5 razões pelas quais sua equipe de firewall adorará a microssegmentação

Nunca vou esquecer um incidente que aconteceu no início do nosso histórico de clientes. Tínhamos acabado de concluir o treinamento com as equipes de arquitetura e implementação de firewall de um grande cliente. Um dos principais administradores de firewall levantou a mão e disse: “Então, se eu entendi isso corretamente, nunca mais precisarei escrever uma regra de firewall”. Eu sorri e disse: “Isso mesmo”.

Seis meses depois, estávamos juntos no elevador e ele me disse com entusiasmo o quanto adorava a microssegmentação. Eu perguntei por que, e ele respondeu: “Você estava certo. Não escrevo mais ACLs e nossa política é muito mais rígida.”

Foi um ótimo momento, mas o simples fato é que a microssegmentação é ótima para equipes de operações de firewall. Aqui estão os cinco principais motivos.

1. Chega de ACLs manuais. Conceitualmente, escrever regras de firewall é "fácil" – basta digitar as regras para o que você deseja permitir e todo o resto será negado. É verdade em um alto nível de abstração, mas, analisando a fundo a obra, trata-se de uma simplificação excessiva. Em um firewall tradicional, cada desejo de política precisa ser traduzido da maneira como os proprietários de aplicativos falam sobre seus sistemas para a linguagem de endereços IP, sub-redes e zonas. Com a microsegmentação, o ponto de aplicação passa a ser a própria instância da aplicação, o que significa que a segmentação não depende de nenhuma estrutura de rede para ser aplicada. Quando combinado com um poderoso mecanismo de computação de políticas, o administrador pode escrever políticas em linguagem simples: "O servidor web se comunica com o servidor de aplicativos, que por sua vez se comunica com o banco de dados." Os servidores web nunca se comunicam entre si nem diretamente com o banco de dados”. Uma política simples pode ser transformada em uma base de regras aplicável sem que nenhum ser humano precise saber um endereço IP, sub-rede ou zona. A microsegmentação libera os administradores de firewall da tarefa de escrever ACLs.
    
2. Obtenha um modelo de política escalável. Embora os firewalls venham configurados por padrão com uma regra de negação na parte inferior da tabela de regras, eles rapidamente se tornam uma mistura complexa de instruções de permissão e negação. Essas políticas mistas de listas de bloqueio e permissão têm baixa escalabilidade devido à herança limitada. Enquanto as regras forem mistas, permitindo e negando declarações, a ordem das regras importa e isso limita a herança – que ordem uma política combinada deve observar? A microsegmentação funciona com base em um modelo de confiança zero puro. Como só existem declarações de permissão, a herança de políticas é fácil – tudo o que pode acontecer é que algo seja permitido mais de uma vez. Isso facilita a especificação de políticas em qualquer nível de abstração, por menor que seja. Um servidor específico pode herdar políticas tanto de uma política de todo o centro de dados quanto de uma política para o ambiente de produção e bancos de dados em geral. Quando grandes partes da política são originadas de modelos, a tarefa de escrever políticas se simplifica e se torna muito mais escalável.
    
3. Saiba que a política está correta. Desenvolver uma política de firewall não é fácil. Todo o tráfego da aplicação deve ser caracterizado até o nível de porta e protocolo. Muitas vezes, essas informações estão fora do alcance das equipes de infraestrutura e segurança. Pior ainda, muitas vezes nem mesmo a equipe responsável pelo aplicativo está ciente disso, já que o aplicativo pode ter sido instalado por um fornecedor ou prestador de serviços que não está mais envolvido. A microsegmentação fornece um mapa de dependências de aplicativos abrangente que toda a equipe pode entender. Como o mapa exibe apenas dados de aplicativos e não dispositivos de rede, as equipes de aplicativos e DevOps podem entender facilmente os fluxos gerados por seus aplicativos e o que precisa ser protegido. A microsegmentação facilita a obtenção de consenso sobre a proteção de aplicações críticas e fornece informações precisas à equipe de políticas.
    
4. Saiba que a apólice é segura. Como testar uma regra de firewall? Não. Os firewalls não funcionam dessa forma – digitamos as regras e, se houver algum problema, o telefone toca. Em 2021, isso já não é suficiente. Com um aplicativo totalmente novo, há alguma margem para idas e vindas com a equipe de desenvolvimento até que ele entre em produção. Mas, com as aplicações existentes, qualquer erro na política de segmentação causa uma interrupção. A microsegmentação oferece uma maneira melhor. As políticas passam por um ciclo de vida que inclui etapas distintas de construção, teste e aplicação. Dessa forma, todos, desde o proprietário do aplicativo até as equipes de segurança e infraestrutura, podem validar se a política está "conforme projetada" e se ela abrange todas as comunicações necessárias. O mapa de dependências de aplicativos simplificado facilita a verificação de que a política é segura e pode ser implementada.
    
5. Obtenha ajuda dos proprietários do aplicativo. Em todas as organizações, há muito mais pessoas na equipe de desenvolvimento de aplicativos do que na equipe de segurança. E se considerássemos o número de aplicações em relação ao número de autores de políticas de segmentação, o contraste seria ainda maior. Dada essa disparidade, é sempre um desafio tentar ajudar cada equipe a entender o que a equipe de firewall precisa e a obter isso em tempo hábil. A microsegmentação oferece visualizações e fluxos de trabalho projetados para que os proprietários dos aplicativos participem do processo. Quando a equipe de desenvolvimento do aplicativo está envolvida no projeto de microsegmentação, fica muito mais fácil para ela apoiar os objetivos das equipes de segurança e infraestrutura para o aplicativo. Isso gera confiança e elimina a busca por culpados quando todos conseguem ver como o aplicativo funciona e a interação da política de segmentação com esses fluxos. Os proprietários de aplicativos podem validar facilmente tanto os fluxos quanto a parte da política referente ao aplicativo, acelerando o processo de implementação.

A microssegmentação é ótima para administradores de firewall. Troque as regras manuais de firewall por uma política simples de linguagem natural que não exige nenhum conhecimento de rede. Obtenha um verdadeiro modelo de política Zero Trust que seja facilmente escalável com herança total. Todas as políticas de segmentação precisam estar corretas e completas. A microsegmentação torna esse processo gráfico simples no qual os proprietários do aplicativo podem se envolver. Com eles do seu lado, o projeto de segmentação se torna mais rápido, fácil e agradável. A microsegmentação é a atualização que os administradores de firewall estavam esperando.