Concerned about recent PAN-OS and other firewall/VPN CVEs? Take advantage of Zscaler’s special offer today

Read more
Zpedia / O que é microssegmentação?

O que é microssegmentação?

A microssegmentação é uma técnica de segurança cibernética que ajuda as organizações a administrar melhor o acesso à rede entre recursos (por exemplo: tráfego de servidor para servidor/leste-oeste). Ao identificar individualmente cada recurso (por exemplo: servidor, aplicativo, host, usuário), ela permite configurar permissões que oferecem controles refinados do tráfego de dados. Combinada com uma abordagem zero trust, a microssegmentação ajuda a evitar a movimentação lateral de ameaças, o comprometimento de cargas de trabalho e as violações de dados.

Leia “Introdução à microssegmentação 101”

Por que a microssegmentação é importante

A microssegmentação permite que a TI baseie políticas e permissões na identidade dos recursos, tornando-a o método ideal para criar agrupamentos inteligentes de cargas de trabalho com base nas características individuais das cargas de trabalho que se comunicam no data center. Em conjunto com controles de acesso baseados no princípio do privilégio mínimo, a microssegmentação protege melhor os aplicativos e dados críticos de uma organização, ao mesmo tempo que reforça significativamente a postura geral de segurança.

Além disso, a microssegmentação não depende de redes que mudam dinamicamente nem de seus requisitos comerciais ou técnicos, o que torna a microssegmentação mais robusta e confiável para a segurança de rede. Na verdade, ela é parte fundamental de uma estrutura de acesso à rede zero trust (ZTNA), que comprovadamente simplifica o controle de acesso.

Ela também é mais fácil de gerenciar — você pode proteger um segmento com apenas algumas políticas baseadas em identidade em vez de centenas de políticas de firewall baseadas em endereços.

Microssegmentação versus segmentação de rede

Embora os termos segmentação de rede e microssegmentação sejam muitas vezes usados de forma intercambiável, eles são conceitos completamente diferentes.

A segmentação de rede é melhor usada para o tráfego norte-sul (que entra e sai de uma rede). As organizações normalmente constroem segmentos de rede por meio de VLANs ou firewalls, com os segmentos (zonas) baseados na região geográfica ou nas camadas de rede existentes – dados, aplicativos ou rede. Com a segmentação de rede, uma entidade como um usuário é considerada confiável uma vez dentro de uma determinada zona.

A microssegmentação é melhor usada para tráfego leste-oeste (dentro do data center ou rede na nuvem – de servidor para servidor, de aplicativo para servidor, etc.). Simplificando, a segmentação de rede é como as paredes externas e o fosso de um castelo, enquanto a microssegmentação é como os guardas que protegem cada uma das portas internas do castelo.

Como a microssegmentação funciona

As soluções de microssegmentação criam zonas seguras que permitem às empresas isolar as cargas de trabalho ou máquinas virtuais (VMs) umas das outras e protegê-las individualmente. Elas são projetadas para permitir o particionamento granular do tráfego de rede para oferecer maior resistência aos ataques cibernéticos.

Em nosso mundo hiperconectado, a microssegmentação tornou-se central para qualquer estratégia de segurança moderna e eficaz. Com uma abordagem que inclui políticas de microssegmentação, as equipes de TI e segurança podem adaptar as configurações aos diferentes tipos de tráfego, criando controles que limitam os fluxos de rede e aplicativos entre cargas de trabalho para aquelas que são explicitamente permitidas.

Aplicar regras de segmentação no nível da carga de trabalho ou aplicativo permite que a TI reduza a superfície de ataque, diminuindo as chances de um invasor passar de uma carga de trabalho ou aplicativo comprometido para outro.

Casos de uso de microssegmentação

A microssegmentação é essencial para o sucesso de vários casos de uso empresariais comuns, incluindo:

  • Migração para a nuvem: a microssegmentação pode acelerar e simplificar a adoção da nuvem, oferecendo conectividade direta e segura para cargas de trabalho na nuvem e garantindo comunicações seguras de cargas de trabalho em toda a infraestrutura multinuvem.
  • Fusões e aquisições: a microssegmentação agiliza os esforços de integração após fusões e aquisições, oferecendo acesso a aplicativos entre redes sem conectá-las. Os administradores podem aplicar uma postura de segurança universal para proteger cargas de trabalho em várias VPCs, regiões e nuvens públicas.
  • Infraestrutura de desktop virtual: a microssegmentação ajuda a proteger a VDI fornecida a partir da infraestrutura na nuvem, permitindo a aplicação de políticas precisas de controle de acesso para sites e aplicativos privados explicitamente permitidos.
  • Segmentação de cargas de trabalho: a microsegmentação oferece às organizações controle granular sobre a conectividade para cargas de trabalho na nuvem localizadas em diferentes VPCs/VNets, regiões ou nuvens públicas.

