0
0
A microssegmentação é uma prática recomendada de segurança emergente que oferece uma série de vantagens sobre abordagens mais estabelecidas, como segmentação de rede e segmentação de aplicativos. A granularidade adicional que a microssegmentação oferece é essencial em um momento em que muitas organizações estão adotando serviços em nuvem e novas opções de implantação, como contêineres, que tornam a segurança de perímetro tradicional menos relevante.
A visualização da infraestrutura desempenha um papel essencial no desenvolvimento de uma estratégia de microssegmentação sólida. Quando bem feita, a visualização torna as atividades aprovadas e não aprovadas no ambiente mais fáceis para as equipes de TI identificarem e entenderem.
Essa visibilidade adicional permite que as equipes de TI definam e ajustem as políticas de microssegmentação que podem alertar e bloquear atividades não sancionadas. As políticas de microssegmentação podem assumir muitas formas, incluindo controles baseados no tipo de ambiente, escopo regulatório, aplicativo e camada de infraestrutura. A microssegmentação também torna possível aplicar o princípio do menor privilégio de forma mais ampla em data centers e ambientes de nuvem, fornecendo uma postura de defesa mais eficaz do que os controles tradicionais de camada de rede sozinhos.
É importante selecionar uma abordagem de microssegmentação que funcione de forma consistente entre os provedores de nuvem. Ao desvincular a segurança do provedor de infraestrutura em nuvem, as organizações podem evitar que a dependência do fornecedor aumente os custos e evitar complexidade desnecessária quando fusões e aquisições criam ambientes de nuvem mistos.
Ao comparar fornecedores de microssegmentação, tenha em mente os elementos diferenciadores que separam as soluções decentes da tecnologia verdadeiramente superior – com recursos como criação de política flexível e recursos complementares, como detecção de violação. Isso facilitará seu processo de implementação e ajudará você a ver mais facilmente ganhos rápidos desde o início.
Ao implementar a microssegmentação, é importante selecionar uma abordagem preparada para o futuro que possa ser aplicada a modelos de implantação emergentes, como contêineres, além de instâncias de nuvem padrão, máquinas virtuais e servidores bare-metal.
A microssegmentação é um conceito novo para muitos, mas está se tornando uma ferramenta cada vez mais importante para as equipes de TI com o desafio de manter as políticas de segurança e conformidade em sintonia com a rápida taxa de mudança nos ambientes dinâmicos de data center, nuvem e nuvem híbrida de hoje.
Segmentação de aplicativos
Conforme o uso da nuvem se expande e o ritmo de implementações e atualizações de aplicativos acelera, muitas equipes de segurança estão aumentando seu foco na segmentação de aplicativos. Existem várias abordagens para a segmentação de aplicativos, o que pode levar à confusão conforme as equipes de segurança comparam as técnicas tradicionais de segmentação de aplicativos com as abordagens mais recentes, como a microssegmentação.
A segmentação de aplicativos geralmente inclui uma combinação de segmentação intra-aplicativo e isolamento de clusters de aplicativos do restante da infraestrutura de TI. Ambas as técnicas fornecem valor de segurança de maneiras diferentes. No entanto, as abordagens tradicionais de segmentação de aplicativos dependem principalmente dos controles da Camada 4, que estão se tornando menos eficazes e mais difíceis de gerenciar à medida que os ambientes e os processos de implantação de aplicativos se tornam mais dinâmicos.
As tecnologias de microssegmentação oferecem às equipes de segurança uma abordagem mais eficaz à segmentação de aplicativos, fornecendo uma representação visual detalhada do ambiente, junto com um conjunto mais granular de controles de política. As tecnologias de microssegmentação mais eficazes adotam uma abordagem centrada no aplicativo que se estende até a Camada 7. A visibilidade e o controle no nível de processo individual tornam a segmentação de aplicativos mais eficaz e fácil de gerenciar. A atividade sancionada pode ser controlada por políticas altamente específicas que não são afetadas por falsificação de endereço IP ou tentativas de executar ataques em portas permitidas.
