A Microssegmentação é uma resposta cada vez mais usada pelas organizações para alcançar níveis avançados de segurança nas suas redes, seja nos Data Centers, seja nas redes de “campus”, através de políticas ao nível do utilizador ou do dispositivo.
Fernando Teixeira
Digital Connectivity Director | Claranet Portugal
Há décadas que se utiliza o método de segmentação nas redes, através da aplicação de VLANs (Virtual Local Area Network), com a agregação a ser tipicamente feita ao nível das Firewalls, o que permite criar distintos níveis de segurança nos diversos segmentos. Mas, em muitos casos, são também utilizados os Switches de Core (com capacidades Layer 3 para roteamento) ou Routers, de preferência para fazer a agregação Layer 3 e, através da aplicação de ACLs (Access Control Lists), criarem regras de segurança entre os diversos segmentos.
Outras técnicas podem e têm sido utilizadas na segmentação ao nível de Layer 3 - como por exemplo a utilização de VRF´s (Virtual Routing Forwards) para criar routers virtuais e, deste modo, no mesmo equipamento, implementar vários domínios de routing.
Mas as VLANs, apesar de permitirem alguma granularidade ao nível da segmentação, são limitadas no que se refere à aplicação de políticas de segurança individualizadas nos dispositivos ligados na rede ou para o utilizador. A introdução de tecnologias de microssegmentação vieram permitir uma maior granularidade nessa segmentação, a par da criação de fluxos na rede ao nível do dispositivo ou do utilizador.
Mas o que é, em concreto, a microssegmentação? Tal como as VLANs, as técnicas de microssegmentação permitem a configuração dinâmica de redes lógicas sobre a infraestrutura de rede, mas com uma maior granularidade, ao nível do dispositivo ou do utilizador, aumentando deste modo os níveis de segurança. Podemos ter microssegmentos sobre uma infraestrutura segmentada em VLANs e criar fluxos “end-to-end”, onde a informação que passa nesse microssegmento estará completamente isolada da restante informação da rede.
Implementação diversificada
Existem várias técnicas e abordagens para a implementação de microssegmentação. Ao nível das redes de campus, poderemos ter soluções centralizadas em gateways ou firewalls que terminam os túneis (encriptados, ou não) que compõem os microssegmentos para, deste modo, permitirem a total visibilidade da informação de cada microssegmento, bem como a definição de regras de segurança por perfil de utilizador ou dispositivo.
Existem também soluções descentralizadas, mais frequentes devido à maior escalabilidade, que através de técnicas de VXLAN (Virtual Extensible LAN) permitem a implementação de túneis individuais entre as portas do Switch, ou sessão de WI-FI, e os respetivos “destinos”. Ambas as abordagens permitem a implementação de níveis de segurança com uma granularidade ao nível do dispositivo ou do utilizador, funcionando de forma dinâmica e autónoma através de soluções “overlay” – SDN (Software Defined Network), ferramentas de gestão, automação e controlo de acessos.
Ao nível do Data Center, a abordagem mais comum é a descentralizada, normalmente utilizada para a criação de fluxos de informação baseados no tipo e na usabilidade das aplicações. Deste modo é possível aumentar os níveis de segurança, mas também a eficácia das comunicações.
Algumas abordagens mais recentes passam ainda pela introdução de Firewalls embutidas nos Switches ToR (Top of Rack) que, deste modo, possibilitam a definição e a implementação, de forma dinâmica, de níveis de segurança nesta camada do Data Center, entre fluxos de informação Este – Oeste, sem necessidade de recorrer às tradicionais Firewalls de Data Center ou perímetro. Deste modo aumentamos os níveis de segurança, a resiliência das redes e a velocidade de transmissão.
O crescente número de dispositivos de IoT e a sua ligação às redes trouxeram alguns desafios às organizações e aos fabricantes de soluções de networking. Estas tecnologias de microssegmentação são fundamentais para a integração das estruturas de IoT com as de IT, evitando assim que as organizações tenham de adquirir estruturas de rede separadas para ambos os ambientes.
A Claranet integra no seu portefólio de serviços várias soluções para a implementação de técnicas de microssegmentação em redes e infraestruturas de diferentes arquiteturas, bem como profissionais especializados para a realização de assessments que permitam adequar a tecnologia às necessidades reais – e expectáveis – das organizações.
