Zpedia 

/ O que é segmentação de rede?

O que é segmentação de rede?

A segmentação de rede é a divisão de uma rede em várias sub-redes, cada uma com seus próprios protocolos e políticas de segurança, para tentar impedir a movimentação lateral. É um dos meios mais utilizados para reduzir a superfície de ataque de uma rede e combater ataques cibernéticos.

Segmentação de rede versus microssegmentação

Antes de continuarmos, vamos diferenciar segmentação de rede de microssegmentação.

A segmentação de rede é mais adequada para o tráfego norte-sul, enquanto a microssegmentação adiciona uma camada de proteção para o tráfego leste-oeste (de servidor para servidor, aplicativo para servidor, web para servidor e assim por diante). Para fazermos uma analogia, a segmentação de rede funciona como as paredes externas e o fosso de um castelo, e a microssegmentação age como os guardas que protegem cada uma das portas em seu interior.

Por que usar segmentação de rede?

A segmentação de rede é uma defesa proativa, não reativa, oferecendo algumas vantagens importantes. A defesa reativa (realizar investigação e controle de danos somente após uma violação) geralmente é cara e, você ainda pode enfrentar perda de dados, problemas de conformidade e danos à reputação.

A defesa proativa (ou seja, prevenção) procura abordar possíveis riscos e vulnerabilidades antes que eles possam ser explorados. A segmentação de rede está entre as formas mais comuns de fazer isso hoje.

Tipos de segmentação de rede

Tradicionalmente, existem dois tipos básicos de segmentação de rede:

  • A segmentação física usa firewalls, cabeamento, switches e conexões de internet individuais para separar partes de uma rede de computadores. Esse é o tipo mais caro e menos dimensionável.
  • A segmentação virtual, também chamada de segmentação lógica, normalmente segmenta os fluxos de tráfego de rede usando redes locais virtuais (VLANs), que podem ser protegidas pelo mesmo firewall.

Casos de uso da segmentação de rede

Então, o que a segmentação de rede realmente faz? Resumindo, ela foi projetada para ajudar você a:

  • Interromper a movimentação lateral de ameaças externas: em uma rede segmentada, uma violação de dados em um segmento não representa uma ameaça imediata aos dados de outro segmento.
  • Interromper a movimentação lateral de ameaças internas: segmentar o acesso por necessidade comercial (por exemplo, tornar os dados financeiros inacessíveis ao RH) reduz o risco de ataques internos.
  • Separar redes internas e de convidados: manter os convidados em um segmento separado permite oferecer conectividade sem colocar em risco seus dispositivos e dados internos.
  • Proteger os dados com frequência e manter a conformidade: armazenar dados sigilosos em um segmento com acesso restrito vai protegê-los melhor e ajudará sua empresa a cumprir as regulamentações de dados.

 

Benefícios da segmentação de rede

Qualquer que seja o esquema utilizado por uma organização, uma rede segmentada tem algumas vantagens claras sobre uma rede plana, sem hierarquia ou sub-redes. Entre elas:

  • Segurança cibernética mais forte para dados sigilosos: este benefício abrange prevenção contra violações (movimentação norte-sul), controle de acesso mais rígido e controles de segurança específicos para cada segmento.
  • Conformidade regulatória mais fácil: limitar quem pode acessar determinados dados e para onde eles fluem simplifica a conformidade e as auditorias de regulamentações como PCI DSS e GDPR.
  • Análise de risco e controle de danos mais simples: quando os cibercriminosos não conseguem circular livremente por toda a rede, é mais fácil identificar as técnicas e pontos fracos em sua postura de segurança.
  • Terminais e usuários mais seguros: isso ocorre em ambos os sentidos; os usuários finais e os terminais ficam mais seguros quando as ameaças não podem se espalhar facilmente entre os segmentos, e os próprios segmentos ficam mais seguros contra ameaças que começam nos terminais.
  • Congestionamento de rede reduzido: a atividade em um segmento não irá estrangular outra parte da rede. Por exemplo, os clientes que usam Wi-Fi para convidados não retardarão as transações com cartão de crédito.

Práticas recomendadas de segmentação de rede

Para implementar e manter uma segmentação de rede eficaz, aqui estão cinco práticas recomendadas de segmentação de rede:

1. Não segmentar demais

A segmentação excessiva pode diminuir a visibilidade geral da rede e dificultar o gerenciamento, mas a subsegmentação mantém a superfície de ataque ampla e prejudica sua postura de segurança.

2. Realizar auditorias frequentes

A segmentação de rede só melhorará a segurança de sua rede se você auditar continuamente seus segmentos em busca de vulnerabilidades, permissões restritas e atualizações. Se você sabe que não há falhas exploráveis na sua cobertura, você estará um passo à frente dos hackers.

3. Seguir o princípio de privilégio mínimo

Ao aplicar o princípio de privilégio mínimo em todos os seus segmentos, você garante aos seus usuários, administradores de rede e equipe de segurança que o acesso só será concedido quando necessário. O acesso de privilégio mínimo é fundamental para o acesso à rede zero trust.

4. Limitar o acesso de terceiros

Conceder acesso a terceiros já é arriscado, por isso é importante fazê-lo apenas onde for necessário, especialmente se você estiver concedendo-o a vários segmentos. Considerar cuidadosamente novas permissões é fundamental para manter uma boa postura de segurança de rede.

5. Automatizar onde puder

Além dos benefícios da automação em geral (como melhor visibilidade, segurança e MTTR), automatizar a segmentação de rede permite identificar e classificar rapidamente novos ativos e dados, o que, por si só, é outra prática recomendada de segmentação.

