Barrar a comunicação entre os segmentos para que haja privilégio mínimo de acesso às informações é apenas um deles. Conheça os mais importantes e veja como proteger o cliente.
A possibilidade de dividir o Data Center em segmentos distintos até o nível de carga de trabalho individual, tendo como objetivo principal definir controles de segurança e fornecer serviços para cada segmento único é denominado como microssegmentação. Esta inovadora abordagem tecnológica restringe a capacidade de um hacker para mover-se lateralmente no servidor, mesmo depois que o perímetro tenha sido violado.
Para iniciar a microssegmentação, é preciso entender primeiramente que os princípios do Data Center Definido por Software (SDDC) incluem o isolamento e a segmentação, privilégio mínimo de acesso, ubiquidade e controle centralizado.
A fim de comparação, no tradicional Data Center definido pelo hardware, é construída uma rede de proteção que trabalha recursos de hardware em torno da limitação do tráfego direto através de caminhos de comunicação pré-determinados e de pontos de estancamento em segurança. Já o SDDC pode ser construído em hardware que simplesmente fornece conectividade física para a infraestrutura do centro de dados, liberando arquitetos de Data Center para construírem novas opções de segurança que se aproveitam do tráfego eficiente e simplificado que flui por todo o servidor.
Depois de explicadas as definições e comparações, chegou o momento de iniciar a micro-segmentação. São necessariamente 3 passos para o processo:
1 Determinar os fluxos de rede
É importante entender como o tráfego de rede flui para encontrar ineficiências nos fluxos ou vulnerabilidades de segurança que podem potencialmente ser exploradas e consertadas. A equipe de TI deve rever as regras de firewall existentes tanto no perímetro e percurso norte-sul quanto no de tráfego leste-oeste. Analisando as regras de firewall existentes é possível construir uma compreensão de como substituir o tráfego em U com switches lógicos e de roteamento, usando sobreposições de rede virtualizadas.
2 Identificar padrões e relacionamentos
As regras de firewalls de perímetro existentes, quando correlacionadas com os padrões de fluxo coletados a partir de ferramentas de monitoramento de fluxo, fornecem o conjunto inicial de políticas de segurança para o modelo de microssegmentação. Padrões de fluxo oferecem uma visão sobre as relações que existem dentro do Data Center. É possível ver, por exemplo, como cada uma de suas cargas de trabalho interage com serviços compartilhados de TI, outros aplicativos ou usuários, e em ambientes diferentes tais como a produção em relação desenvolvimento e testes. Compreender essas relações vai ajudar a definir microssegmentos apropriados e as regras que regem a interação entre eles.
3 Criar e aplicar um modelo de política de segurança
Para ativar um nível de unidade, é preciso criar um modelo de confiança zero na microssegmentação, começando com um modelo de política "padrão do bloco", onde não é permitido a comunicação entre as várias relações de carga de trabalho no Data Center. Em outras palavras, iniciar com cada porta e gaveta no banco bloqueado para suas próprias funções. Com base na análise dos padrões de fluxo de tráfego e relacionamentos, é possível definir políticas de segurança que gradualmente podem se abrir em canais de comunicação específicos entre cargas de trabalho, conforme necessário. Este é o método de melhores práticas para proteger o centro de dados com microssegmentação: eliminando o tráfego entre esses microssegmentos.
Esta política, depois de criada, porém, não deve ser engessada. Como a carga de trabalho e contextos de dados mudam o tempo todo, é preciso ajustar o modelo para se alinhar com as necessidades de segurança da empresa, a fim de fornecer constantemente os controles de proteção atuais e relevantes.
Escreva seu comentário