A microssegmentação vai além da segmentação tradicional

A microssegmentação oferece uma abordagem dinâmica e sensível ao contexto para segurança de rede. Enquanto a segmentação de rede tradicional depende de regras de firewall estáticas baseadas em endereços IP, a microssegmentação concentra-se na camada de aplicação, na identidade do usuário e nos atributos do dispositivo. Como as políticas de microssegmentação não estão vinculadas a endereços IP específicos, elas são mais adaptáveis às redes modernas, seja em data centers locais ou em ambientes multinuvem.

A segmentação tradicional requer atualizações constantes de regras, enquanto a microssegmentação pode se ajustar dinamicamente às mudanças na configuração da rede, aos dispositivos e usuários móveis e às ameaças em evolução. Levando em conta o comportamento do usuário, o contexto do aplicativo e mais, a microssegmentação fornece uma estrutura de segurança mais robusta, flexível e eficaz para os ambientes de TI atuais.

Por que as abordagens de segmentação legadas não funcionam

As abordagens de segmentação baseadas no endereço de rede não conseguem identificar o que está se comunicando. Por exemplo, elas não conseguem constatar a identidade do software. Elas só conseguem informar como a comunicação está ocorrendo, seja pelo endereço IP, porta ou protocolo de onde a “solicitação” se originou. Isso significa que, desde que sejam consideradas “seguras”, as comunicações são permitidas, mesmo que as equipes de TI e segurança não saibam exatamente o que está tentando se comunicar.

Além disso, assim que a entidade estiver em uma “zona segura” na rede, será considerada confiável, o que pode resultar em violações e, em uma rede plana, na movimentação lateral.

Recursos e benefícios da microssegmentação

Alguns dos recursos e benefícios técnicos da microssegmentação incluem:

  • Controles e gerenciamento de segurança entre redes centralizados: como a microssegmentação gerencia o tráfego leste-oeste em vez do tráfego norte-sul, suas políticas se aplicam a qualquer tráfego que passe pelos segmentos que elas governam. E como as políticas são mais bem definidas, você obtém uma visibilidade muito maior das atividades da rede do que com a segmentação de rede.
  • Políticas de segmentação que se adaptam automaticamente: as políticas são aplicadas às cargas de trabalho, e não ao hardware, permanecendo intactas independentemente das alterações de infraestrutura. Isso significa que as equipes de segurança da TI podem estender um conjunto de controles para qualquer lugar, sem a necessidade de interromper as atividades.
  • Proteção sem falhas: as políticas de segurança abrangem nuvens privadas e públicas, contêineres, data centers locais, ambientes de nuvem híbrida e sistemas operacionais porque são específicas para as cargas de trabalho, não para o segmento da rede.
  • Auditorias simplificadas: como a microssegmentação identifica cada recurso de forma exclusiva, ela oferece uma visibilidade significativamente melhor do que outras abordagens, tornando as auditorias regulatórias muito mais rápidas e fáceis de conduzir.

Alguns fornecedores se concentram exclusivamente na microssegmentação. Em todos os casos, a solução deve oferecer suporte à necessidade crescente de “microssegmentação” baseada na identidade (a segmentação mais granular e definida por software, também chamada de segmentação de rede zero trust) do tráfego leste-oeste nos data centers.

Neil MacDonald e Tom Croll, Guia de mercado da Gartner para proteção de cargas de trabalho na nuvem, abril de 2020

Benefícios comerciais da microssegmentação

Rede proativa e segurança de TI

A microssegmentação remove os obstáculos de segurança comuns da segmentação tradicional, criando políticas baseadas no aplicativo que acompanham todos os aplicativos e serviços. Consequentemente, as possíveis violações de dados ficam contidas nos ativos afetados, não atingindo toda a rede. Os serviços de microssegmentação mais eficazes oferecem funcionalidades que aproveitam a automação para identificar todos os softwares de comunicação, recomendam políticas de zero trust e permitem aplicá-las com um clique.

