Guia de um arquiteto para implantar a microsegmentação: implicações da alteração do modelo de segurança
Um arquiteto ou gerente de projeto de uma implantação de microssegmentação se beneficia de uma visão clara dos resultados desejados e de como a implantação realmente afetará sua organização. Ao mesmo tempo, fornecer esses insights geralmente exige o apoio de outros membros da equipe, alguns dos quais podem nem mesmo se enquadrar na área de TI. O que um arquiteto ou gerente de projeto precisa saber sobre implantações de microssegmentação para desenvolver um novo projeto, mantê-lo em dia e alcançar os melhores resultados?
Esta série explorará essas mesmas questões e examinará os principais insights que colocarão sua equipe em um alinhamento ideal para oferecer os resultados que você espera e precisa entregar à empresa, com base na experiência de trabalhar em centenas de implantações de microssegmentação.
Em parte 1, discutirei as implicações de alterar seu modelo de segurança. A mudança para uma solução de microssegmentação altera o modelo de rede/perímetro existente de várias maneiras importantes, descritas abaixo. Cada uma dessas modificações possibilita alguns dos benefícios que tornaram a microssegmentação atraente em primeiro lugar, e cada uma dessas modificações tem implicações para a empresa.
O ponto de imposição passa da rede para o host
Tradicionalmente, a segurança é colocada em pontos de estrangulamento perimetrais, seja na borda de uma VLAN, no ambiente PROD ou na Internet. Nesse modelo, há pouca interação direta com as equipes de aplicativos, operações do servidor ou automação. A mudança na fiscalização baseada em host significa que:
- A combinação de sistemas operacionais e o suporte de agentes são importantes
- A disponibilidade e a consistência das ferramentas de automação e administração afetarão a forma como a implantação do agente acontece e a rapidez
- Proprietários de aplicativos, administradores de sistema e desenvolvedores de automação interagirão de maneiras que são novas para eles e para a equipe de segurança
- Ter segurança “dentro do sistema operacional” é novidade para as equipes de aplicativos/administradores e elas precisarão entender o que isso significa para elas.
A política de segurança passa de um modelo misto de lista negra/lista branca para um modelo puro de lista branca
Os firewalls de hardware usam uma combinação de declarações de permissão e negação. Isso significa que a ordem das regras em cada dispositivo é muito importante. Nas melhores políticas de microssegmentação, existem apenas declarações de permissão. Naturalmente, esta é a implementação prática do Confiança zero princípios de segmentação. Mas também elimina as preocupações com a ordenação de regras e permite políticas multidimensionais flexíveis. É uma maneira diferente de trabalhar e especificar políticas que terão um breve período de transição à medida que os autores de políticas aprendem uma nova maneira de expressar seus desejos. Ele cria uma política muito mais simples e fácil de “ler”, facilitando muito as auditorias e a verificação de conformidade. Espere passar algum tempo com essas equipes educando-as sobre o novo modelo de política.
As declarações de política de segurança passam de declarações dependentes de rede/IP para declarações baseadas em metadados
Os firewalls de hardware dependem de endereços IP, portas e protocolos para a criação de regras. Todos os fornecedores de microssegmentação fornecem algum tipo de rótulos ou metadados para expressar declarações de políticas sem qualquer referência a construções de rede. Isso significa que a política de segurança será compreensível por mais pessoas do que apenas pela rede ou pelas equipes de segurança da rede. Mecanismos gráficos de “apontar e clicar” para escrever regras também fornecem uma maneira quase não técnica de criar políticas de segurança. Quando combinado com um poderoso controle de acesso baseado em funções (BRACO), torna-se possível considerar a distribuição da redação de regras de forma mais ampla dentro da organização. Se isso é desejável ou não, será organizacionalmente específico.
Embora os metadados não tenham sido historicamente importantes para a equipe de segurança, as partes da organização mais ampla preocupadas com a automação fazem uso intenso deles. A confluência de equipes de segurança e automação que geram e consomem metadados implica que prestar atenção especial ao design, armazenamento, modificação etc. de metadados são esforços necessários e valiosos que podem afetar positivamente a agilidade de toda a organização. Essa conversa mais ampla acontece melhor quando a liderança alcança silos e grupos de trabalho e reúne toda a gama de constituintes afetados para impulsionar uma solução comum.
A automação de segurança baseada em API está disponível
Embora automação e orquestração sejam palavras normais nos aspectos de aplicativos e sistemas da TI, elas não têm sido tão comuns na equipe de rede e segurança. Mas uma boa solução de microssegmentação fornece um fluxo de trabalho totalmente orientado por API. Todos os recursos da plataforma devem estar acessíveis por meio da API. Isso significa que a capacidade de automatizar a segurança é limitada apenas pela imaginação, tempo e atenção. Novamente, será necessário um trabalho em equipe multifuncional para que a organização compreenda as possibilidades, priorize os desejos de automação e implemente os planos resultantes com as fases apropriadas. O tempo gasto na limpeza e organização dos metadados renderá grandes dividendos ao automatizar a política de microssegmentação.
Em cada uma dessas observações, o traço comum é que a implantação cruzará as linhas organizacionais internas. Ele oferecerá recursos que nunca existiram e gerará e consumirá dados que são novos para a equipe. Simplificando, isso é “mudança” e não “mais do mesmo”. Cada organização terá sua própria atitude em relação à mudança e a maior tarefa de gerenciamento é combinar essa mudança com a capacidade da organização de absorvê-la.
Hoje, exploramos como a microssegmentação altera fundamentalmente o modelo existente de rede/perímetro com o qual sua organização provavelmente está “confortável”. Na parte 2, discutiremos o próximo insight importante que permitirá que sua equipe implante a microssegmentação com o maior sucesso: como criar uma equipe de implantação.
Para um mergulho mais profundo e uma ótima leitura sobre tudo o que você precisa saber para implantar a microssegmentação com sucesso, confira o eBook, Proteja além da violação: um guia prático para criar uma estratégia de segurança cibernética de defesa profunda por meio da microssegmentação.