As 8 principais práticas recomendadas de segmentação de rede em 2023
À medida que as empresas e organizações crescem e crescem, sua infraestrutura de rede também pode se tornar cada vez maior e complexa. O uso de uma estrutura de rede plana (todos os dispositivos conectados em um servidor) torna mais fácil para os cibercriminosos navegar livremente e sem impedimentos no sistema no caso de um ataque cibernético bem-sucedido. A implementação das melhores práticas de segmentação de rede pode limitar o escopo de um ataque, impedir a propagação de malware e interromper os movimentos laterais em seu ecossistema de TI.
No entanto, uma estratégia de segmentação de rede pode ser cara e difícil de implementar se as etapas adequadas não forem tomadas e não houver uma comunicação clara da equipe de gerenciamento. Este artigo discute as melhores práticas de segurança cibernética para fazer a transição para uma rede totalmente segmentada para que sua organização possa melhorar sua postura de segurança.
O que é segmentação de rede?
A segmentação de rede é uma prática de segurança de rede e estratégia de defesa em profundidade de dividir a rede principal em várias sub-redes menores para proteger melhor os dados confidenciais e limitar o movimento lateral ao restante da rede. Cada sub-rede ou "zona" individual representa uma camada adicional de segurança que tem seu próprio ponto de acesso, credenciais de login e proteção de firewall. Embora as redes planas tenham conectividade mais rápida e menos restrições, elas são muito menos seguras do que as redes segmentadas.
Existem três maneiras principais de segmentar uma rede, embora a maioria das políticas de segmentação normalmente use uma combinação de todas as três: segmentação de VLAN, segmentação de firewall e segmentação de SDN.
1. Segmentação VLAN (Virtual Local Area Networks)
A maioria das redes segmentadas usa VLANs para criar grupos menores de sub-redes ou sub-redes conectadas virtualmente no mesmo domínio de broadcast. As LANs compartilham a mesma rede física no mesmo local, mas as VLANs permitem que várias redes operem juntas em um grupo. Somente usuários dentro da mesma VLAN podem se comunicar entre si.
Cada sub-rede usa um endereço IP diferente de outras sub-redes, que são conectadas por dispositivos de rede. Para que os usuários em VLANs diferentes se comuniquem, eles devem rotear seus dados por meio de um dispositivo de camada 3 (geralmente um roteador ou um switch).
2. Segmentação de firewall
As organizações podem configurar firewalls entre cada camada de aplicativo para proteger cada zona interna de uma rede. Para passar de uma área funcional de uma rede para outra, todas as partes devem passar primeiro por um firewall. Os firewalls podem bloquear determinados tipos de tráfego com base nos controles de acesso definidos pela organização.
No entanto, usar apenas uma política de segmentação de firewall pode ter muitas desvantagens devido à complexidade das regras necessárias para segmentar as redes internas adequadamente. Qualquer configuração incorreta pode interromper totalmente um aplicativo, o que pode prejudicar um negócio. Também é caro implementar como o único processo de segmentação.
3. Segmentação SDN (Software-Defined Networking)
A segmentação SDN é uma forma de microssegmentação que usa software como uma API (interface de programação de aplicativos) para gerenciar uma rede em vez de dispositivos de hardware tradicionais. Os SDNs permitem que os administradores de rede configurem a rede em um local de controlador centralizado, que eles podem automatizar para monitorar o fluxo de tráfego.
Como os administradores podem desenvolver novas APIs para gerenciar o tráfego de dados, eles podem criar políticas para canalizar os dados por meio de um conjunto de firewalls. Teoricamente, esse pode ser um método extremamente seguro para segmentar uma rede. No entanto, a segmentação e automação de SDN é frequentemente vista como o método mais desafiador de implementar, pois muitos aplicativos geralmente não se encaixam em seu conjunto de regras.
Benefícios da segmentação de rede
Ao implementar uma política de segmentação de rede, uma organização pode:
- Controle a propagação de um ataque cibernético e limite os danos causados
- Melhor controle de acesso para segurança de rede interna e externa
- Melhore o fluxo de tráfego entre redes
- Monitoramento de tráfego de rede e detecção de ameaças mais fáceis
- Proteja melhor os dados confidenciais e os dispositivos de endpoint
- Servidores seguros baseados em nuvem
Segmentação de rede vs. microssegmentação
As políticas de segmentação de rede e microssegmentação devem ser implementadas quando se trata de segurança de rede. Enquanto a segmentação de rede se concentra em limitar o tráfego norte-sul entre diferentes redes ou VLANs, a microssegmentação fornece proteção leste-oeste dentro de uma rede. Isso significa restringir o acesso a todos os dispositivos, servidores e aplicativos que se comunicam entre si.
A segmentação de rede pode ser vista como uma política de segurança abrangente para toda a infraestrutura, enquanto a microssegmentação é uma abordagem mais detalhada e granular para o tráfego intra-rede. Mesmo que um agente de ameaça possa invadir uma rede, uma rede de computadores microssegmentada impedirá que ele se mova livremente dentro desse sistema.
As 8 melhores práticas de segmentação de rede
A implementação da segmentação de rede pode ser uma prática cara e demorada. Se feito incorretamente, pode exigir um investimento significativo para corrigir e reconstruir toda a arquitetura de rede, o que pode causar o colapso de organizações inteiras ou levar a mais riscos de segurança. Aqui estão as práticas recomendadas para segmentação de rede para que você possa proteger sua organização contra qualquer ataque de malware:
1. Monitore e audite continuamente as redes
Todos os processos de segmentação devem envolver monitoramento constante do tráfego de rede e do desempenho da rede para garantir que não haja lacunas ou vulnerabilidades na infraestrutura de rede. Avaliações regulares de risco de rede e testes de penetração são essenciais para identificar problemas de segurança que requerem atenção imediata.
