementos mais caros da rede eram os roteadores baseados em software. Â †Basicamente, um segmento evoluiu para ser um domínio de transmissão lógico (não físico) e praticamente permaneceu assim até que as VLANs se misturaram à segurança.

Atualmente, apesar de quanto dinheiro uma organização gasta em tecnologias de “detecção”, a maioria das organizações acredita que uma violação de alguma forma é inevitável.

Diante da inevitabilidade de uma violação, a única proteção realista é construir mais muros em torno de aplicativos críticos — ou “controlar o terreno” para que os malfeitores não possam se movimentar livremente dentro do seu data center e da nuvem.

Controlar o terreno exige uma nova forma de segmentação.

Isso é algo que eu chamo de Segmentação de segurança, em que uma organização deve filtrar o tráfego para evitar que um agente mal-intencionado possa se mover lateralmente (leste/oeste) dentro de um data center. Isso é muito melhor do que a “segmentação retro” por meio da rede, que exige novos IPs, novas VLANs e novos equipamentos.

Pode ou deveria? É um grande negócio

A segmentação de segurança não se refere ao encaminhamento de pacotes, pois se refere às redes de camada 2 e camada 3. A segmentação de segurança é sobre filtragem de pacotes — impondo o que deve e o que não deve ser permitido entre dois pontos na rede.

Eu sempre digo que essa é a diferença entre lata (encaminhamento de pacotes) e deveria (filtragem de pacotes). Todos os protocolos e trabalhos realizados nas redes de camada 2 e 3 têm como objetivo a entrega confiável de pacotes.

• Rede de camada 2/3 lata encontre um caminho para encaminhar um pacote entre dois locais, se houver um.
• A rede de camada 2/3 não sabe se deveria encaminhe o pacote. Não foi construído para funcionar dessa maneira.

Na verdade, pedir a um dispositivo de camada 2/3 que descubra o que deveria acontecer é como perguntar Ron Burgundy não deve ler cada palavra em um teleprompter.

A segmentação de segurança, por outro lado, entende o que deve acontecer e aplica filtros de pacotes para garantir que o que não deveria acontecer nunca aconteça, como a propagação de uma violação.

Na verdade, a entrega confiável de pacotes - algo em que trabalhamos há 30 anos - e a segmentação de segurança são como primos de primeiro grau: são parentes, mas não deveriam se casar.

KISS: Você quer manter as coisas simples, estúpidas (e filtrar todos os dias)

Uma das coisas que trouxe à tona a necessidade de segmentação de segurança foi o surgimento do que eu gosto de chamar de problema do “firewall em um stick”. Há dez anos, não víamos muito tráfego sendo transferido para um firewall (ou firewalls) em data centers porque isso criava sobrecarga de tráfego, complexidade de configuração e problemas de escala. No entanto, com o tempo, houve um aumento nesses designs de “firewall on a stick”.

PROTIP: Sempre que você ver uma tecnologia em um bastão, fique cansado. Isso vai atrapalhar.

Na empresa, Rede definida por software (SDN) os fornecedores estão tentando atacar a complexidade do firewall em um dispositivo criando uma sobreposição de redes que canalizará pacotes por meio de um conjunto distribuído de firewalls. A SDN depende de subjacências, sobreposições e tunelamento para que funcione. Isso criou um nível totalmente novo de complexidade que podemos guardar para outro post. Mas basta dizer que atacar a complexidade com mais complexidade não é uma proposta vencedora.

A complexidade é inimiga de muitas coisas, e a segurança é uma delas.

Ao contrário do SDN, a segmentação de segurança (também conhecida como filtragem de pacotes) se baseia no princípio de rede do KISS: Keep It Simple Stupid. Faça algo muito complexo e a probabilidade de erro aumenta, assim como a probabilidade de as pessoas procurarem maneiras de economizar custos — a última coisa que você quer como parte de sua estratégia de segurança. A simplicidade, por outro lado, tem mais chances de gerar confiabilidade, e a confiabilidade é fundamental para a segurança.