Como evitar que a rotulagem se torne um bloqueador da segmentação
Confiança zero mudou a forma como as organizações pensam sobre segurança. Historicamente, tentávamos identificar tudo o que era “ruim” e bloqueá-lo. Mas uma abordagem de Zero Trust consiste em identificar o que é “bom” verificando a fonte de comunicação e permitindo-a.
Para alcançar o Zero Trust, você deve:
- Identifique e gerencie a identidade de qualquer entidade na qual você queira confiar.
- Aplique as políticas que se aplicam a essa identidade usando a segmentação Zero Trust.
Mas um dos desafios percebidos com a implementação Segmentação Zero Trust e a aplicação da política gira em torno de quão completo é o conhecimento de todas as entidades na rede.
Em um pesquisa recente encomendado pela Illumio, 19% dos entrevistados disseram que não poderiam implementar o Zero Trust porque não tinham dados perfeitos.
Os participantes da série de workshops virtuais Zero Trust da Illumio expressaram preocupações semelhantes, destacando que eles têm dificuldades com o Zero Trust devido à falta de:
- Informações precisas sobre seus sistemas.
- Conhecimento de quais servidores ou cargas de trabalho existem.
- Compreensão de quais aplicativos estavam conectados a qual recurso.
Em muitas organizações, um banco de dados de gerenciamento de configuração (CMDB), um sistema de gerenciamento de endereços IP, tags na nuvem, uma planilha ou um sistema de repositório similar deveriam, idealmente, ser a “fonte da verdade” dessas informações. No entanto, esses sistemas de repositório de informações podem ser imprecisos — ou podem nem existir.
É importante poder usar as informações existentes para criar um modelo de rotulagem estruturado. Porque sem ele, seu ambiente ficará assim.

Seu CMDB não é o ponto principal da rotulagem
Um dos principais problemas que as organizações enfrentam é nomear a higiene. À medida que os sistemas evoluem e o pessoal muda, as convenções de nomenclatura também mudam.
Por exemplo, o que começa como 'Produção' se torna 'Produzir' e depois 'produção'. Isso significa que as regras para aplicar a política Zero Trust podem ficar obsoletas desde o momento em que são escritas inicialmente até quando os nomes mudam.
Um estilo de rotulagem de texto livre também pode levar a muitas inconsistências na redação de regras. A rotulagem imprecisa ou limitada dos recursos, sem dúvida, dificulta a compreensão do seu ambiente.
A aplicação de políticas não deve ser limitada pela precisão ou integridade do CMDB ou de qualquer outro repositório de informações. Se a nomenclatura for inconsistente, deve haver uma maneira de contornar isso.
Para quem não tem um CMDB, não há nada de errado em usar algo muito mais simples. Por exemplo, a maioria dos sistemas pode importar e exportar dados no formato.CSV, tornando-o um método muito portátil para gerenciar dados.
Como o Illumio simplifica e automatiza a rotulagem de cargas de trabalho
A Illumio desenvolveu um conjunto simples de ferramentas que simplificam radicalmente o processo de nomear e aplicar políticas de segmentação Zero Trust. É preciso dizer que ter as ferramentas é uma parte da solução — aplicá-las corretamente é o que faz a diferença.
A chave para implementar o Zero Trust é a consistência. Um esquema de nomenclatura estruturado torna as políticas de segurança portáteis entre diferentes ambientes (como vários hipervisores e nuvem).
Por exemplo, o modelo de endereço IP funciona porque é sempre o mesmo. Cada dispositivo conectado à rede espera o formato AAA.BBB.CCC.DDD/XX. Sem isso, não teríamos nenhuma forma de comunicação. O mesmo vale para rotular cargas de trabalho. Sem um modelo consistente, a segurança de uma organização pode ser comprometida.
O Illumio simplifica o processo de nomenclatura em algumas etapas simples:
- Etapa 1: Cada organização terá sua “fonte da verdade”, seja um CMDB, uma planilha ou uma lista de tags (ou alguma combinação de todas elas). Mesmo que você não acredite que seja totalmente preciso, o Illumio coleta metadados de cada carga de trabalho e pode atualizar automaticamente os dados da rede e das cargas de trabalho.
- Etapa 2: Use as informações da rede. É provável, por exemplo, que os servidores de produção possam existir em uma sub-rede diferente dos servidores de desenvolvimento. Embora não seja prático começar a escrever regras usando endereços IP, as informações da rede fornecem um bom ponto de partida para gerar nomes.
- Etapa 3: Use os nomes de host. Embora as inconsistências possam ter se acumulado com o tempo, identificar qualquer parte consistente da string e analisá-la para o maior número possível de cargas de trabalho preencherá as lacunas. Essas informações podem vir de praticamente qualquer fonte.
Até agora, você pegou a fonte confiável existente, descobriu ambientes em potencial e identificou informações de nome de host que poderiam destacar a função do servidor, como Web ou Banco de Dados.
Depois de concluir essas etapas, você poderá usar as informações do fluxo de tráfego para conhecer e identificar os principais serviços e outras funções que podem estar ausentes nas outras etapas. Isso pode ajudar a identificar um servidor desconhecido, mas essencial.
Com todo esse conhecimento, é simples aplicar rótulos a cada carga de trabalho, que você pode usar para visualizar as comunicações entre cargas de trabalho e aplicar políticas de segmentação Zero Trust.
Com a rotulagem estruturada, o mapa do seu ambiente agora tem a seguinte aparência.

Quanto mais fácil for o processo de rotular cargas de trabalho, mais simples será o mapa — e mais rápido você obterá o valor real da segmentação.
Obviamente, essas etapas podem ser realizadas em qualquer ordem. Alguns fornecedores posicionarão o aprendizado de tráfego como a primeira etapa. O desafio aqui é que existe o potencial de a comunicação parecer legítima simplesmente porque está gerando um grande número de fluxos em portos reconhecidos. Então, pode levar muito tempo para desfazer possíveis imprecisões nos resultados. Isso retardará o processo de obtenção de valor, pois levará algum tempo para limpar o mapa. É muito mais fácil e seguro usar primeiro as informações fixas.
Usando as ferramentas simples do Núcleo Illumio, você pode coletar facilmente os dados necessários e automatizar o processo de etiquetagem. Essa abordagem elimina qualquer preocupação com a falta de dados e a complexidade potencial na identificação e implantação de suas políticas de segurança.
Para saber mais:
- Leia 5 dicas para simplificar a rotulagem para microssegmentação.
- Faça o download de um visão geral do Illumio Core para saber mais sobre a abordagem da Illumio à segmentação Zero Trust.