What is Macro-Segmentation?

Macrossegmentação é outro termo para segmentação de rede tradicional. O objetivo da macrossegmentação é dividir uma rede em vários pedaços distintos para atender às necessidades do negócio. Um exemplo de uso comum de macrossegmentação é o isolamento de ambientes de desenvolvimento e produção. Os aplicativos atualmente em desenvolvimento provavelmente contêm vulnerabilidades exploráveis ou outros problemas, tornando-os uma ameaça potencial à segurança corporativa ou à funcionalidade do restante da rede. Segmentar a rede de desenvolvimento fora da rede de produção permite que aplicativos não confiáveis sejam testados sem representar um risco à estabilidade e capacidade de operação da rede da organização.

What is Macro-Segmentation?

Como funciona a macrossegmentação

A macrossegmentação é frequentemente implementada como uma sobreposição na infraestrutura de rede física de uma organização. Isso é feito usando uma combinação de firewall e rede local virtual (VLANs).

 

Uma VLAN é uma rede virtualizada que define como o tráfego deve ser roteado pela rede física. Isto significa que, se dois sistemas estiverem em VLANs diferentes, pode não ser possível rotear o tráfego diretamente entre eles. Em vez disso, as VLANs são configuradas de forma que todo o tráfego entre as VLANs passe primeiro por um firewall. Isto torna possível que o firewall imponha limites entre VLANs – ou seja, bloqueie qualquer tráfego que tente cruzar um limite de VLAN sem autorização – e execute inspeção de segurança e aplicação de políticas de controle de acesso.

Macrossegmentação vs Microssegmentação

A macrossegmentação e a microssegmentação são métodos de dividir a rede de uma organização em seções e podem fornecer vários benefícios. No entanto, as políticas de macrossegmentação e microssegmentação são muito diferentes:

 

  • Macrossegmentação: A macrossegmentação divide uma rede em grupos de sistemas, proporcionando a capacidade de dividir a infraestrutura e os sistemas de rede com base em departamentos ou outros critérios. Geralmente é implementado usando VLANs e firewall.
  • Microssegmentação: A microssegmentação geralmente divide a infraestrutura de uma organização no nível do sistema ou mesmo no nível do aplicativo. Ele é usado para fornecer visibilidade e controle altamente granulares sobre os fluxos de dados dentro da rede de uma organização, permitindo a implementação de uma estratégia de segurança de confiança zero . Muitas vezes é implantado usando soluções definidas por software porque esses sistemas já exigem visibilidade e controle profundos para fins de roteamento (tornando a inspeção e a aplicação de políticas mais fáceis).

Principais benefícios da macrossegmentação

A macrossegmentação transforma a rede de uma organização de um monólito em uma coleção de sub-redes discretas. Isso oferece uma série de vantagens para uma organização:

 

  • Visibilidade e controle aprimorados: sem implementar a macrossegmentação, uma organização só terá visibilidade profunda e controle sobre o tráfego de rede no perímetro da rede, onde ele passa pelo firewall do perímetro. Com a macrossegmentação, firewall de rede interno fornece um nível muito mais profundo de compreensão e controle dos fluxos de dados dentro da rede de uma organização.
  • Segurança aprimorada: o principal motivo pelo qual as organizações implementam a macrossegmentação é fornecer maior resistência a ataques cibernéticos. É provável que um invasor dentro da rede de uma organização precise mover-se lateralmente através dela para atingir seu objetivo, porque é improvável que sistemas comumente comprometidos (estações de trabalho de usuários, etc.) sejam o objetivo do invasor. A macrossegmentação permite que uma organização inspecione fluxos de dados internos nos limites do segmento, aumentando a probabilidade de detectar esse movimento lateral.
  • Maior desempenho da rede: a macrossegmentação permite que uma organização segmente uma rede com base em suas necessidades de negócios. Isso pode ajudar a diminuir a latência e o congestionamento da rede, garantindo que os sistemas que se comunicam frequentemente entre si estejam intimamente conectados e que fluxos de rede supérfluos não consumam largura de banda valiosa.
  • Conformidade regulatória: Algumas regulamentações de proteção de dados, como o Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS), determinam que as organizações limitem o acesso a dados protegidos (como cartões de pagamento) com base na necessidade de conhecimento. A macrossegmentação é um componente essencial da Conformidade regulatória do PCI DSS porque as organizações em conformidade devem isolar os sistemas usados para processamento de cartões de pagamento do resto da rede corporativa.

Implementando Macrossegmentação com Check Point

A macrossegmentação usa firewall de rede interno para definir VLANs e realizar inspeção de conteúdo do tráfego que flui através dos limites da VLAN. Isto proporciona uma série de vantagens diferentes para uma organização e é provavelmente um componente crítico da estratégia de segurança de dados e conformidade regulatória de uma empresa.

 

No entanto, as organizações também devem considerar a usabilidade da sua infra-estrutura de rede ao conceberem e implementarem uma estratégia para implementar a macrossegmentação nas suas redes. Se todo o tráfego da rede interna que atravessa os limites do segmento for forçado a passar pelo firewall da rede interna, as organizações precisarão de firewall com alto rendimento e recursos robustos de inspeção de segurança para maximizar o desempenho e a segurança da rede.

As soluções de segurança da Check Point permitem que as organizações implementem uma macrossegmentação eficaz em toda a sua infraestrutura de rede. O Check Point Firewall de próxima geração (NGFWs) fornece segurança robusta e alto rendimento para infraestrutura local, enquanto o Check Point CloudGuard fornece visibilidade nativa da nuvem e soluções de segurança para a implantação baseada na nuvem de uma organização. Para ver essas soluções em ação, solicite demonstrações das soluções Check Point NGFW e CloudGuard Infrastructure as a Service (IaaS) .

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso avisocookies .
OK