fbpx

Você sabe o que é microssegmentação e seus benefícios?

Data centers se tornaram cofres dos bancos virtuais do século 21. Isso porque armazenam Informações confidenciais corporativas, financeiras e pessoais em sistemas de data center, e estes valem milhões para os cibercriminosos de hoje. Embora a dependência nesses sistemas tenha crescido consideravelmente ao longo das últimas décadas, a base subjacente para fornecer segurança avançada a esses sistemas permanece relativamente inalterada: um forte foco na segurança de perímetro externo com pouca (ou nenhuma) atenção voltada para neutralizar ameaças dentro do data center.

O grande problema desse método de segurança é que após o perímetro ser violado, os ataques irão se propagar lateralmente, de servidor a servidor no interior do data center, praticamente sem controles de segurança no local para impedi-los de espalhar, coletar, extrair e explorar os dados vulneráveis.

Esse tipo de cenário esta presente nos mais importantes data centers modernos onde são aplicados um enorme esforço e tecnologia para proteger o perímetro do data center, mas o mesmo nível de segurança não existe em seu interior.

 

CICLO DE VIDA DE UM ATAQUE AO DATA CENTER

Os ataques cibernéticos de hoje exploram uma vulnerabilidade fundamental que existe em projetos de data centers modernos: A existência de pouco ou nenhum controle de segurança no interior do perímetro do data center. Existem alguns modelos de segurança como o Lockheed Martin Cyber Kill Chain*, que fornecem um quadro simples para a compreensão do processo sistemático utilizado por cibercriminosos para violar um perímetro de data center. Uma vez em seu interior, um invasor depende muito da capacidade de mover-se lateralmente, de servidor a servidor, a fim de expandir a superfície de ataque e alcançar os objetivos do ataque.

 

Infelizmente, esses modelos refletem uma realidade sombria: Uma enorme e desproporcionada quantidade de esforços e de recursos tem sido aplicada para evitar uma violação no primeiro lugar, protegendo o perímetro do data center  (que corresponde às três primeiras etapas na figura acima). Após atacar um recurso interno, um invasor pode explorar as vulnerabilidades, instalar malware, estabelecer uma infraestrutura de comando e controle e mover-se lateralmente pelos sistemas em todo o data center com relativa facilidade.

APRENDENDO SOBRE MICROSSEGMENTAÇÃO

A segmentação é um princípio fundamental de segurança de informações que tem sido aplicada ao projeto de data center durante décadas. Em seu nível mais básico, a segmentação ocorre entre duas ou mais redes, tal como uma rede interna (o data center) e uma rede externa (a Internet) com um firewall implantado no perímetro entre as diferentes redes.

A microssegmentação permite que as organizações dividam logicamente o data center em segmentos de segurança distintos até o nível de carga de trabalho individual, definam os controles de segurança e forneçam serviços para cada segmento único. Isso restringe a capacidade de um invasor se mover lateralmente no data center, mesmo depois de o perímetro ter sido violado, parecido com os cofres bancários que protegem os objetos de valor dos clientes do banco.

MICROSSEGMENTAÇÃO VS MOVIMENTO LATERAL NO INTERIOR DO DATA CENTER

Vimos que os ataques modernos exploram fraquezas inerentes às estratégias tradicionais de segurança focada somente no perímetro de rede. A microssegmentação da rede do data center restringe o movimento lateral não autorizado. Firewalls tradicionais de filtro de pacote e os mais avançados implementam controles como “pontos de obstrução” físicos ou virtuais na rede. Quando o tráfego e uma aplicação passam por esses pontos de controle, seus pacotes são bloqueados ou permitidos com base nas regras configuradas.

CRESCIMENTO DO TRÁFEGO LESTE-OESTE NO INTERIOR DO DATA CENTER

Estamos vivenciando um aumento gigantesco de aplicativos em infraestruturas de servidores multicamadas e as comunicações leste-oeste (servidor a servidor) representam agora mais tráfego de data center do que comunicações cliente-servidor.  Hoje ambientes internos de data center representam 80% de todo tráfego de rede. Geralmente esses tipos de estruturas são implementadas com pouco ou nenhum controle de segurança que restrinja as comunicações entre camadas e, cada vez mais, aproveitam a conectividade de Ethernet de 10 Gbps para obter throughput e desempenho ideais.