À medida que os ambientes de nuvem híbrida e os processos de DevOps em rápida movimentação se tornam a norma, a segmentação de aplicativos é mais importante – e mais desafiadora – do que nunca. O uso da microssegmentação centrada em aplicativos para realizar a segmentação de aplicativos garante que a visibilidade da segurança e os controles de política acompanhem as mudanças rápidas no ambiente e nos aplicativos executados nele.
Princípios básicos de aplicação de políticas para sua política de estratégia de microssegmentação
A aplicação de políticas de rede é o conjunto de regras que você coloca em seu ambiente de TI para garantir o controle sobre o acesso e a comunicação. Isso pode ser tão simples quanto manter a produção e o desenvolvimento separados um do outro para evitar erros humanos. Regras de aplicação de políticas mais específicas podem ajudar com as necessidades de conformidade, como manter seu CDE isolado para que o resto de sua rede permaneça fora do escopo para conformidade com PCI DSS.
Os mecanismos de política do data center têm sido tradicionalmente inflexíveis, contando com abordagens estritas, tudo ou nada, ou listas de negação globais sem a capacidade de formar exceções. À medida que as cargas de trabalho se tornam cada vez mais dinâmicas e mais e mais empresas estão adotando a nuvem híbrida – mecanismos de política flexíveis são essenciais. Isso permite escalonamento automático, políticas que seguem as cargas de trabalho e a criação de políticas que não dependem da plataforma.
O processo de criação de políticas começa com uma forte consciência de seus objetivos de negócios e segurança. Há um equilíbrio a ser encontrado com a política de microssegmentação. Muito forte, e você pode acabar com um ambiente inflexível que torna difícil para a equipe trabalhar livremente e com autonomia. Muito fraco, e você fica com uma superfície de ataque perigosamente grande.
Acessar um mapa em tempo real completo de seu ambiente de TI pode fornecer uma visão de como e onde a política de segmentação deve ser colocada. Escolher uma solução que pode aplicar a política até a Camada 7, e não a Camada 4 tradicional, pode oferecer benefícios de segurança ainda maiores. Mesmo se seu perímetro for violado, as políticas corretas em vigor podem parar ou desviar um invasor, que não poderá fazer movimentos laterais em sua rede.
Microssegmentação e descoberta de aplicativos – ganhando contexto para uma ação precisa
A infraestrutura e as técnicas usadas para entregar os aplicativos estão passando por uma transformação significativa, o que torna mais desafiador do que nunca para as equipes de TI e segurança manter a consciência pontual e histórica de todas as atividades dos aplicativos. Alcançar a melhor proteção de segurança, postura de conformidade e níveis de desempenho de aplicativo possíveis só é possível por meio de um processo de descoberta de aplicativos que abrange todos os ambientes de uma organização e tecnologias de entrega de aplicativos.
Um processo de descoberta de aplicativo eficaz inclui quatro elementos essenciais. O primeiro elemento é a coleta de dados. Uma variedade de técnicas baseadas em agente e rede podem ser usadas para coletar informações detalhadas sobre a atividade do aplicativo em ambientes locais e em nuvem. Ambos fornecem um valor significativo, mas a coleta baseada em agente é particularmente crítica, pois permite a coleta de detalhes mais ricos da Camada 7.
Os dados brutos por si só têm valor limitado sem contexto, portanto, o segundo elemento-chave da descoberta do aplicativo é a organização e a rotulagem. Soluções como o GuardiCore Centra agilizam esse processo fazendo interface com fontes de dados existentes e empregando outros métodos de automação.
A terceira etapa para a descoberta de aplicativos eficaz é a visualização. A visualização reúne os dados contextualizados em uma interface visual adaptável que é relevante para a equipe de segurança e outras partes interessadas do aplicativo. As visualizações em tempo real e históricas da atividade do aplicativo servem a propósitos distintos, portanto, é importante implementar uma abordagem de visualização que possa suportar os dois tipos de dados.
