O que é segmentação de rede?
A segmentação de rede é uma estratégia usada para segregar e isolar partes da rede corporativa com o objetivo de reduzir a superfície de ataque.
No entanto, as estratégias de segurança de hoje envolvem mover o perímetro para mais perto dos recursos, em comparação com a tática de “castelo e fosso”. Isso acontece por conta do tipo atual de data centers, do enorme aumento na quantidade de usuários e das dinâmicas das aplicações e recursos.
A segmentação de rede é um dos principais conceitos da estratégia de segurança Zero Trust, além das identidades, com base no framework Zero Trust NIST SP 800-207.
Macrossegmentação e microssegmentação de rede
A segmentação de rede tradicional, também conhecida como macrossegmentação, geralmente é feita por meio de firewalls internos e VLANs. Na microsegmentação, o perímetro e controles de segurança são movidos para mais perto do recurso (por exemplo, workload ou uma aplicação de três camadas), o que cria zonas seguras. A macrossegmentação/microssegmentação de rede são executadas principalmente para limitar o tráfego leste-oeste no data center e prevenir/desacelerar o movimento lateral de invasores.
A macrossegmentação/microssegmentação de rede podem ser feitas com:
- Firewalls de hardware (por exemplo, firewalls de segmentação interna): o fluxo de tráfego para as zonas ou segmentos que são controladas por regras de firewall
- VLANs e listas de controle de acesso (ACLs, na sigla em inglês): filtram de acesso a redes/sub-redes
- Perímetro definido por software (SDP, na sigla em inglês): move o perímetro para mais perto do host, o que produz um limite virtual. Ele também possibilita controles de política granular no nível do workload
O Guia Completo para Construir uma Estratégia de Proteção de Identidade
Comece a adotar uma postura de segurança resiliente: faça download do Guia completo para construir uma estratégia de proteção de identidade para proteger hoje mesmo o panorama de identidade digital da sua organização.
Baixe agoraAbordagem de macrossegmentação de rede: prós e contras
As políticas de acesso de recursos definidas por meio de regras de firewall, VLAN/ACLs e VPNs são estáticas e se concentram apenas no tráfego de entrada e saída. Elas são rígidas e não podem ser ampliadas ou adaptadas a ambientes híbridos dinâmicos e requisitos de acesso seguro dinâmico que vão além dos perímetros estáticos.
| Prós | Contras |
|---|---|
| Um dos métodos de segmentação mais antigos e amplamente adotados, antecede o Zero Trust | As VLANs e firewalls criam vários pontos de estrangulamento na rede, o que tem um impacto negativo no desempenho da rede e na produtividade dos negócios (alto atrito) |
| Firewalls de hardware conhecidos para controlar tanto o tráfego leste-oeste como norte-sul | Milhares de regras de firewall e VLAN/ACLs se tornam rapidamente difíceis de gerenciar e proteger (complexas e sujeitas a erros humanos) |
| É cara para expandir, com investimentos em hardware e custos de pessoal | |
| Ter visibilidade centralizada sobre o ambiente local e as nuvens é algo complexo | |
| O que funciona em ambientes locais não funciona nas nuvens (defasagens de visibilidade e segurança, ampla superfície de ataque) | |
| Implementar políticas granulares é complexo: não há contexto de segurança | |
| As políticas são rígidas: não se adaptam a ambientes dinâmicos ou a mudanças repentinas nos modelos de negócios (por exemplo, força de trabalho remota, fusões e aquisições ou alienação) | |
| A dependência de fornecedor se torna uma despesa operacional |
Abordagem de microssegmentação de rede: prós e contras
O perímetro é movido para mais perto do recurso, e os controles de segurança são aplicados a cada host.
| Prós | Contras |
|---|---|
| Não dependem de plataforma e infraestrutura | Requer agentes em cada endpoint, workload ou hipervisor/máquina virtual |
| Controles de segurança baseados em contexto com políticas granulares | Embora as políticas refinadas sejam uma vantagem, é necessário criar e gerenciar uma quantidade enorme delas em milhares de recursos, grupos de usuários, zonas (microssegmentos) e aplicações |
| Plataforma unificada | Como 90% do tráfego é criptografado, a descriptografia SSL/TLS que exige muitos recursos é necessária para garantir visibilidade total. Isso aumenta drasticamente os requisitos de processamento e, portanto, o custo para implementar e operacionalizar esse tipo de segmentação |
| É necessário estar por dentro de toda a arquitetura de data center (o que está mudando, o que há de novo e quais são as defasagens). Esse é o ponto de partida para pensar em políticas que não prejudicam a produtividade dos negócios (cenários de exemplo: depois da adoção repentina do trabalho remoto, o que acontece quando os funcionários voltarem após a pandemia? Como a arquitetura/topologia será alterada? Como as políticas serão afetadas e quais serão as “novas” defasagens?) | |
| Detecção/prevenção reduzidas ou inexistentes: você precisa de outras ferramentas e integrações para ter inteligência, detecção e prevenção de ameaças? |
A abordagem de segmentação de rede, seja ela macrossegmentação ou microssegmentação, claramente tem prós e contras. A segmentação de rede tem muitos elementos: firewalls de hardware, perímetros definidos por software, controles e ferramentas extras de infraestrutura multinuvem e diversas políticas de acesso a recursos que precisam ser gerenciadas e atualizadas para sair na frente dos ataques e acompanhar o cenário de ameaças em transformação.
Mudança de rumo: da segmentação de rede à segmentação de identidade
Embora a segmentação de rede diminua a superfície de ataque, essa estratégia não oferece proteção contra táticas e técnicas de adversários nas fases de identidade na cyber kill chain. O método que proporciona maior redução de riscos com menos custos e complexidade operacional é a segmentação de identidade.
A proteção de identidades reduz de maneira significativa os riscos de ataques de invasores modernos, como ransomware e ameaças à cadeia de suprimentos, em que credenciais comprometidas são um fator essencial. De acordo com o relatório Cost of a Data Breach 2021 (Custo de um comprometimento de dados 2021) da IBM e do Ponemon Institute, o comprometimento ou roubo de credenciais de usuário foram a causa mais comum de ataques em 2021. Além disso, esses ataques foram o que mais levaram tempo para serem identificados: 250 dias em média.
É aí que a segmentação de identidade da CrowdStrike ajuda a limitar bastante a superfície de ataque graças ao isolamento e segmentação das identidades. Isso fornece benefícios imediatos, já que a maioria dos ataques tira proveito das credenciais de usuários.
Não conhece a segmentação de identidade?
Saiba o que é e não é a segmentação de identidade e baixe o white paper abaixo para entender como ela é diferente da segmentação de rede.
Narendran é Diretor de Marketing de Produtos para Proteção de Identidade e Zero Trust na CrowdStrike. Ele tem mais de 17 anos de experiência na condução de estratégias de marketing de produtos e GTM em startups de cibersegurança e grandes empresas, como HP e SolarWinds. Anteriormente, foi Diretor de Marketing de Produtos na Preempt Security, que foi adquirida pela CrowdStrike. Narendran possui mestrado em Ciência da Computação pela Universidade de Kiel, Alemanha.
