Micro segmentação pode ser muito efetiva como uma estratégia de segurança, ajudando a parar lateralmente ameaças em movimento, minimizando o raio e o dano causado por um cyber ataque. Apesar do potencial, vários desafios dificultam a adoção.
Porque sua Empresas precisa de micro segmentação?
A maioria dos ataques e incidentes de segurança envolvem uma inicial infiltração via um sistema vulnerável ou pessoa, seguido por movimentos de laterais nas organizações. Esse movimento lateral é o que tipicamente permite os códigos mal intencionados escalar o dano as organizações.
O ataque possivelmente está infiltrado ou comprometeu uma aplicação que não é missão critica, entretanto, não recebeu patches de seguranças.
O invasor pode inicialmente se infiltra ou compromete um aplicativo que não é considerado missão-crítica e, portanto, os patches de segurança, e esse é usado apenas para usar esse sistema como um ponto de partida para outros sistemas que contêm informações confidenciais. Ou, o sistema inicial pode ser a primeira máquina infectada a partir da qual uma variedade de ransomware começa a fazer o seu caminho através da rede para outras máquinas.
Em uma rede aberta e plana com pouquíssimos controles internos, esse tipo de coisa acontece com muita frequência. Infeliz a verdade é que a maioria dos esforços tem sido focados em criar uma forte defesa de perímetro, deixando falta de controles internos e defesas. A natureza do perímetro empresarial de hoje e a persistência de maus invasores, faz com que a maioria das defesas do perímetro sejam derrotadas. Controles internos baseados na micro segmentação podem minimizar os danos que um invasor pode causar quando entra.
Como funciona a micro segmentação
A micro segmentação funciona dividindo grandes grupos abertos de aplicações ou workloads em pequenos segmentos com base nos requisitos de comunicação de cada aplicativo. Os aplicativos serão então autorizados a se comunicar dentro de seu segmento, mas não podem fazer comunicações não autorizadas para aplicações fora de seu segmento. A microsegmentação é um componente central de um modelo de segurança Zero Trust na nuvem e no data center. Em suma, a microsegmentação limita o perímetro, reforçando as políticas de segurança da rede interna da organização e não apenas no perímetro.
Por exemplo, um aplicativo web de gerenciamento de recursos do cliente (CRM) seria autorizado a se comunicar com o banco de dados que armazena os dados correspondentes do cliente, mas o sistema que coordena operações físicas de construção e segurança não seria capaz de se conectar a esse mesmo banco de dados.
A micro segmentação é mais frequentemente aplicada nos hosts ou na rede.
Micro segmentação baseada em host
A micro segmentação baseada em host depende de agentes instalados em dispositivos. A vantagem de usar um agente é que ele fornece muito mais controle granular e visibilidade, e oferece um caminho para uma micro segmentação baseada em identidade mais fácil de gerenciar. Usando um agente, você pode segmentar com base em políticas dinâmicas e compreensível humanas, em vez de regras estáticas de nível de rede. Por exemplo, uma política baseada em identidade pode permitir que um certo script Python, legitimate.py, pode se comunicar na rede, mas um nefasto malicious.py que está sendo executado na mesma VM, não pode. Tal granularidade de controle e um modelo de política fácil de entender é impossível com o modelo baseado em rede.
A desvantagem da micro segmentação baseada em host é que nem todos os workloads podem ter um agente instalado. Isso pode incluir sistemas operacionais legados, PaaS, etc. Para esses tipos de serviços, a maioria das plataformas baseadas em agentes normalmente incluirá "Embeddable agent code and/or fall back" para segmentação baseada em rede para os sistemas fora do escopo.
Existem dois tipos primários de micro segmentação baseada em host. Firewalls nos hosts e o outro tipo e o controle baseado em identidade. A micro segmentação baseada em Firewall envolve uma versão mais dinâmica de um firewall de rede tradicional, mas com limitações semelhantes. Como os Firewalls são cegos à verdadeira identidade dos Workloads de comunicação e dependem de controles baseados em endereços de rede, eles podem ser contornados por invasores que exploram a “Confiança na Rede".