As auditorias anuais de rede também são importantes porque permitem que as organizações reavaliem a eficácia de suas políticas de segurança atuais. Novos usuários, processos ou necessidades de negócios podem ter evoluído durante o ano, o que requer atualizações no plano de segmentação de rede.
Saiba mais sobre o monitoramento da superfície de ataque.
2. Evite segmentação excessiva ou insuficiente
Quando as organizações implementam a segmentação de rede, um erro comum é segmentar demais em muitas redes ou subsegmentar em poucas redes. As grandes redes corporativas geralmente assumem que segmentar o máximo possível cria o mais alto nível de segurança. Deve haver um equilíbrio entre ter recursos suficientes para controlar e monitorar várias redes sem afetar a produtividade dos funcionários.
A segmentação excessiva pode fazer com que os funcionários passem por vários pontos de acesso para obter acesso aos dados, criando ineficiências no fluxo de trabalho e restringindo o fluxo de tráfego. Também pode criar mais vulnerabilidades se cada sistema de rede não for gerenciado adequadamente. Quaisquer atualizações de segurança levariam muito mais tempo para serem implementadas em cada rede individual, o que também pode aumentar o risco de cometer erros.
A subsegmentação de uma rede também pode ser ineficaz se não houver separação suficiente entre cada sistema. Dividir uma rede em apenas duas ou três não forneceria o nível de segurança necessário para uma segmentação de rede adequada. Idealmente, existem redes suficientes para limitar a superfície de ataque o máximo possível.
3. Limite os pontos de acesso de terceiros
Além de proteger seus próprios pontos de acesso, toda organização precisa restringir e gerenciar seu risco de terceiros. Nem todos os fornecedores ou provedores terceirizados precisam de acesso total aos servidores da empresa para continuar operando em plena capacidade. As organizações devem permitir apenas o nível mínimo de acesso para que os fornecedores cumpram suas funções para evitar o impacto de uma possível violação de dados.
Mesmo uma rede segura pode ser infiltrada por terceiros comprometidos. Uma maneira de isolar o acesso de terceiros é criar portais exclusivos com controles de acesso personalizados para cada fornecedor. Além disso, verificações regulares de risco de terceiros também podem ajudar a evitar futuros vazamentos de dados.
Saiba mais sobre o gerenciamento de riscos do fornecedor.
4. Identifique e rotule os valores dos ativos
Antes de iniciar qualquer processo de segmentação de rede, as organizações devem fazer um balanço de seus ativos e atribuir valores a eles. Cada ativo, que pode incluir tudo, desde dispositivos IoT (internet das coisas) até bancos de dados, deve ser organizado por seu nível de importância e sensibilidade aos dados.
Separar itens de menor e maior valor, mantendo uma lista abrangente de ativos da empresa, permite uma transição e implementação mais fáceis de uma estratégia de segmentação de rede.
5. Combine recursos de rede semelhantes
>Uma vez documentado o inventário de ativos, o próximo passo é começar a agrupar recursos de rede semelhantes. Itens de menor segurança devem ser colocados na mesma rede, enquanto outros ativos de maior segurança devem ser colocados em outra. As organizações podem colocar protocolos de segurança aumentados em redes com dados mais críticos para proteger à medida que a arquitetura de rede começa a se formar.
Essa prática pode facilitar a criação e atualização de políticas de segurança para cada rede e identificar quais redes têm priorização em relação a outras. Também torna o monitoramento e a filtragem de rede muito mais acessíveis.
6. Implemente a segurança e a proteção de endpoints
Os ataques cibernéticos geralmente visam dispositivos de endpoint porque geralmente não são seguros e não têm proteção adequada. Um único dispositivo hackeado pode criar um ponto de entrada para hackers entrarem em toda a rede principal. A implementação de tecnologias como detecção e resposta de endpoint (EDR) permite que as organizações forneçam uma camada extra de segurança monitorando proativamente IOAs (indicadores de ataques) e IOCs (indicadores de comprometimento).
7. Siga o princípio do privilégio mínimo
Depois que a segmentação de rede for implementada, cada rede deve seguir o modelo de confiança zero e o princípio de privilégios mínimos. Essas práticas envolvem negar o acesso à rede em todos os níveis, o que exige que todas as partes dentro do perímetro da rede, internas e externas, forneçam autenticação e verificação antes de obter acesso a outras partes da rede.
Com a arquitetura de confiança zero (ZTA), os administradores de rede podem identificar rapidamente quaisquer agentes mal-intencionados ou partes não autorizadas que tentem se infiltrar nos sistemas. Somente usuários autorizados com as permissões corretas podem acessar os dados nessa rede específica.
Saiba mais sobre o princípio do privilégio mínimo.
8. Crie caminhos de dados legítimos mais fáceis
Ao segmentar uma rede, é importante considerar o caminho de dados de um usuário autorizado em comparação com os firewalls que protegem os dados. Um usuário legítimo ou terceiro não deve ter que passar por mais pontos de acesso do que os firewalls necessários para que os agentes mal-intencionados possam invadir. Certifique-se de que sua arquitetura de rede tenha mais proteções contra ameaças cibernéticas do que firewalls entre seus fornecedores e os dados que eles precisam acessar.