#1. Identifique dados e ativos valiosos
Nem todos os dados e ativos de uma organização têm o mesmo valor. Alguns sistemas, como o banco de dados de clientes, podem ser essenciais para manter as operações normais. Outros, como uma impressora, são úteis, mas não vitais para o funcionamento do negócio.
Atribuir níveis de importância e valor aos ativos é um primeiro passo importante para a segmentação da rede. Esses rótulos serão usados posteriormente para definir as diversas zonas de confiança dentro da rede.
#2. Atribuir rótulos de classificação a cada ativo
Além do valor dos ativos, também é importante considerar a sensibilidade dos dados que eles contêm. Ativos que contenham dados muito sensíveis, como informações de clientes, dados de pesquisa e desenvolvimento, etc., podem exigir proteções adicionais para Conformidade com regulamentos de proteção de dados ou com a política de segurança corporativa.
Esses rótulos devem levar em conta tanto a sensibilidade dos dados (ou seja, público a altamente restrito) e os tipos de dados que um ativo contém. Isso ajuda a definir políticas de segmentação que estejam de acordo com os regulamentos aplicáveis, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS).
#3. Mapeie fluxos de dados em toda a rede
A segmentação da rede ajuda a melhorar a segurança da rede, dividindo-a em segmentos isolados. Isso torna mais difícil para um invasor se mover lateralmente pela rede depois de obter uma posição inicial.
No entanto, há uma série de fluxos de dados legítimos que precisam ser permitidos. Todos os fluxos de dados em todos os sistemas da rede devem ser mapeados, incluindo:
- Tráfego no sentido norte: O tráfego no sentido norte está saindo da rede corporativa, como funcionários que visitam saleforce.com a partir de um dispositivo gerenciado conectado à rede corporativa.
- Tráfego leste-oeste: o tráfego leste-oeste se move entre sistemas dentro do perímetro da rede, como um servidor web front-end e servidores de banco de dados back-end na rede centro de dados.
- Tráfego no sentido sul: O tráfego no sentido sul inclui dados que entram em um segmento ou zona de rede, por exemplo, clientes ou funcionários que acessam um servidor web localizado no local em uma rede DMZ ou na intranet da empresa.
#4. Definir grupos de ativos
Certos ativos dentro da rede de uma organização são usados para fins semelhantes e se comunicam regularmente. Segmentar esses sistemas uns dos outros não faz sentido, pois seriam necessárias várias exceções para manter a funcionalidade normal.
Ao definir grupos de ativos, é importante considerar tanto esta funcionalidade semelhante como a sensibilidade dos vários ativos na rede corporativa. Quaisquer ativos que sirvam finalidades semelhantes e com níveis de sensibilidade semelhantes devem ser agrupados num segmento separado de outros ativos com diferentes níveis de confiança ou funções.
#5. Implantar um gateway de segmentação
Definir limites de segmento é importante, mas não traz nenhum benefício para a organização se esses limites não forem aplicados. A aplicação de controles de acesso em cada segmento de rede requer a implantação de um gateway de segmento.
Para impor um limite de segmento, todo o tráfego de rede que entra e sai desse segmento deve passar pelo gateway. Como resultado, uma organização pode precisar de vários gateway para implementar uma segmentação eficaz. Esses requisitos podem ajudar a informar a decisão de selecionar um firewall de hardware ou um firewall virtual.
#6. Crie políticas de controle de acesso
O tráfego entre ativos dentro de um segmento específico pode fluir sem restrições. Contudo, as comunicações entre segmentos precisam ser monitoradas pelo gateway do segmento e cumprir as políticas de controle de acesso.
Essas políticas devem ser definidas com base no princípio de privilégio mínimo, que afirma que um aplicativo, dispositivo ou usuário deve ter o nível mínimo de permissões necessárias para realizar seu trabalho. Estas permissões devem basear-se nos fluxos de dados legítimos identificados no ponto 3.
#7. Realize auditorias e revisões periódicas
Depois de definir microssegmentos, implantar um gateway de segmentação e criar e aplicar políticas de controle de acesso, o processo de implementação da segmentação de rede está praticamente concluído. Contudo, definir uma política de segmentação de rede não é um exercício único.
As políticas de segmentação de rede podem mudar devido à evolução da rede corporativa ou a descuidos e erros no processo inicial de design. A resolução destes potenciais problemas requer auditorias periódicas para determinar se foram feitas alterações, se existem riscos desnecessários no sistema e como os segmentos de rede e os controlos de acesso podem ser atualizados para mitigar esses riscos.
#8. Automatize sempre que possível
Definir uma política de segmentação de rede pode ser uma tarefa enorme, especialmente para redes de escala empresarial. Tentar executar todas essas etapas manualmente pode ser difícil ou impossível.
Por esse motivo, é importante aproveitar os recursos de automação sempre que possível. Principalmente na fase de descoberta e classificação, a automação pode ser inestimável para identificar novos ativos adicionados à rede, seus fluxos de comunicação, caso contenham alguma vulnerabilidade e aplicar a política de segmentação de rede.
Implementando segmentação de rede para IoT com Check Point
A detecção e rotulagem automatizadas tornaram-se mais valiosas com o crescimento da Internet das coisas (IoT). Esses dispositivos geralmente são inseguros e é necessária segmentação para isolá-los de sistemas críticos na rede corporativa. No entanto, a implementação eficaz da Segurança da IoT requer um firewall que entenda os protocolos IoT. Para ver a segmentação de rede para IoT em ação, solicite uma demo.
Opinião