Índice:
- Decida sobre as funções que você deseja
- Funções diferentes, explicadas
- As 5 etapas básicas da segmentação de rede
Vídeo: Como Melhorar a VELOCIDADE e o PING da sua internet - DICAS AVANÇADAS! (Novembro 2024)
Até agora você já deve ter visto referências à segmentação de rede em locais que variam desta coluna a recursos sobre segurança de rede e discussões de práticas recomendadas em monitoramento de rede. Porém, para muitos profissionais de TI, a segmentação de rede é uma daquelas coisas que você planeja sempre, em breve, mas algo sempre atrapalha. Como pagar seus impostos em fevereiro: você sabe que deve, mas precisa de um incentivo extra de motivação. É o que espero fazer com este explicador de cinco etapas.
Existem vários motivos para segmentação de rede; a razão mais importante é a segurança. Se sua rede estiver dividida em várias redes menores, cada uma com seu próprio roteador ou switch de Camada 3, você poderá restringir a entrada em determinadas partes da rede. Dessa forma, o acesso é concedido apenas aos pontos de extremidade que precisam dele. Isso impede o acesso não autorizado a partes da rede que você não deseja acessar e também limita que algum hacker que possa ter penetrado um segmento tenha acesso a tudo.
Foi o que aconteceu com a violação da meta em 2013. Os invasores que usavam credenciais do empreiteiro de aquecimento, ventilação e ar condicionado (HVAC) tinham acesso aos terminais do ponto de venda (POS), ao banco de dados do cartão de crédito e tudo mais no site rede. Claramente, não havia razão para que um contratado de HVAC tivesse acesso a qualquer coisa, exceto aos controladores de HVAC, mas eles tinham porque o Target não tinha uma rede segmentada.
Mas se você, diferentemente da Target, reservar um tempo para segmentar sua rede, esses invasores poderão ver seus controladores de aquecimento e ar condicionado, mas nada mais. Muitas violações podem acabar não sendo um evento. Da mesma forma, a equipe do armazém não terá acesso ao banco de dados contábil nem os controladores HVAC, mas a equipe contábil terá acesso ao banco de dados. Enquanto isso, os funcionários terão acesso ao servidor de email, mas os dispositivos da rede não.
Decida sobre as funções que você deseja
Tudo isso significa que você precisa decidir sobre as funções que precisam se comunicar na sua rede e decidir que tipo de segmentação deseja. "Decidir funções" significa que você precisa ver quem da sua equipe precisa ter acesso a recursos de computação específicos e quem não. Pode ser difícil mapear, mas, quando terminar, você poderá atribuir funções por cargo ou tarefa, o que pode trazer benefícios adicionais no futuro.
Quanto ao tipo de segmentação, você pode usar segmentação física ou segmentação lógica. Segmentação física significa que todos os ativos de rede em uma área física estariam atrás de um firewall que define qual tráfego pode entrar e qual tráfego pode sair. Portanto, se o 10º andar tiver seu próprio roteador, você poderá segmentar fisicamente todos os que estiverem lá.
A segmentação lógica usaria LANs virtuais (VLANs) ou endereçamento de rede para realizar a segmentação. A segmentação lógica pode ser baseada em VLANs ou sub-redes específicas para definir relacionamentos de rede ou você pode usar os dois. Por exemplo, você pode querer seus dispositivos de Internet das Coisas (IoT) em sub-redes específicas, portanto, enquanto sua rede de dados principal é um conjunto de sub-redes, seus controladores HVAC e até suas impressoras podem ocupar outros. A tarefa é que você precisará definir o acesso às impressoras para que as pessoas que precisam imprimir tenham acesso.
Ambientes mais dinâmicos podem significar processos de atribuição de tráfego ainda mais complexos que podem precisar usar software de agendamento ou orquestração, mas esses problemas tendem a surgir apenas em redes maiores.