VISIBILIDADE E CONTEXTO

O crescimento do tráfego servidor-servidor no interior do data center e o aumento da virtualização de servidores são duas tendências que contribuíram para uma alarmante falta de visibilidade e contexto no data center. A maior parte das comunicações de servidor-servidor não passam por um firewall e, portanto, não são inspecionadas. Para todos os efeitos, esse tráfego é invisível para os equipamentos de segurança de rede.

O que se pode fazer é usar um “hypervisor de rede” posicionado exclusivamente para ver todo o tráfego no data center até o nível de cargas de trabalho individuais (VMs). Esse nível de visibilidade e de contexto permite a microssegmentação baseada em atributos exclusivos para cada carga de trabalho, tais como o sistema operacional, nível de patch, serviços em execução e muitas outras propriedades. Essa capacidade, por sua vez, permite que decisões mais inteligentes sobre políticas de rede e segurança possam ser definidas com uma compreensão da finalidade específica de cada carga de trabalho individual no data center.

ISOLAMENTO

O isolamento é um princípio importante na segurança de rede, seja por questão de conformidade, contenção ou simplesmente para manter os ambientes de desenvolvimento, de teste e de produção separados. Qualquer rede virtual isolada pode ser composta por cargas de trabalho distribuídas em qualquer lugar no data center e as cargas de trabalho na mesma rede virtual podem residir em hosts virtualizados. Além disso, as cargas de trabalho em várias redes virtuais isoladas podem residir no mesmo hypervisor.

O isolamento entre redes permitem o uso de endereços IP sobrepostos. Dessa forma, é possível, por exemplo, ter redes virtuais isoladas para desenvolvimento, teste e produção, cada uma com versão diferente, mas com os mesmos endereços IP, todas operando ao mesmo tempo e na mesma infraestrutura física. As redes virtuais também são isoladas da infraestrutura física subjacente. Como o tráfego entre diferentes hosts é encapsulado, os dispositivos de rede física funcionam em espaços de endereço completamente diferentes das cargas de trabalho conectadas às redes virtuais.

SEGMENTAÇÃO

A segmentação está relacionada ao isolamento, geralmente decorrente da comunicação entre camadas de uma mesma aplicação. Tradicionalmente, a segmentação de rede é realizada com um firewall físico ou roteador que permite ou nega o tráfego entre camadas ou segmentos de rede; por exemplo, entre uma camada Web, camada lógica de negócio (aplicação) e camada de banco de dados.

A segmentação é importante para a construção da politica de segurança. Ela permite que as organizações definam diferentes níveis de confiança para diferentes segmentos de rede e reduz a superfície de ataque, impedindo que o invasor viole as defesas de perímetro.

O QUE NÃO É MICROSSEGMENTAÇÃO

Primeiro, a microssegmentação e, mais especificamente, os serviços de rede e segurança de uma plataforma de virtualização de redes, não é um substituto de firewalls de hardware implantados no perímetro do data center. A capacidade de desempenho das plataformas de firewall de hardware é projetada para controlar o fluxo de tráfego e para centenas ou milhares de sessões simultâneas de carga de trabalho do data center.

COMO OBTER A MICROSSEGMENTAÇÃO

Seja projetando um novo data center com arquitetura definida por software (SDDC, Software‐Defined Data Center) ou adicionando recursos de SDDC à um data center existente com arquitetura definida por hardware, a plataforma de virtualização de redes permite que os arquitetos da empresa criem uma infraestrutura otimizada para segurança e desempenho através da microssegmentação.

Os princípios de design de um SDDC com microssegmentação incluem:

  • Isolamento e segmentação
  • Nível de confiança/menor privilégio
  • Ubiquidade e controle centralizado

A microssegmentação transforma consideravelmente a segurança da rede dentro do perímetro do data center ao conter e bloquear a propagação lateral de ameaças a outros servidores. A virtualização de redes torna a microssegmentação no data center definido por software uma realidade e permite que as empresas inovem rapidamente para obter vantagem competitiva, mantendo a segurança onipresente e persistente no data center. Hoje esse tipo de segurança se torna necessário para o novo cenário de rede de computadores. Pesquisas mostram que de dez data centers oito utilizam a virtualização em seus serviços. Para quem quiser saber mais sobre o assunto deixaremos algumas referencias para estudos.

REFERÊNCIAS

http://cio.com.br/tecnologia/2015/12/02/quais-as-vantagens-da-microssegmentacao-para-a-seguranca-do-data-center/

http://blogbrasil.westcon.com/o-que-e-micro-segmentacao

ebook: Microssegmentação para leigos VMware

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Rolar para cima