O quarto e último elemento crítico de uma abordagem de descoberta de aplicativo é um método claro e intuitivo de ação com base nos insights obtidos por meio de maior visibilidade do aplicativo. Este é o ponto estratégico de intersecção entre a descoberta de aplicativos e a microssegmentação.
Benefícios da Micro-Segmentação
À medida que a infraestrutura de TI se torna mais dinâmica e novas abordagens de implantação, como infraestrutura em nuvem e contêineres, assumem funções mais proeminentes, o valor da segurança tradicional com foco no perímetro diminui muito. Em vez disso, há uma necessidade crescente de que as equipes de TI aprimorem sua capacidade de detectar e evitar movimentos laterais entre data centers heterogêneos e ativos de nuvem. A microssegmentação com granularidade da Camada 7 oferece vários benefícios importantes para as organizações que enfrentam esse desafio.
A implementação da microssegmentação reduz bastante a superfície de ataque em ambientes com um conjunto diversificado de modelos de implantação e uma alta taxa de mudança. Mesmo que os processos de desenvolvimento e implantação de aplicativos no estilo DevOps tragam mudanças frequentes, uma plataforma de microssegmentação pode fornecer visibilidade contínua e garantir que as políticas de segurança acompanhem o ritmo à medida que os aplicativos são adicionados e atualizados.
Mesmo com medidas proativas em vigor para reduzir a superfície de ataque, violações ocasionais são inevitáveis. Felizmente, a microssegmentação também melhora significativamente a capacidade das organizações de detectar e conter violações rapidamente. Isso inclui a capacidade de gerar alertas em tempo real quando as violações de política são detectadas e bloquear ativamente as tentativas de usar ativos comprometidos como pontos de partida para movimento lateral.
Outro benefício importante da microssegmentação é que ela ajuda as organizações a fortalecer sua postura de conformidade regulatória, mesmo quando elas começam a usar os serviços em nuvem de forma mais ampla. Os segmentos da infraestrutura que contêm dados regulamentados podem ser isolados, o uso compatível pode ser aplicado com rigidez e as auditorias são bastante simplificadas.
Os benefícios da microssegmentação são maximizados quando a abordagem é integrada à infraestrutura mais ampla de uma organização, como ferramentas de orquestração. Também é essencial selecionar uma abordagem de microssegmentação que funcione em servidores físicos, máquinas virtuais e vários provedores de nuvem para máxima eficácia e flexibilidade.
Segurança de movimento lateral
Embora as equipes de segurança de TI geralmente dediquem atenção significativa à proteção do perímetro, o tráfego leste-oeste está superando o tráfego norte-sul em volume e importância estratégica. Isso é impulsionado por fatores como mudanças nas abordagens de dimensionamento do data center, novas necessidades de análise de big data e uso crescente de serviços em nuvem com um perímetro menos definido. É mais importante do que nunca para as equipes de segurança de TI desenvolverem seus recursos para evitar movimentos laterais nesses tipos de ambientes.
O movimento lateral é o conjunto de etapas que os invasores que ganharam uma posição em um ambiente confiável realizam para expandir seu nível de acesso, mover para ativos confiáveis adicionais e avançar ainda mais na direção de seu alvo final. É difícil de detectar, pois geralmente se mistura com o grande volume de tráfego leste-oeste legítimo semelhante no ambiente.
As organizações podem começar a abordar esse problema usando ferramentas de teste, incluindo a ferramenta gratuita Infection Monkey da Guardicore. Isso ajudará a identificar e corrigir as deficiências existentes.
Existem também técnicas mais sofisticadas que as organizações podem implementar para melhorar a segurança do movimento lateral. Por exemplo, o Guardicore Centra pode fornecer visibilidade contínua e histórica de todo o tráfego leste-oeste e capacitar as equipes de TI a usar esse insight para criar políticas proativas para evitar o movimento lateral.
O Centra também oferece recursos adicionais que podem ajudar as equipes de segurança de TI a detectar e conter o movimento lateral, incluindo:
Ações de bloqueio e alertas com base em dados de reputação da Rede de Sensores Globais GuardiCore (GSSN) .