Funções diferentes, explicadas
Esta parte é sobre o mapeamento de funções de trabalho para seus segmentos de rede. Por exemplo, uma empresa típica pode ter contabilidade, recursos humanos (RH), produção, armazenamento, gerenciamento e um punhado de dispositivos conectados na rede, como impressoras ou, atualmente, cafeteiras. Cada uma dessas funções terá seu próprio segmento de rede e os pontos de extremidade desses segmentos poderão acessar dados e outros ativos em sua área funcional. Mas eles também podem precisar de acesso a outras áreas, como e-mail ou internet, e talvez uma área de pessoal geral para itens como anúncios e formulários em branco.
O próximo passo é ver quais funções devem ser impedidas de atingir essas áreas. Um bom exemplo pode ser seus dispositivos IoT, que precisam apenas conversar com seus respectivos servidores ou controladores, mas eles não precisam de email, navegação na Internet ou dados pessoais. A equipe do armazém precisará de acesso ao inventário, mas provavelmente não deve ter acesso à contabilidade, por exemplo. Você precisará iniciar sua segmentação definindo primeiro esses relacionamentos.
As 5 etapas básicas da segmentação de rede
Atribua cada ativo da sua rede a um grupo específico, para que a equipe de contabilidade esteja em um grupo, a equipe do armazém em outro grupo e os gerentes em outro grupo.
Decida como você deseja lidar com sua segmentação. A segmentação física é fácil se o seu ambiente permitir, mas é limitadora. A segmentação lógica provavelmente faz mais sentido para a maioria das organizações, mas você precisa saber mais sobre redes.
Determine quais ativos precisam se comunicar com outros ativos e configure seus firewalls ou dispositivos de rede para permitir isso e negar acesso a todo o resto.
Configure sua detecção de intrusão e seus serviços antimalware para que ambos possam ver todos os seus segmentos de rede. Configure seus firewalls ou switches para que eles relatem tentativas de invasão.
Lembre-se de que o acesso aos segmentos de rede deve ser transparente para usuários autorizados e que não deve haver visibilidade nos segmentos para usuários não autorizados. Você pode testar isso tentando.
- 10 etapas de cibersegurança que sua pequena empresa deve tomar agora 10 etapas de cibersegurança que sua pequena empresa deve tomar agora
- Além do perímetro: como lidar com a segurança em camadas Além do perímetro: como lidar com a segurança em camadas
Vale a pena notar que a segmentação de rede não é realmente um projeto Faça Você Mesmo (DIY), exceto nos menores escritórios. Mas algumas leituras o preparam para fazer as perguntas certas. A Equipe de Prontidão para Emergências Cibernéticas dos Estados Unidos ou o US-CERT (parte do Departamento de Segurança Interna dos EUA) é um bom ponto de partida, embora suas orientações sejam voltadas para a IoT e o controle de processos. A Cisco possui um documento detalhado sobre segmentação para proteção de dados que não é específico do fornecedor.
Existem alguns fornecedores que fornecem informações úteis; no entanto, não testamos seus produtos, portanto não podemos dizer se esses serão úteis. Essas informações incluem dicas de instruções do Sage Data Security, um vídeo de práticas recomendadas da AlgoSec e uma discussão de segmentação dinâmica do fornecedor de software de agendamento de rede HashiCorp. Por fim, se você é do tipo aventureiro, a consultoria de segurança Bishop Fox oferece um guia DIY de segmentação de rede.
Quanto aos outros benefícios da segmentação além da segurança, uma rede segmentada pode ter benefícios de desempenho porque o tráfego de rede em um segmento pode não ter que competir com outro tráfego. Isso significa que a equipe de engenharia não considerará seus desenhos atrasados pelos backups e o pessoal de desenvolvimento poderá fazer seus testes sem se preocupar com os impactos no desempenho de outro tráfego de rede. Mas antes que você possa fazer qualquer coisa, você precisa ter um plano.