Sofreu uma violação de dados?
|
Suporte
|
Entre em contato conosco
|
+1 855 426 3983
Blog
/
segmentação
Illumio Editorial
Illumio Editorial
17 de julho de 2020
23 minutos. ler

Guia de um arquiteto para implantar a microsegmentação: implicações da alteração do modelo de segurança

Um arquiteto ou gerente de projeto de uma implantação de microssegmentação se beneficia de uma visão clara dos resultados desejados e de como a implantação realmente afetará sua organização. Ao mesmo tempo, fornecer esses insights geralmente exige o apoio de outros membros da equipe, alguns dos quais podem nem mesmo se enquadrar na área de TI. O que um arquiteto ou gerente de projeto precisa saber sobre implantações de microssegmentação para desenvolver um novo projeto, mantê-lo em dia e alcançar os melhores resultados?

Esta série explorará essas mesmas questões e examinará os principais insights que colocarão sua equipe em um alinhamento ideal para oferecer os resultados que você espera e precisa entregar à empresa, com base na experiência de trabalhar em centenas de implantações de microssegmentação.

In part 1, I will discuss the implications of altering your security model. Moving to a microsegmentation solution alters the existing network/perimeter model in several important ways, described below. Each of these modifications enables some of the benefits that made micro-segmentation attractive in the first place, and each of these modifications has implications for the enterprise.

O ponto de imposição passa da rede para o host

Tradicionalmente, a segurança é colocada em pontos de estrangulamento perimetrais, seja na borda de uma VLAN, no ambiente PROD ou na Internet. Nesse modelo, há pouca interação direta com as equipes de aplicativos, operações do servidor ou automação. A mudança na fiscalização baseada em host significa que:

  • A combinação de sistemas operacionais e o suporte de agentes são importantes
  • Disponibilidade & A consistência das ferramentas de automação e administração afetará a forma como a implantação do agente acontece e a rapidez
  • Application owners, system admins, and automation developers will interact in ways that are new to them and the security team
  • Ter segurança “dentro do sistema operacional” é novidade para as equipes de aplicativos/administradores e elas precisarão entender o que isso significa para elas.

A política de segurança passa de um modelo misto de lista negra/lista branca para um modelo puro de lista branca

Hardware firewalls use a mix of permit and deny statements. This means that the order of rules in each device matters greatly. In the best microsegmentation policies, there are only permit statements. Naturally, this is the practical implementation of Zero Trust principles for segmentation. But it also removes rule ordering concerns and allows for flexible multi-dimensional policies. It is a different way of working and specifying policies that will have a brief transition time as policy authors learn a new way to express their desires. It creates a much simpler policy that is easier to “read”, making audits and compliance verification much easier. Expect to spend time with those teams educating them on the new policy model.

As declarações de política de segurança passam de declarações dependentes de rede/IP para declarações baseadas em metadados

Hardware firewalls depend on IP addresses, ports and protocols for rule-writing. All microsegmentation vendors provide some type of labels or meta-data to express policy statements without any reference to network constructs. This means that the security policy will be understandable by more than just the network or network security teams. Graphical “point-and-click” mechanisms for rule-writing also provide an almost non-technical way to author security policy. When combined with powerful role-based access control (RBAC), it becomes possible to consider distributing rule-writing more broadly within the organization. Whether this is desirable or not will be organizationally specific.

Embora os metadados não tenham sido historicamente importantes para a equipe de segurança, as partes da organização mais ampla preocupadas com a automação fazem uso intenso deles. A confluência de equipes de segurança e automação que geram e consomem metadados implica que prestar atenção especial ao design, armazenamento, modificação etc. de metadados são esforços necessários e valiosos que podem afetar positivamente a agilidade de toda a organização. Essa conversa mais ampla acontece melhor quando a liderança alcança silos e grupos de trabalho e reúne toda a gama de constituintes afetados para impulsionar uma solução comum.

A automação de segurança baseada em API está disponível

Embora automação e orquestração sejam palavras normais nos aspectos de aplicativos e sistemas da TI, elas não têm sido tão comuns na equipe de rede e segurança. Mas uma boa solução de microssegmentação fornece um fluxo de trabalho totalmente orientado por API. Todos os recursos da plataforma devem estar acessíveis por meio da API. Isso significa que a capacidade de automatizar a segurança é limitada apenas pela imaginação, tempo e atenção. Novamente, será necessário um trabalho em equipe multifuncional para que a organização compreenda as possibilidades, priorize os desejos de automação e implemente os planos resultantes com as fases apropriadas. O tempo gasto na limpeza e organização dos metadados renderá grandes dividendos ao automatizar a política de microssegmentação.

Em cada uma dessas observações, o ponto comum é que essa implantação cruzará as linhas organizacionais internas. Ele oferecerá recursos que nunca existiram e gerará e consumirá dados que são novos para a equipe. Simplificando, isso é “mudança” e não “mais do mesmo”. Cada organização terá sua própria atitude em relação à mudança e a maior tarefa de gerenciamento é combinar essa mudança com a capacidade da organização de absorvê-la.

Hoje, exploramos como a microssegmentação altera fundamentalmente o modelo existente de rede/perímetro com o qual sua organização provavelmente está “confortável”. Na parte 2, discutiremos o próximo insight importante que permitirá que sua equipe implante a microssegmentação com o maior sucesso: como criar uma equipe de implantação.

For a deeper dive and a great read on everything you need to know to successfully deploy microsegmentation, check out the eBook, Secure Beyond Breach: A Practical Guide to Building a Defense-in-Depth Cybersecurity Strategy Through MicroSegmentation.

Tópicos relacionados

Nenhum item encontrado.

Artigos relacionados

A cibersegurança do seu fornecedor de nuvem é suficiente?
segmentação

A cibersegurança do seu fornecedor de nuvem é suficiente?

Descubra por que você não pode confiar apenas na segurança do seu provedor de nuvem para manter sua nuvem protegida contra ataques cibernéticos.

Leia mais
Indy Dhami, parceira da KPMG, explica por onde começar com a resiliência cibernética
segmentação

Indy Dhami, parceira da KPMG, explica por onde começar com a resiliência cibernética

Descubra a evolução do setor nos últimos vinte anos, por que a resiliência cibernética é mais importante do que nunca e como obter a adesão das empresas às suas iniciativas de segurança Zero Trust.

Leia mais
Os ensinamentos de três ataques cibernéticos recentes apontam para a segmentação de confiança zero
segmentação

Os ensinamentos de três ataques cibernéticos recentes apontam para a segmentação de confiança zero

Incidentes recentes de segurança cibernética, como os que afetaram o MITRE, a infraestrutura energética dinamarquesa e a Biblioteca Britânica, são lembretes da importância da segmentação da rede na redução do impacto de violações e ataques de ransomware.

Leia mais
Nenhum item encontrado.

Suponha que a violação seja feita.
Minimize o impacto.
Aumente a resiliência.

Pronto para saber mais sobre a segmentação Zero Trust?

Saiba mais