 

Desvantagens da segmentação de rede

Nas atuais arquiteturas de rede complexas, distribuídas em vários ambientes de nuvem e data centers, os antigos modelos de segmentação (baseados em firewalls, VLANs e perímetros de rede) apresentam algumas deficiências importantes.

Os firewalls tradicionais têm uma falha importante que se opõe diretamente à segmentação: eles criam redes planas que permitem a fácil movimentação lateral. Tentar compensar isso é incrivelmente oneroso e complexo do ponto de vista operacional. Mesmo os firewalls de nova geração ainda colocam usuários em sua rede para acessar aplicativos, e as VLANs têm a mesma deficiência.

Uma abordagem tradicional deixa você lidando com:

  • Confiança excessiva: como a segmentação tradicional baseada em firewall é projetada para impedir ataques externos, ela pode deixá-lo vulnerável a ameaças internas.
  • Configurações incorretas: as VLANs são fáceis de configurar incorretamente nas arquiteturas atuais, especialmente se você usa provedores de nuvem terceirizados e não pode alterar a infraestrutura sozinho.
  • Gerenciamento intensivo de trabalho: cada novo aplicativo, dispositivo ou mudança significa atualizar as regras do firewall, e até mesmo atividades rotineiras, como verificação de vulnerabilidades, exigem mais recursos.
  • Controles complexos: os métodos tradicionais carecem de controles refinados, o que torna complicado definir políticas de segmentação para trabalhadores remotos, parceiros, clientes e assim por diante.
  • Problemas de dimensionamento: para lidar com o crescimento da rede, é necessário criar segmentos menores ou atualizar os existentes, resultando em custos mais elevados de escala e manutenção.
  • Baixo desempenho: adicionar mais dispositivos de rede (por exemplo, firewalls, roteadores) tem um efeito negativo agravado no desempenho geral da rede.

Image

ZTNA: uma maneira melhor de segmentar

À medida que você confia cada vez mais na capacidade de dimencionamento, flexibilidade e alcance da nuvem, muitas estratégias de segurança de rede puras (como a segmentação tradicional) tornam-se impraticáveis. Em vez disso, você precisa de um modelo que remova sua rede interna, com todos os seus riscos e complexidades, da equação.

O acesso à rede zero trust (ZTNA) é uma estrutura baseada na noção de que nenhum usuário ou dispositivo é inerentemente confiável. Em vez disso, as políticas de acesso baseiam-se no princípio de privilégio mínimo, com base na identidade e no contexto, como dispositivo, localização, aplicativo e conteúdo.

O ZTNA conecta de maneira individual os usuários diretamente aos aplicativos, nunca à rede, eliminando a movimentação lateral. Isso permite alcançar a segmentação de uma forma fundamentalmente diferente e mais eficaz, o que é impossível com VPNs e firewalls legados.

Saiba mais sobre o estado do mercado de ZTNA, recomendações e tendências no Guia de Mercado da Gartner® para Acesso à Rede Zero Trust.

Vantagens do ZTNA sobre a segmentação tradicional

Em comparação com a segmentação tradicional, o ZTNA:

  • Fornece acesso preciso, adaptável e com reconhecimento de identidade, sem acesso à rede. Elimina a confiança implícita, substituindo-a pela confiança explícita baseada em identidade.
  • Não requer conexão de rede, portanto, seus aplicativos internos (e endereços IP) nunca ficam expostos à internet, reduzindo a superfície de ataque e o risco.
  • Fornece segmentação em nível de usuário para aplicativo por meio de políticas de acesso granulares aplicadas na nuvem, em vez de exigir que você configure políticas de acesso e regras de firewall.
  • Melhora a flexibilidade, agilidade e capacidade de dimensionamento, ao mesmo tempo que reduz a necessidade de firewalls internos. O ZTNA pode ser fornecido como um serviço na nuvem ou como um software gerenciado localmente.
  • Oferece acesso seguro a aplicativos para dispositivos não gerenciados e parceiros externos, mantendo os usuários fora da rede, minimizando o risco de proliferação de malware.

Image

Zscaler e segmentação de rede

Zscaler Private Access™ é a plataforma de ZTNA mais implantada do mundo. Aplicando os princípios de privilégio mínimo, ele oferece aos seus usuários conectividade direta e segura aos seus aplicativos privados, sem colocá-los na sua rede.

Esteja você no estágio de planejamento ou executando um modelo de segmentação tradicional já ultrapassado, podemos ajudar você a alcançar uma segmentação madura com o ZTNA. Veja como começar:

  1. Substitua suas VPNs e firewalls pelo Zscaler Private Access para reduzir sua superfície de ataque e eliminar movimentações laterais com a segmentação de usuário para aplicativo.
  2. Implemente a segmentação de aplicativo para aplicativo para levar o ZTNA às suas cargas de trabalho e aplicativos na nuvem em ambientes híbridos e multinuvem.
  3. Por último, implemente a microssegmentação de processo a processo/baseada na identidade para comunicação dentro de uma nuvem.
promotional background

Forneça acesso granular e segmentado a aplicativos e cargas de trabalho distribuídos com o Zscaler Private Access.

Recursos sugeridos

Guia de mercado da Gartner para acesso à rede zero trust
Leia o guia
O que é o acesso à rede zero trust?
Leia o artigo
Guia do arquiteto de rede para adotar um serviço de ZTNA
Leia o white paper
Traga o poder do ZTNA às suas instalações
Saiba mais
01 / 02
Perguntas frequentes