Redirecionando tentativas fracassadas de movimento lateral para um mecanismo de engano de alta interação que registra o comportamento do invasor para análise posterior.
Reduzir a superfície de ataque
Embora a mudança de data centers locais tradicionais para modelos de nuvem e nuvem híbrida tenha desbloqueado muitos novos benefícios de negócios, ela também aumentou significativamente o tamanho da superfície de ataque que as equipes de segurança devem defender. Esse desafio é agravado pelo ritmo acelerado das mudanças na infraestrutura e pelos modelos de implantação de aplicativos mais dinâmicos que muitas organizações estão adotando.
Embora muitas técnicas existentes de redução da superfície de ataque, como proteção do sistema, gerenciamento de vulnerabilidade, controles de acesso e segmentação de rede, permaneçam relevantes à medida que o uso de plataformas em nuvem aumenta, as equipes de segurança que buscam reduzir a superfície de ataque podem se beneficiar de maior visibilidade e controles de política mais granulares que podem ser aplicado de forma consistente do data center à nuvem.
Visualizar a superfície de ataque em detalhes torna muito mais prático desenvolver estratégias para reduzir seu tamanho. Uma representação visual detalhada de todos os aplicativos e suas dependências, junto com a infraestrutura subjacente que os suporta, torna mais fácil para as equipes de segurança avaliar seu nível de exposição e descobrir indicadores de comprometimento.
Esses insights podem então ser usados para desenvolver políticas de microssegmentação que governam a atividade do aplicativo com granularidade no nível do processo. Esse nível de controle torna possível alinhar as políticas de segurança com a lógica do aplicativo e implementar ambientes de confiança zero nos quais apenas a atividade do aplicativo sancionada pode ser executada com êxito.
À medida que a transição para os modelos de nuvem híbrida avança, é fácil para as organizações ignorar até que ponto essa mudança aumenta o tamanho de sua superfície de ataque. Novos ambientes físicos, plataformas e métodos de implantação de aplicativos criam muitas novas áreas de exposição potencial. Para reduzir efetivamente a superfície de ataque em ambientes de nuvem híbrida, uma solução de microssegmentação deve aplicar políticas consistentemente em ambientes distintos de data center e nuvem e uma combinação de sistemas operacionais e modelos de implantação.
Aplicativos críticos seguros
As equipes de segurança da informação de hoje enfrentam duas tendências principais que tornam mais desafiador do que nunca proteger aplicativos essenciais. A primeira é que a infraestrutura de TI está evoluindo rápida e continuamente. A segunda é que os invasores estão ficando mais direcionados e sofisticados com o tempo.
Implementar uma abordagem de microssegmentação sólida é uma das melhores etapas que as equipes de segurança podem realizar para obter maior visibilidade da infraestrutura e proteger aplicativos essenciais, pois:
- Oferece granularidade no nível do processo que alinha as políticas de segurança com a lógica do aplicativo
- Permite que políticas de segurança sejam implementadas de forma consistente do data center para a nuvem
- Oferece segurança consistente em diferentes plataformas subjacentes
Esse poder e flexibilidade são úteis para qualquer organização, considerando a melhor forma de proteger destinos de alto valor, como controladores de domínio, sistemas de gerenciamento de acesso privilegiado e servidores de salto. Também é inestimável à medida que as organizações adotam serviços em nuvem e novas abordagens de implantação de aplicativos, como contêineres.
A microssegmentação também pode desempenhar um papel importante na proteção de aplicativos específicos verticais essenciais, incluindo aplicativos de saúde contendo informações de saúde protegidas (PHI), aplicativos de serviços financeiros que estão sujeitos a PCI DSS e outros regulamentos, aplicativos legais com implicações de confidencialidade do cliente e muitos outras. A granularidade de política adicional que a microssegmentação fornece torna mais fácil criar limites de segurança em torno de dados confidenciais ou regulamentados, mesmo quando abrangem vários ambientes e plataformas. A visibilidade adicional que a microssegmentação fornece também é extremamente valiosa durante o processo de auditoria regulatória.