Vulnerabilidade reduzida

Em vez de utilizar controles estáticos que dependem de endereços IP, portas e protocolos, as equipes podem identificar criptograficamente cada carga de trabalho, para fornecer proteção consistente às cargas de trabalho operando em um data center interno ou na nuvem. A identificação separa a segurança da carga de trabalho dos conceitos de endereço IP, para evitar problemas com controles baseados em IP.

Avaliação de riscos contínua

A microssegmentação permite quantificar a exposição aos riscos, medindo automaticamente a superfície de ataque visível da rede, para entender quantos caminhos possíveis de comunicação de aplicativos estão em uso. Alguns serviços até mesmo verificam as identidades dos softwares de comunicação cada vez que o software solicita uma comunicação, o que mitiga riscos, oferece suporte aos mandatos de conformidade regulatória e oferece relatórios de riscos visualizados.

Práticas recomendadas para uma microssegmentação bem-sucedida

Como obter esses benefícios? As especificidades serão diferentes dependendo do setor, obrigações regulatórias, entre outros, mas algumas práticas recomendadas gerais devem fazer parte de qualquer plano de microssegmentação bem-sucedido:

  • Crie políticas de acesso de privilégio mínimo detalhadas e granulares com base no reconhecimento em nível de aplicativo, nas identidades dos usuários e nos atributos do dispositivo, limitando o acesso aos recursos apenas ao que cada usuário ou entidade precisa para realizar seu trabalho.
  • Integre sistemas de gerenciamento de identidade e acesso (IAM) para garantir que suas políticas se alinhem às funções e permissões de usuário.
  • Implemente monitoramento e auditoria contínuos e em tempo real do tráfego de rede e aplicação de políticas para detectar anomalias ou violações de políticas.
  • Utilize ferramentas automatizadas para implantar e ajustar políticas em resposta a alterações na configuração da sua rede ou postura de segurança.
  • Realize auditorias de segurança e testes de penetração frequentese mantenha uma documentação completa para garantir que suas políticas permaneçam eficazes, além de oferecer suporte a relatórios de conformidade e solução de problemas.

Segmentação zero trust

Um modelo de segurança zero trust é baseado nos princípios da microssegmentação. As políticas são aplicadas às cargas de trabalho, não aos segmentos de rede, permitindo controlar granularmente o acesso a qualquer recurso em qualquer local se não for possível estabelecer contexto suficiente para qualquer conexão.

Por exemplo, com um modelo zero trust, especialmente um baseado na nuvem, uma empresa pode definir uma política que estabeleça que dispositivos médicos só podem se comunicar com outros dispositivos médicos. Se um dispositivo ou carga de trabalho fosse movido, as políticas de segurança e os atributos seriam movidos com ele em tempo real.

Muitos fornecedores de segurança na nuvem prometem um modelo zero trust baseado na nuvem que não podem cumprir. Apenas um fornecedor oferece segurança zero trust abrangente e nativa da nuvem que pode proteger sua rede, aplicativos e dados sigilosos das sofisticadas ameaças cibernéticas atuais.

Como a Zscaler pode ajudar

A Zscaler Workload Communications é a abordagem moderna para a proteção dos seus aplicativos e cargas de trabalho na nuvem. Com a conectividade de nuvem zero trust segura para cargas de trabalho, é possível eliminar a superfície de ataque da rede, impedir a movimentação lateral de ameaças, evitar o comprometimento de cargas de trabalho e prevenir a perda de dados sigilosos.

A Workload Communications usa a plataforma Zscaler Zero Trust Exchange™ para proteger cargas de trabalho na nuvem, permitindo que sua organização impeça acessos maliciosos com uma segurança explícita baseada em confiança que utiliza identidade, perfis de risco, localização e análises comportamentais.

A prevenção contra ameaças com inspeção de SSL profunda reforça ainda mais suas defesas cibernéticas. Com a proteção cibernética fornecida da nuvem, as políticas de segurança são fáceis de configurar, gerenciar e manter. Nunca foi tão fácil eliminar a superfície de ataque e adotar proteções zero trust eficazes.

Quer ver pessoalmente como a Zscaler Workload Communications funciona? Visite nossa página de produto para solicitar uma demonstração personalizada.

Recursos sugeridos

FAQs

O que é uma carga de trabalho?

