Na nuvem, implementação do conceito de Zero Trust exige atenção especial com a hierarquia de dados, mais granular que nos modelos on-premises
As empresas que estão migrando seus ambientes para a nuvem, ou adotando ambientes híbridos, estão enfrentando alguns desafios adicionais com a implementação do conceito de Zero Trust. Parte destes desafios surgem da dificuldade que muitas empresas estão encontrando para hierarquizar seus dados e, mais que isso, monitora-los em diferentes níveis.
“Como o Zero Trust exige uma visão mais próxima dos aplicativos, garantir esse acesso mais granular a diferentes indivíduos torna-se mais complexo”, explica o CMO (Chief Marketing Office) da Exbiz, Marcio Montagnani. Neste novo contexto, ele lembra que usar ferramentas legadas como VLANs para separação não é mais suficiente nos ambientes de rede atuais. Cada máquina – virtual ou física – deve ter limites de tráfego de entrada e saída. Caso contrário, os agentes mal-intencionados podem facilmente tirar proveito de políticas frouxas para se moverem sem serem detectados entre as máquinas.
Nesse cenário a microssegmentação surge como a resposta central das melhores práticas de segurança de T. “Na prática, a segmentação definida por software permite que as empresas apliquem controles de segurança de nível de processo e carga de trabalho ao data center e aos ativos de nuvem que tenham um objetivo comercial explícito de comunicação entre si”, diz, reforçando que sua adoção é extremamente eficaz na detecção e bloqueio de movimentos laterais em ambientes de data center, nuvem e nuvem híbrida.
Para que esta segmentação seja aplicada com sucesso, Montagnani lembra que algumas soluções facilitam a segmentação em data centers físicos e virtuais, fazendo aplicação distribuída em todo o tráfego. As ofertas de nuvem pública também oferecem capacidades limitadas e outros produtos se integram totalmente a essas estruturas, movendo as tecnologias de firewall existentes para o data center. “A tecnologia está lá, mas a questão de como estabelecer essas políticas permanece. Como os administradores podem determinar a função de milhares de máquinas em seu data center e decidir quais portas específicas abrir para que outras máquinas?”, questiona.
Em busca de simplificação
Um exemplo de solução desenvolvida para solucionar a questão é a Akamai Guardicore Segmentation. Montagnani lembra que ela foi desenvolvida especificamente para simplificar a microssegmentação e aumentar a agilidade, ao mesmo tempo em que aumenta a segurança. A solução cria visualizações legíveis por humanos de sua infraestrutura completa – do data center à nuvem – com fluxos de trabalho rápidos e intuitivos para criação de políticas de segmentação.
O modelo substitui o processo usual para a criação de políticas específicas para aplicativo, que geralmente exige etapas como: descobrir um aplicativo específico e as máquinas em que ele está sendo executado; criar grupos de segurança para cada uma das diferentes camadas de aplicativos (ou seja, servidores web/application/logging/DB); e definir uma política rígida entre os diferentes grupos de segurança, para que apenas as portas necessárias para o bom funcionamento do aplicativo sejam abertas. Isso para cada um dos aplicativos existentes no ambiente.
“Além de ser longo e oneroso, este processo tradicional não traz visibilidade dos data centers até o nível do processo, obrigando administradores e equipes de segurança a navegar por registros intermináveis ou perseguir desenvolvedores de aplicativos. Obviamente, não é a maneira ideal de fazer as coisas”, diz. Para simplificar este processo, o Akamai Guardicore Segmentation conta com a funcionalidade Reveal, que fornece um mapa visual completo de todo o data center até o nível do processo.
“Ao usar o Reveal para se concentrar em partes específicas do data center e identificar as relações entre os diferentes servidores, os administradores e as equipes de segurança podem descobrir facilmente os aplicativos em execução, um por um”, ressalta. Desta forma, a visibilidade no nível do processo vai permitir a estes profissionais fazer várias coisas, incluindo identificar servidores com funções semelhantes (que pertencem à mesma camada), agrupa-los e enviar os grupos de segurança resultantes para uma estrutura de microssegmentação.
Com isso, depois que os usuários criam regras de política que vinculam os aplicativos e grupos de segurança descobertos, eles podem ver essas políticas sobrepostas no mapa visual do Reveal. Isso permite que os usuários testem, monitorem e otimizem suas políticas criadas. “É o que chamamos de segmentação Zero Trust, que cria uma base sólida para proteção e conformidade da carga de trabalho, isolando e segmentando aplicações de rede e seus componentes”, reforça.
Mais que isso, este processo permite o mapeamento de dependências profundas de aplicações e a aplicação de políticas, garantindo um processo de gerenciamento contínuo da política de microssegmentação e oferecendo atributos como:
- Ampla cobertura
- Visibilidade profunda
- Fluxo de trabalho intuitivo
- Políticas granulares
Usos em diversas frentes
Como solução de segurança, a Akamai conta ainda com outros casos de uso importantes para grande das empresas, tais como:
Delimitação da aplicação crítica – a maioria das organizações tem um conjunto selecionado de aplicações que são a força vital de seus negócios, desde aplicações da Web voltadas para o cliente até bancos de dados que contêm informações valiosas ou confidenciais. Os incidentes de segurança que afetam esses ativos críticos podem ter impactos significativos nos negócios e na reputação de uma empresa, por isso a solução fornece um mapa visual de como elas funcionam, facilitando a delimitação de regras com políticas de segmentação precisas e detectando de forma protetora os ataques direcionados.
Controle de acesso de terceiros – a segmentação do Akamai Guardicore oferece visibilidade e controle precisos sobre o acesso de terceiros aos ambientes de TI. Os recursos avançados de visualização de aplicações, que incorporam rótulos contextuais de ferramentas de orquestração e outras fontes de dados, facilitam a compreensão da função de aplicações específicas. Munidas dessas percepções, as equipes de segurança podem implementar políticas granulares que limitam o acesso de aplicações a usuários e grupos específicos do Active Directory. Isso permite que as organizações ofereçam suporte às necessidades de acesso de terceiros ao mesmo tempo em que limitam a exposição à segurança.
Segurança do contêiner – oferece segurança de contêiner abrangente para equipes que usam qualquer combinação de Docker e Kubernetes. Também protege aplicações em contêineres, capacitando as equipes do DevSecOps com vários recursos críticos sem sacrificar a postura de segurança da organização. A solução protege os elementos operacionais e de produção dos contêineres, permitindo a visibilidade de cada um, a visualização dos fluxos de comunicação e a segurança com políticas de microssegmentação.
Detecção e resposta a ameaças – as nuvens e os data centers em rápida expansão têm se tornado os principais alvos de infiltração e ataques. Para enfrenta-los, a Akamai Guardicore fornece uma plataforma única e escalável com recursos de detecção e resposta de ameaças em tempo real, apresentando atributos como vários métodos de detecção; feito para a nuvem; resposta integrada; e perícia detalhada.
- Fonte: ITForum.com.br
- Image by rawpixel.com on Freepik
- 01 de novembro de 2022
