/
Segmentação Zero Trust

Guia de um arquiteto para implantar a microssegmentação: cinco lugares para “se apoiar”

Na Illumio, vimos que alguns dos mais bem-sucedidos microsegmentação as implantações resultam de uma visão clara das considerações de design, do processo e da equipe necessária com antecedência. Mais informações levam a implantações mais fáceis, e é por isso que documentei as lições aprendidas e as melhores práticas comprovadas ao trabalhar em centenas de implantações de clientes para ajudá-lo em sua jornada de microssegmentação.

Para uma rápida retrospectiva, aqui está onde você pode encontrar:

  • Parte 1, que discute as implicações de alterar seu modelo de segurança (ou seja, implantar a microssegmentação em vez de continuar com os firewalls tradicionais de leste a oeste).
  • Parte 2, que explora a estrutura de equipe recomendada para implantações ideais de microssegmentação.
  • Parte 3, onde examinamos os pontos de verificação específicos a serem observados durante o processo de implantação para evitar possíveis obstáculos.

Percorremos um longo caminho e aqui levaremos essa discussão um passo adiante.

Toda organização tem barreiras não oficiais e oficiais ao implantar uma nova tecnologia ou adotar uma nova abordagem para proteger sua organização. Cada membro da equipe responsável internalizou o que é aceitável que eles façam e quando precisam de alguma aprovação, “cobertura aérea” ou permissão para agir. Se a equipe não o tiver, o progresso será interrompido e é muito fácil perder uma semana ou mais se os horários de viagem atrasarem as reuniões internas necessárias para resolver os problemas.

Em minha experiência, há cinco lugares em que o patrocinador executivo ou delegado de confiança (conforme discutido na parte 2 desta série) pode “se apoiar” e acelerar o projeto com uma decisão, que descrevi abaixo.

Cada um desses também é o ponto em que algo pode dar errado com consequências reais. A equipe naturalmente ficará avessa ao risco nesses momentos e ficará grata quando, depois de apresentar seus preparativos e precauções, for instruída a seguir em frente e fazer o que é planejado. Eles também são pontos no plano de implantação que a equipe de gerenciamento provavelmente receberá telefonemas, e-mails ou visitas da equipe do projeto para pedir ajuda, aprovação ou orientação, por isso é importante entender com antecedência para evitar atrasos óbvios posteriormente.

Cinco lugares para “se apoiar”

1. Permissão para instalar agentes de microsegmentação em massa

A equipe de servidor/OPS terá sensibilidade neste momento, mesmo após testes e validações completos. Muitas vezes, é útil ter um “push” ou uma consulta executiva para garantir que isso aconteça e que todas as notificações e processos corretos tenham sido seguidos.

2. Aprovando (e exigindo) a saída dos modos somente de monitor e lidando com quebras

Quando os agentes são movidos para o modo de criação de políticas, eles assumem o controle total do firewall do sistema operacional ou instalam o seu próprio. Embora seja extremamente improvável, dados os testes e a validação que terão ocorrido, ainda existe a possibilidade remota de afetar uma carga de trabalho. Em algum momento, a equipe precisará de liderança para seguir em frente e corrigir o que der errado em vez de analisar indefinidamente. Espere que seu fornecedor tenha orientação sobre como tornar isso o mais fácil possível.

3. Aprovação das diretrizes políticas iniciais e das regras resultantes

Conforme discutido acima, a definição inicial da política é uma meta importante para a equipe. Eles precisam saber se isso é correto e aceitável para que todos possam correr em direção a ele. Também será um ponto de encontro para o líder técnico evitar desvios no escopo do projeto. Psicologicamente, a maioria dos administradores de segurança está acostumada a programar em conjuntos de regras que foram minuciosamente examinados por um processo existente. Escrever o primeiro conjunto de regras provavelmente não usará esse processo, e ter uma política inicial definida e aprovada oferece cobertura aérea e conforto para que todos possam operar.

4. Garantir que o fluxo de trabalho e o processo internos sejam criados corretamente

Antes de entrar no ambiente PROD, é importante garantir que a equipe tenha coordenado com todas as pessoas, processos, aprovadores e partes interessadas certos. A surpresa é muito ruim quando os riscos são altos. É bom inspecionar o processo cuidadosamente e garantir que a equipe não tenha perdido ninguém ou nenhum colega executivo que precise saber.

5. Aprovando (e exigindo) uma mudança para a aplicação de políticas e lidando com as quebras

Semanas de implementação e teste cuidadosos da política inicial de microssegmentação farão com que a equipe se sinta confiante sobre a mudança para a aplicação da política. Na fiscalização, a microssegmentação bloqueará todo o tráfego que não seja expressamente permitido. Isso é “um grande passo”. É por isso que muitas organizações compraram a microssegmentação e, muitas vezes, os auditores inspecionam os resultados. Em um grande projeto, é quase certo que algo será perdido, desconhecido ou não explicado. Nos dias ou semanas seguintes, algo será bloqueado e chamadas telefônicas serão feitas.

Isso é verdade com firewalls de hardware e com microssegmentação. Em algum momento do projeto, o patrocinador executivo saberá que todos os preparativos razoáveis foram feitos. Nesse ponto, a equipe precisará e desejará aprovação para prosseguir. Sem liderança e comunicação claras, a organização tenderá a se inclinar para a segurança de se mover para o lado, em vez do risco controlado de seguir em frente. A decisão executiva correta motivará o progresso e comunicará claramente a prioridade de seguir em frente.


Você pode evitar essas (e outras) armadilhas planejando cada instância com antecedência e se preparando adequadamente. Conforme mencionado acima, a transparência está no centro de toda essa discussão.

Na quinta e última parte desta série, explorarei a melhor forma de gerenciar seu relacionamento com o fornecedor e como manter a integridade operacional. Para saber mais, leia meu guia abrangente sobre o Medium hoje: https://medium.com/@nathanael.iversen/executive-guide-to-deploying-micro-segmentation-60391e7d1e30

Tópicos relacionados

Artigos relacionados

4 principais insights do guia de mercado da Gartner® de 2023 para microssegmentação
Segmentação Zero Trust

4 principais insights do guia de mercado da Gartner® de 2023 para microssegmentação

Obtenha informações do Guia de Mercado do Gartner sobre a implementação da microssegmentação, também chamada de Segmentação Zero Trust (ZTS), para proteger ambientes híbridos, interromper o movimento lateral e criar Zero Trust.

O que você precisa para distribuir uma política de confiança zero
Segmentação Zero Trust

O que você precisa para distribuir uma política de confiança zero

Nesta série, discutimos a descoberta de políticas e a criação de políticas até agora. Depois de implementar uma política, você precisa calculá-la, transformá-la em regras e distribuí-la aos pontos de fiscalização.

Onde a segmentação Zero Trust se encaixa no novo modelo de maturidade Zero Trust da CISA?
Segmentação Zero Trust

Onde a segmentação Zero Trust se encaixa no novo modelo de maturidade Zero Trust da CISA?

Saiba como o Modelo de Maturidade Zero Trust atualizado da CISA ajudará as agências federais a atingirem melhor seus objetivos de resiliência cibernética.

Nenhum item encontrado.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?