A proteção baseada em identidade de Workloads, por outro lado, permite que apenas aplicativos verificados criptografados se comuniquem sobre os caminhos de rede aprovados. Todas as tentativas de comunicação são validadas, garantindo que softwares maliciosos não tenham capacidade de se comunicar na rede.
Micro segmentação baseada em rede
A micro segmentação baseada em rede é exatamente como parece — segmentação realizada no nível de rede modificando listas de controle de acesso (ACLs) ou regras de firewall. Por ser realizada na camada de rede, não há agente a ser implantado nos Workloads.
Existem várias desvantagens importantes para a micro segmentação baseada em rede. Primeiro, só pode-se impor políticas por end-point. Isso significa que, se houver um software legítimo no mesmo ponto final de um software malicioso, os firewalls normalmente usados como dispositivos de aplicação não podem distinguir entre os dois, ou seja, ambos os softwares serão bloqueados ou permitidos.
Além disso, como essas políticas são baseadas em porta de rede e endereço IP, elas são estáticas por definição. Nos ambientes centrados na nuvem de hoje, os Workloads são dinâmicos. Políticas que também não são dinâmicas retardam as coisas e podem causar problemas.
Finalmente, essa abordagem pode ser complicada de gerenciar, muitas vezes levando a segmentos maiores do que o inicialmente previsto, uma compensação que resulta em menor sobrecarga operacional, mas que mina a iniciativa de fazer a micro segmentação. Qualquer tentativa de fazer segmentação mais granular (ou seja, micro segmentação) leva a um aumento maciço no número de regras de firewall, que se torna incontrolavelmente complexa.
Desafios com micro segmentação
Apesar de sua eficácia na redução do risco e impacto de uma brecha, muitos projetos de micro segmentação falham na implementação. Existem várias razões fundamentais para isso, a maioria das quais pode ser rastreada até a complexidade operacional e pouca automação que exige muito envolvimento humano. Novos produtos de micro segmentação foram projetados para superar esses desafios.
Um dos maiores desafios com a micro segmentação é mapear os caminhos de comunicação adequados para cada peça de software, o que fornece a base para as políticas. Fazer isso manualmente requer um conhecimento detalhado de como cada Workload se comunica com todas as outros Workloads em seu ambiente de nuvem e/ou data center. Esse nível de conhecimento não existe na maioria das organizações. Sem a Machine Learning Automation, este pode ser um processo incrivelmente demorado, com as descobertas sendo ultrapassadas quando a investigação foi concluída.
Além disso, se não for feito corretamente, a implementação de micro segmentação pode parar aplicações. Esse obstáculo pode causar um pushback interno em todo o projeto, e requer um sistema que identifique com precisão e rapidez os caminhos de comunicação necessários, adaptando-se automaticamente à medida que o ambiente dinâmico muda.
Finalmente, as mudanças de rede necessárias para implementar políticas de micro segmentação podem ser extensas, levando a tempo de inatividade, erros dispendiosos e difícil coordenação entre vários grupos da organização. Avanços mais recentes na micro segmentação foram projetados como sobreposições à própria rede, alcançando o objetivo desejado, mas sem fazer qualquer alteração na rede subjacente.
Segmentação de carga de trabalho de Zscaler
Zscaler Workload Segmentation (ZWS) foi construída do zero para automatizar e simplificar o processo de micro segmentação em qualquer ambiente de nuvem ou data center. Baseado em políticas fáceis de entender, baseadas em identidade, com um único clique, você pode aumentar a segurança permitindo que o ZWS revele riscos e aplique proteção às suas aplicações — sem alterações na rede ou aplicativos. A tecnologia baseada em identidade de software da ZWS fornece proteção livre de lacunas com políticas que se adaptam automaticamente às mudanças ambientais. Eliminar sua superfície de ataque de rede nunca foi mais simples, e você recebe proteção verdadeira de Zero Trust.
Comentários