/
Segmentação Zero Trust

5 razões pelas quais sua equipe de firewall adorará a microssegmentação

Nunca vou esquecer um incidente que aconteceu no início do nosso histórico de clientes. Acabamos de concluir o treinamento com um grande cliente firewall equipes de arquitetura e implementação. Um dos principais administradores de firewall levantou a mão e disse: “Então, se eu entendi isso corretamente, nunca mais precisarei escrever uma regra de firewall”. Eu sorri e disse: “Isso mesmo”.

Seis meses depois, estávamos juntos no elevador e ele me disse com entusiasmo o quanto adorava a microssegmentação. Eu perguntei por que, e ele respondeu: “Você estava certo. Não escrevo mais ACLs e nossa política é muito mais rígida.”

Foi um ótimo momento, mas o simples fato é que a microssegmentação é ótima para equipes de operações de firewall. Aqui estão os cinco principais motivos.

  1. Chega de ACLs manuais. Conceitualmente, escrever regras de firewall é “fácil” — basta digitar as regras do que você quer que seja permitido e todo o resto será negado. É verdade em um alto nível de abstração, mas perto do trabalho, é uma simplificação excessiva significativa. Em um firewall tradicional, cada desejo de política deve ser traduzido da forma como os proprietários de aplicativos falam sobre seus sistemas para o idioma dos endereços IP, sub-redes e zonas. Com a microssegmentação, o ponto de imposição passa para a própria instância do aplicativo, o que significa que a segmentação não depende de nenhuma construção de rede para imposição. Quando acoplado a um poderoso Policy Compute Engine, o administrador pode escrever políticas em linguagem simples, “O servidor web se comunica com o servidor de aplicativos; que, por sua vez, fala com o banco de dados. Os servidores web nunca conversam entre si ou diretamente com o banco de dados”. Uma política simples pode ser transformada em uma base de regras aplicável sem que nenhum humano precise saber um endereço IP, sub-rede ou zona. A microsegmentação libera os administradores de firewall de escrever ACLs.
  2. Obtenha um modelo de política escalável. Embora os firewalls saiam da caixa com uma negação padrão na parte inferior da tabela de regras, eles rapidamente crescem e têm uma combinação complexa de declarações de permissão e negação. Esses misturados lista de negação e lista de permissões as políticas escalam mal porque a herança é limitada. Desde que as regras sejam declarações mistas de permissão e negação, a ordenação das regras é importante e isso limita a herança, que ordem uma política mesclada deve observar? A microsegmentação funciona de forma pura Confiança zero modelo. Como existem apenas declarações de permissão, a herança de políticas é fácil — tudo o que pode acontecer é que algo seja permitido mais de uma vez. Isso facilita a especificação de políticas em qualquer nível arbitrário de abstração. Um servidor específico pode herdar a política de uma política de todo o data center e de uma política para o ambiente de produção e bancos de dados em geral. Quando grandes partes da política se originam de modelos, o trabalho de redigir políticas simplifica e escala muito melhor.
  3. Saiba que a política está correta. Desenvolver uma política de firewall não é fácil. Todo o tráfego do aplicativo deve ser caracterizado até a porta e o protocolo. Essas informações geralmente estão fora das mãos das equipes de infraestrutura e segurança. Pior ainda, até mesmo a equipe do aplicativo geralmente não sabe, pois o aplicativo pode ter sido instalado por um fornecedor ou prestador de serviços que não está mais envolvido. A microsegmentação fornece uma rica mapa de dependência de aplicativos que toda a equipe possa entender. Como o mapa exibe apenas dados de aplicativos e não dispositivos de rede, as equipes de aplicativos e DevOps podem entender facilmente os fluxos que seu aplicativo gera e o que precisa ser protegido. A microssegmentação facilita a obtenção de um consenso sobre a proteção de aplicativos essenciais e fornece informações precisas à equipe de políticas.
  4. Saiba que a política é segura. Como você testa uma regra de firewall? Você não. Os firewalls não funcionam dessa forma — digitamos as regras e, se houver algum problema, o telefone toca. Em 2021, isso não é mais suficiente. Com um aplicativo totalmente novo, há espaço para idas e vindas com a equipe do aplicativo para colocá-lo em produção. Mas com os aplicativos existentes, qualquer erro na política de segmentação causa uma interrupção. A microsegmentação oferece uma maneira melhor. As políticas passam por um ciclo de vida que inclui discretos etapas de criação, teste e aplicação. Dessa forma, todos, desde o proprietário do aplicativo até as equipes de segurança e infraestrutura, podem validar se a política está “conforme projetada” e se abrange todas as comunicações necessárias. O mapa simples de dependências do aplicativo facilita saber se a política é segura e pode ser aplicada.
  5. Obtenha ajuda dos proprietários de aplicativos. Em todas as organizações, há muito mais pessoas na equipe de aplicativos do que na equipe de segurança. E se considerássemos o número de aplicativos versus o número de autores de políticas de segmentação, o contraste seria ainda maior. Dada essa disparidade, é sempre um desafio tentar ajudar cada equipe a entender o que a equipe de firewall precisa e obtê-lo em tempo hábil. A microsegmentação fornece visualizações e fluxo de trabalho projetados para proprietários de aplicativos para fazer parte do processo. Quando a equipe do aplicativo está envolvida no projeto de microssegmentação, é muito mais fácil apoiar as metas das equipes de segurança e infraestrutura para o aplicativo. Isso gera confiança e elimina o jogo da culpa quando todos podem ver como o aplicativo funciona e a interação da política de segmentação com esses fluxos. Os proprietários de aplicativos podem validar facilmente tanto os fluxos quanto a parte de aplicação da política, acelerando o progresso em direção à fiscalização.

A microssegmentação é ótima para administradores de firewall. Troque as regras manuais de firewall por uma política simples de linguagem natural que não exige nenhum conhecimento de rede. Obtenha um verdadeiro modelo de política Zero Trust que seja facilmente escalável com herança total. Todas as políticas de segmentação precisam estar corretas e completas. A microsegmentação torna esse um processo gráfico simples no qual os proprietários do aplicativo podem se envolver. Com eles do seu lado, o projeto de segmentação se torna mais rápido, fácil e agradável. A microsegmentação é a atualização que os administradores de firewall estavam esperando.

Tópicos relacionados

Artigos relacionados

Guia do CISO para a Conferência da RSA de 2022
Segmentação Zero Trust

Guia do CISO para a Conferência da RSA de 2022

Os eventos ao vivo estão de volta, o que significa que a Conferência da RSA deste ano será a maior e mais empolgante Conferência da RSA em alguns anos.

Anatomia de contêineres 101: O que é um cluster?
Segmentação Zero Trust

Anatomia de contêineres 101: O que é um cluster?

Do ponto de vista da rede, tanto o Kubernetes quanto o OpenShift criam construções lógicas e relevantes, em uma abordagem hierárquica. Aqui estão as definições que você precisa conhecer.

Obtenha 5 insights de Zero Trust de Shawn Kirk, da AWS
Segmentação Zero Trust

Obtenha 5 insights de Zero Trust de Shawn Kirk, da AWS

Saiba como a equipe da AWS de Shawn Kirk aborda as iniciativas de Zero Trust com os clientes da AWS, o modelo de responsabilidade compartilhada e a obtenção do ROI de segurança na nuvem.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?