Embora a evolução da infraestrutura de TI crie novos desafios para as equipes de segurança, separar a visibilidade de segurança e os controles de política da infraestrutura subjacente garante que os aplicativos críticos possam ser protegidos de forma eficaz em ambientes heterogêneos com uma alta taxa de mudança.
Métodos de microssegmentação
A microssegmentação é um recurso essencial para organizações com a tarefa de proteger a infraestrutura de TI em nuvem, e data center em rápida evolução. No entanto, o poder e a flexibilidade que a microssegmentação oferece podem tornar um desafio identificar a combinação ideal de técnicas de microssegmentação para começar. A consideração inicial dos métodos de microssegmentação usados com frequência pode ajudar as organizações a projetar uma abordagem em fases que se alinhe com seus requisitos exclusivos de segurança e conformidade.
Muitas organizações estão familiarizadas com o uso de VLANs e outras formas de segmentação de rede . Enquanto a segmentação de rede oferece valor de segurança, a microssegmentação oferece muito mais granularidade de controle e é muito mais eficiente para implantar e gerenciar em escala. A microssegmentação também é muito mais prática para se estender além do data center para a infraestrutura em nuvem do que as VLANs.
Um bom primeiro passo no desenvolvimento de políticas de microssegmentação é identificar aplicativos e serviços no ambiente que requerem amplo acesso a muitos recursos. Sistemas de gerenciamento de log, ferramentas de monitoramento e controladores de domínio são alguns exemplos. Esses tipos de sistemas podem ter amplo acesso, mas as políticas de microssegmentação podem ser usadas para impor seu uso apenas para fins sancionados.
Existem vários outros métodos que as organizações podem usar ao projetar sua abordagem de microssegmentação, incluindo:
- Microssegmentação por ambiente
- Criação de limites regulatórios
- Microssegmentação por tipo de aplicativo
- Microssegmentação por camada
A melhor maneira para as organizações começarem com a microssegmentação é identificar os métodos que melhor se alinham com seus objetivos de segurança e política, começar com políticas focadas e, gradualmente, colocar em camadas técnicas de microssegmentação adicionais ao longo do tempo por meio de iteração passo a passo.
Operacionalizando a microssegmentação para começar
A microssegmentação é claramente o caminho a seguir na proteção de redes. Não é apenas a resposta para o perímetro em erosão, mas também é eficaz em termos de custo e mão de obra. Mas uma implantação de microssegmentação bem-sucedida não pode ser combinada – ela requer uma previsão deliberada e detalhada para fazer tudo certo – da primeira vez.
Há algumas coisas que você precisa considerar cuidadosamente para estabelecer a base para uma implantação de microssegmentação bem-sucedida.
Inicialmente, você precisa entender o que precisa ser segmentado. Sua implantação de microssegmentação refletirá suas necessidades – portanto, determine se você está segmentando para redução de risco geral ou por motivos de conformidade. Em seguida, enfrente os objetivos de curto prazo e, em seguida, lide com os objetivos de longo prazo, tendo uma linha de base de microssegmentação protegendo seus ativos.
Depois de concluído, obtenha uma imagem completa do ambiente, mas saiba que a imagem inicial está incompleta. Você pode (e deve) adicionar mais à medida que aprende mais sobre suas conexões. Saiba que a rotulagem adequada dos ativos é crítica. Além disso, a flexibilidade no processo de etiquetagem é fundamental, pois as etiquetas precisam refletir o ambiente o mais fielmente possível. Por último, identifique suas fontes de informação e planeje uma maneira de extrair informações delas.
Essas etapas garantirão que você esteja no caminho para uma implantação de microssegmentação sólida e frutífera que terá sucesso.
Práticas recomendadas de segurança de microssegmentação
O aumento de data centers de nuvem híbrida, SaaS e IaaS e virtualização levou a uma infraestrutura de TI complexa que é difícil de proteger. Em resposta, a microssegmentação está se tornando rapidamente a melhor prática de segurança para empresas que trabalham nesses tipos de ambientes dinâmicos. O valor que essa tecnologia oferece é variado, desde segmentação de zona até isolamento de aplicativo ou restrição de serviço.
