Utilizando apenas software, a microssegmentação possibilita isolar tanto ativos de hardware como aplicações e cargas de trabalho
Por Fernando Ceolin*
O que sugere a você um grande número de empresas atacadas? Falta de segurança? Mas como, se em geral se trata de grandes empresas, bem estruturadas inclusive do ponto de vista de sistemas de TI? A resposta está no modelo de segurança ainda hoje dominante, que concentra investimentos na proteção de perímetro. Este modelo está hoje em cheque. E diante da sofisticação cada vez maior dos métodos de ataque, aumenta o número de organizações que partem do princípio de que já foram atacadas. E, assim, adotando como melhor estratégia a de paralisar o atacante e impedir a sua ação.
Se o próprio conceito de perímetro hoje, com a popularidade da nuvem, está em questão, deve ser irrelevante, para uma estratégia eficaz de segurança, a forma com que a empresa decidiu fazer o rollout de sua infraestrutura ou de suas aplicações. Seja on premises on na nuvem, o importante é, em primeiro lugar, a organização contar com visibilidade que permita enxergar a exposição de seus ativos de TI, impedindo o acesso a eles a qualquer pessoa — ou robô — não autorizada. E deve ser irrelevante também a origem do ataque, externo à rede da empresa ou interno.
Zero Trust
O tema microssegmentação já é conhecido no mercado há algum tempo. A Forrester, que lançou a ideia de Zero Trust (que reza que não se deve confiar em nenhuma entidade, estando dentro ou fora o perímetro da rede corporativa), considera a microssegmentação um dos sistemas mais eficientes para se chegar isso — uma proteção granular, de confiança zero. Mas avisa que é muito difícil chegar ao zero trust de maneira eficiente, embora teoricamente seja possível fazer a microssegmentação usando as ferramentas dos próprios sistemas operacionais o que, na prática, se mostra bastante complicado. Tenho exemplos de clientes com projetos de microssegmentação durando um ano e meio, sem conseguir completá-lo.
Com as ferramentas tradicionais não é possível a realizar a microssegmentação. Por quê? Se você tiver numa aplicação quatro ou cinco máquinas que estão, por exemplo, dentro do mesmo segmento de rede, esse tráfego não passa por nenhum controle. Os firewalls não oferecem visibilidade, e não conseguem fazer esse controle. Com a microssegmentação, se houver duas máquinas dentro do mesmo segmento de rede, no mesmo switch, uma ao lado da outra, haverá visibilidade e controle desse tráfego em nível de processo.
É possível controlar cada aplicação, e quem pode utilizá-la, quem pode falar com quem, em cada processo.
Ataques externos, internos e laterais
Quando falamos da movimentação lateral, sabemos que o firewall não consegue contê-la. Imagine a situação em que o atacante ganhou acesso a uma máquina. Esse atacante não vem necessariamente de fora. São muitos os casos de ataques internos. Muitas vezes a empresa coloca uma série de proteções de perímetro — e não consegue ver o que o atacante interno está fazendo. Isso porque os controles atuais não são capazes de visualizar o que circula entre máquinas.
Utilizando apenas software, a microssegmentação possibilita isolar tanto ativos de hardware como aplicações e cargas de trabalho, restringindo e controlando as comunicações entre eles. Neste cenário, é indiferente de onde o ataque vem, se de dentro ou de fora de casa. É possível, por exemplo, blindar o funcionamento do data center de uma forma que, mesmo que o atacante consiga acesso a um determinado servidor, ele não consiga se movimentar para outra máquina, ainda que no mesmo segmento de rede, no mesmo barramento, porque o controle é muito granular.
Flexibilidade do modelo
A microssegmentação é puramente software. Assim, a equipe de TI da empresa é livre para levar a sua infraestrutura para onde ache mais interessante. Assim como pode, se preferir colocar a sua solução de microssegmentação em sua nuvem privada ou na nuvem pública. Para que a proteção seja efetiva, ela deve estar presente onde quer que estejam os ativos da empresa.
E contar com um bom gerenciamento — que pode ser do time interno da empresa ou terceirizado para parceiros qualificados. Quando falo de equipes profissionais e de parceiros qualificados, não estou falando da necessidade de conhecimentos sofisticados para operar as ferramentas. Pelo contrário, a boa ferramenta deve ser simples, visual, de modo que mesmo um executivo da empresa, alguém da área de negócios, possa olhar e entender o que está acontecendo.
*Fernando Ceolin é diretor de Vendas e Engenharia para o Brasil e Latam da Guardicore.