Uma carga de trabalho é um processo, recurso ou grupo desses (por exemplo: comunicação, processamento, gerenciamento, execução) relacionado a um aplicativo e seu uso. Na nuvem, as cargas de trabalho também abrangem os próprios aplicativos. Compreender e gerenciar cargas de trabalho é fundamental para encontrar e resolver vulnerabilidades, proteger dados e pontos de acesso, implementar autenticação e criptografia e monitorar e mitigar possíveis ameaças.

Qual seria um exemplo de microssegmentação?

Como um exemplo simples de microssegmentação, suponha que uma empresa faça a microssegmentação de sua arquitetura de nuvem híbrida para isolar e proteger ativos críticos (por exemplo: bancos de dados, servidores, estações de trabalho). Cada segmento possui seus próprios controles de acesso, firewalls e sistemas de detecção de intrusão, limitando a movimentação lateral e reduzindo o raio de ação de uma violação. Um hacker que comprometesse o terminal de um usuário teria acesso apenas ao segmento desse terminal, e não a dados sigilosos ou infraestrutura crítica.

Quais são as desvantagens da microssegmentação?

A implementação e o gerenciamento da microssegmentação podem ser complexos, especialmente em redes grandes e dinâmicas. Além disso, a complexidade do roteamento e a inspeção de tráfego nos limites do segmento podem impactar o desempenho se a rede e a arquitetura de segurança não forem capazes de se expandir suficientemente. Para superar esses problemas, é crucial investir nas ferramentas certas e no fornecedor certo para suas cargas de trabalho e suas necessidades.

Por que precisamos de microssegmentação?

As organizações precisam da microssegmentação para proteger ativos críticos no complexo cenário digital atual. Microssegmentos isolados em uma rede mais ampla e infraestrutura de segurança oferecem controle granular sobre a comunicação entre segmentos de rede, ajudando a limitar a movimentação lateral, reduzir a superfície de ataque e manter as violações contidas. Com a proliferação do trabalho remoto, da IoT e da nuvem, a microssegmentação oferece controle e uma postura de segurança robusta onde a segurança tradicional baseada em perímetro é insuficiente.

Quem precisa segmentar redes ou ambientes?

A microssegmentação é especialmente importante para organizações que lidam com dados sigilosos, operam infraestruturas críticas ou estão sujeitas a regulamentações como HIPAA e GDPR, incluindo os setores de saúde, finanças, governo, comércio eletrônico e muitos outros. Mas organizações de qualquer tamanho, em qualquer setor , podem se beneficiar dela. A microssegmentação as ajuda a fortalecer a segurança, reforçar a integridade dos dados e minimizar o raio de ação das violações.

A microssegmentação reduz custos?

A microssegmentação pode ajudar as organizações a reduzir as despesas de capitais e operacionais. Tornar sua infraestrutura mais segura ajuda a evitar violações de dados e períodos de inatividade, evitando, em última análise, possíveis perdas financeiras associadas a incidentes de segurança. Além disso, isso pode agilizar o gerenciamento da rede, reduzir a necessidade de grandes investimentos em hardware e diminuir as despesas administrativas, resultando em economia de custos operacionais.

Por que uma microssegmentação bem-sucedida é essencial para o zero trust?

A microssegmentação eficaz permite aplicar o acesso granular de privilégio mínimo, um componente essencial de uma abordagem zero trust, limitando a possibilidade de movimentação lateral de ameaças e reduzindo a superfície geral de ataque. Como cada conexão deve ser verificada antes de ser autorizada, é muito mais difícil para invasores aumentarem seus privilégios. Essa abordagem está alinhada ao zero trust, fortalecendo a segurança de uma maneira que as defesas de perímetro tradicionais de “confiança presumida” simplesmente não foram criadas para fazer.

Qual é a diferença entre firewall e microssegmentação?

No nível mais alto, os firewalls são uma tecnologia de segurança de perímetro, enquanto a microssegmentação é uma estratégia de segurança interna. Os firewalls se concentram no controle do tráfego que entra ou sai de uma rede. A microssegmentação divide a rede em segmentos isolados e aplica políticas de segurança granulares, geralmente no nível da carga de trabalho ou aplicativo individual. A microssegmentação controla o tráfego entre esses segmentos, limitando a movimentação lateral e fornecendo controle refinado sobre o acesso aos recursos, especialmente em ambientes complexos e centrados na nuvem.