Um ponto importante a considerar é se deve escolher uma abordagem que seja centrada na rede ou centrada no aplicativo. Enquanto uma abordagem centrada na rede gerencia o tráfego por pontos de estrangulamento da rede, controles de terceiros ou aplicação da rede, uma abordagem centrada no aplicativo implanta agentes em a própria carga de trabalho. A última abordagem oferece vantagens como melhor visibilidade, maior oportunidade de escala e é uma tecnologia totalmente independente de infraestrutura. Para estar pronta para o futuro, a escolha certa fornecerá cobertura para qualquer ambiente, desde sistemas legados, servidores bare metal e ambientes virtualizados até contêineres e nuvem pública.
A visibilidade incomparável que você ganha com um modelo centrado em aplicativos é o que garantirá que você não caia na armadilha mais comum quando se trata de microssegmentação – supersegmentar seus aplicativos. A melhor prática é começar com o que chamamos de ‘vitórias antecipadas’. Elas terão necessidades comerciais óbvias em seu núcleo e serão políticas de segmentação simples que podem ser implementadas e criar valor imediato. Os exemplos podem ser tão simples como separar ambientes, como produção e desenvolvimento, ou atender aos regulamentos de conformidade, protegendo dados ou aplicativos críticos.
Por último, a prática recomendada envolve olhar fora da microssegmentação sozinha para ver onde os controles complementares podem fortalecer sua postura de segurança geral. A detecção de violação e a resposta a incidentes são dois ótimos exemplos que podem funcionar perfeitamente com a microssegmentação e são poderosos para utilizar em um pacote tudo-em-um. Sem isso, sua empresa fica tentando forçar as soluções de terceiros a funcionarem em harmonia, sem lacunas ou aumento de risco – uma tarefa realmente difícil e um aborrecimento administrativo que você não precisa se contentar.
Pensar nessas práticas recomendadas de microssegmentação no início do seu projeto pode aliviar a carga de implementação dessa tecnologia revolucionária, garantindo que os obstáculos comuns sejam resolvidos desde o início.
Impacto na conformidade
Quando se trata de cumprir a conformidade regulatória, as empresas estão lutando com o ambiente cada vez mais dinâmico em que trabalhamos hoje. À medida que os próprios regulamentos ficam mais rígidos, as auditorias de segurança estão se tornando mais comuns e as consequências mais graves para o não cumprimento. Isso inclui multas, danos à reputação da empresa e até mesmo perda de receita até que a conformidade seja alcançada.
A segregação física da infraestrutura de TI não é mais suficiente. As cargas de trabalho tornaram-se dinâmicas e o CDE não é estático, incluindo camadas que permitem o escalonamento automático ou mudanças imprevisíveis. Redes e aplicativos que estão no escopo das regulamentações PCI DSS são complexos. Eles podem abranger várias máquinas, incluir ambientes híbridos como contêineres e VMs e até mesmo trabalhar em vários locais físicos ou fusos horários.
A microssegmentação está se tornando uma escolha popular para atender às regulamentações de conformidade, como PCI DSS. A solução certa pode fornecer visibilidade incomparável do tráfego e dos fluxos de dados em toda a sua infraestrutura, incluindo ambientes híbridos. Ele pode então ajudá-lo a segmentar sua rede, reduzindo o escopo e limitando a comunicação no nível do processo. Isso pode manter seu CDE protegido, mesmo de movimentos laterais ou pivôs, se ocorrer uma violação. Um mecanismo de política flexível para criar regras garantirá que você tenha controle total sobre sua abordagem de microssegmentação, atendendo a requisitos mais profundos, como permissões e comportamento para protocolos inseguros.
Para conformidade com PCI e muito mais, a microssegmentação pode permitir que você ganhe visibilidade poderosa de todos os aplicativos e cargas de trabalho no nível do processo, crie políticas flexíveis que se aprofundam para atender às regulamentações de conformidade e as impõe para controlar uma postura geral de segurança que o deixa pronto para qualquer auditoria.
FONTE: GUARDICORE