Imagine que um atacante ganhe acesso à sua rede. Uma vez lá dentro, ele poderá se mover lateralmente e acessar todos os seus dados, certo? Não se você utilizar a segmentação de rede.

A segmentação é uma abordagem de arquitetura de rede que divide a rede em segmentos ou sub-redes. Organizações utilizam a segmentação de rede para melhorar a performance, otimizar o monitoramento, identificar com mais facilidade problemas técnicos e, claro, para aumentar a segurança.

A abordagem permite criar uma camada extra de proteção para que, uma vez dentro da sua rede, um atacante não possa acessar todos os seus dados ou os seus dados mais sensíveis, como dados de clientes, registros financeiros da empresa, propriedade intelectual, entre outros.

Para entender melhor como a segmentação de rede atenua o risco de acesso não autorizado, é preciso primeiro falar do pressuposto de confiança.

Trust assumption — o que é a presunção de confiança?

Anteriormente, ao pensar na proteção da rede de uma empresa, os arquitetos de segurança consideravam o perímetro da rede para definir suas medidas. Esse perímetro seria como uma bolha invisível que separava tudo que estava dentro da rede do que estava do lado de fora.

Em outras palavras, havia uma presunção de confiança de que todos os usuários dentro dessa bolha eram confiáveis e poderiam ter acesso a todas as informações que circulam dentro dela.

No entanto, grandes vazamentos evidenciaram um problema que essa abordagem deixava de lado: os ataques internos. Funcionários da empresa também podem ser a origem de falhas de segurança, intencionalmente ou não. Em 2014, um ataque ao Ebay, site de compra e venda estadunidense, teve origem na falsificação das credenciais de três funcionários da empresa.

O que evitou que as perdas fossem maiores para o Ebay foi justamente a segmentação de rede. A empresa também é dona do PayPal, um sistema de pagamentos conhecido em todo mundo, mas guardava os dados de pagamento criptografados e em lugares diferentes dos dados de identificação do usuário.

Zero trust security e o princípio do menor privilégio

Vazamentos como o do Ebay evidenciaram a necessidade de segmentar ainda mais a rede e deram origem ao modelo de Confiança Zero, ou Zero Trust. Ao contrário da presunção de confiança, o Zero Trust assume que ninguém, dentro ou fora da rede, é confiável por padrão.

Essa abordagem trabalha em cima do princípio do menor privilégio, que diz que os funcionários ou visitantes na rede da empresa só devem ter acesso às ferramentas e dados que sejam estritamente necessários aos seus trabalhos. E é aqui que a segmentação de rede entra.

Em vez de ter que proteger uma grande bolha contra tudo que está dentro dela, a segmentação cria “mini-bolhas” dentro da rede da empresa, gerando uma camada extra de proteção. Os dados mais críticos, por exemplo, podem ser alocados dentro de uma mini-bolha própria, a qual somente funcionários que precisam dessas informações para executar suas atividades tenham acesso.

Isso reduz as chances de um ataque hacker ter acesso, já que não basta apenas conseguir furar as barreiras externas e entrar na rede — uma vez lá dentro, ele não conseguirá se mover lateralmente para ter acesso a todos os dados da organização.

Como a segmentação de rede é usada?

Existem muitas formas de aplicar a segmentação de rede na sua arquitetura.

  • VLANs ou Sub-redes: a primeira forma de aplicar a segmentação é utilizando Virtual local area networks (VLANs) para criar segmentos de rede menores com todos os hosts conectados virtualmente uns aos outros como se estivessem na mesma LAN. Já as sub-redes usam endereços IP para particionar uma rede em sub-redes menores, conectadas por dispositivos físicos;
  • Segmentação por Firewall: também é possível realizar a segmentação por firewalls, que são colocados em limites dentro da rede para criar zonas de acesso. Para passar de uma zona à outra, é necessário passar pelo firewall. É uma ótima opção para segmentar áreas da empresa, como o Recursos Humanos da área de Engenharia;
  • Segmentação com SDN: a rede definida por software, ou Software-Defined Network (SDN), também é outra forma de aplicar a segmentação. Essa abordagem garante maior automação e programação da rede por meio de controladores centralizados que são abstraídos do hardware físico da rede.

Benefícios da segmentação de rede

Na prática, a segmentação de rede se traduz nos seguintes benefícios:

  • Maior visibilidade: um firewall dá a uma organização visibilidade de qualquer tráfego que passa por ele. Quanto mais segmentada a rede de uma organização, maior será a visibilidade que ela terá do tráfego da rede interna.
  • Defesa em profundidade: as defesas de perímetro de uma organização ajudam a detectar e bloquear uma série de ameaças de entrar na rede, mas eles não podem pegar tudo. Adicionar vários limites de rede entre ativos críticos e o mundo externo fornece oportunidades adicionais para detectar e responder a uma intrusão;
  • Controle de acesso aprimorado: os firewalls que implementam a segmentação de rede podem impor políticas de controle de acesso. Isso permite que uma organização restrinja o acesso à rede com base no princípio do menor privilégio;
  • Movimento lateral restrito: os cibercriminosos normalmente comprometem as estações de trabalho dos usuários e precisam se mover pela rede para acessar sistemas críticos e atingir seus objetivos. A segmentação da rede torna isso mais difícil de alcançar e aumenta sua probabilidade de detecção conforme eles tentam cruzar os limites do segmento;
  • Gerenciamento de ameaças internas: as defesas baseadas em perímetro podem ser eficazes na detecção de ameaças externas, mas são cegas para usuários internos mal-intencionados. A segmentação de rede interna fornece visibilidade e detecção de ameaças para funcionários mal-intencionados e contas comprometidas.
  • Melhor desempenho da rede: a segmentação da rede divide a intranet de uma organização em segmentos distintos com funções definidas. Isso diminui o congestionamento da rede e melhora o desempenho;
  • Proteção de sistemas críticos: alguns sistemas, como sistemas de controle industrial, têm requisitos de disponibilidade muito altos, tornando-os difíceis de atualizar e proteger contra ameaças cibernéticas. As melhores práticas de segurança para esses sistemas incluem colocá-los em segmentos de rede isolados para minimizar sua exposição a ameaças potenciais;
  • Isolando sistemas não confiáveis: muitas organizações têm redes públicas de convidados e o uso crescente de dispositivos corporativos de Internet das Coisas (IoT) introduz uma série de dispositivos inseguros e não confiáveis ​​nas redes corporativas. Isolar esses dispositivos em um segmento de rede separado é uma prática recomendada de segurança IoT e limita a ameaça que eles representam para o resultado da rede corporativa.

Agora que você sabe como a segmentação de rede atua para reduzir o risco de acesso não autorizado, entre em contato conosco e veja como podemos ajudá-lo a aplicar essa abordagem na sua arquitetura!