VLAN - Segmentation and Security

Uma rede de área local virtual (VLAN) é uma rede isolada, mas sem a necessidade de que o dispositivo da rede esteja localizado nas proximidades. Essa liberdade física permite que grupos de dispositivos sejam atribuídos a VLANs específicas, permitindo que os engenheiros de rede criem uma topologia mais segura e segmentada.

Com a segmentação de VLAN, os agentes mal-intencionados ficam limitados apenas aos recursos e privilégios associados à sub-rede correspondente de um dispositivo comprometido. A segmentação de VLANs exige suas próprias considerações de segurança, e o cuidado e a proteção adequados devem ser aplicados às operações entre sub-redes.

OBTENHA UMA DEMONSTRAÇÃO Leia o relatório Frost & Sullivan

Segmentação de rede VLAN vs. Segmentação de rede SDN

A VLAN foi uma das primeiras formas de isolar segmentos de rede e é uma das mais simples.

Para ter uma ideia melhor de como a VLAN funciona, vamos compará-la com uma forma mais moderna de abordagem de segmentação de rede - a rede definida por software (SDN).

Segmentação de VLAN

Veja como funciona a segmentação de VLAN.

Conectando-se a uma VLAN

Quando um host deseja se conectar à sua sub-rede VLAN, a solicitação do dispositivo viaja pela Internet até um roteador, que classifica a solicitação e a envia para o switch relevante.

Switches Portas &

Esse switch transporta dados de e para o segmento de rede correspondente.

Controlar quais usuários podem acessar qual VLAN é fundamental para a segmentação segura da rede. Em muitas organizações, o acesso é gerenciado atribuindo associações específicas de VLAN a portas ou endereços MAC. Esses switches permitem que os dados sejam enviados e recebidos somente nas portas corretas, permitindo que os administradores de rede apliquem o acesso à VLAN em uma organização.

Marcação de VLAN

No entanto, as portas não são a única maneira, e as conexões de VLAN única também podem ser obtidas com a marcação de VLAN.

Isso adiciona um pequeno cabeçalho aos quadros Ethernet que estão sendo enviados; ao transferir esses pacotes, o switch verifica novamente a tag, evitando que qualquer dado vaze para outras sub-redes de VLAN. Melhor ainda, as tags de VLAN são de Camada 2 - separadas do endereço IP - os dispositivos podem ser conectados à mesma estrutura de VLAN, mesmo que estejam em intervalos de endereços IP diferentes.

Embora escaláveis e muito flexíveis, os switches permanecem parte integrante da implementação da VLAN. Mas essa forma física de estratégia de segmentação de rede não é mais a única opção.

Segmentação de rede definida por software (SDN)

O SDN abstrai completamente o plano de controle do hardware físico. Isso significa que, em vez de depender da segmentação física, os SDNs podem usar a segmentação lógica para obter um efeito semelhante.

A distinção

Em relação à segmentação da rede, no entanto, a distinção importante está em como a VLAN divide grupos estáticos de dispositivos em sub-redes físicas, enquanto a SDN é uma abordagem mais ampla que pode gerenciar grupos de rede, dispositivos e acesso à rede de cargas de trabalho a partir de um painel de controle central.

Benefícios da segmentação de VLAN

O principal benefício da segmentação de toda a rede é que ela limita o movimento lateral, ou de leste para oeste.

Isso restringe explicitamente o movimento que os agentes mal-intencionados e o malware podem empregar ao atacar sua organização. Além disso, a segmentação de VLANs oferece algumas outras vantagens, exclusivas por sua simplicidade.

Desempenho aprimorado da rede

Em uma LAN, todos os dispositivos estão constantemente enviando transmissões frequentes, comunicando-se e localizando recursos de rede. Quando as LANs aumentam de tamanho, esse tráfego em segundo plano pode rapidamente se tornar problemático.

As VLANs reduzem o congestionamento da rede simplesmente dividindo uma rede maior em partes relevantes.

Ao fazer isso, as VLANs reduzem a demanda de cada dispositivo para responder a essas intermináveis consultas em segundo plano e, portanto, permitem que eles dediquem recursos apenas ao tráfego relevante. Finalmente, do ponto de vista de um administrador, é possível restringir ou definir limites para o uso da largura de banda de cada sub-rede, ajudando a moderar o uso de recursos pagos.

Fácil escalabilidade

À medida que uma organização cresce além de uma simples LAN para o território de VLANs, é importante escolher uma arquitetura que possa ser expandida muito além do futuro. A VLAN é adequada para um maior crescimento, pois novas sub-redes podem ser configuradas rapidamente sem a necessidade de revisar a estrutura mais ampla.

Administração de rede simplificada

Ao agrupar os dispositivos de forma mais estratégica, a administração da rede pode se beneficiar de uma simplificação significativa. Para conseguir isso, a infraestrutura de VLAN oferece suporte ao gerenciamento prático com a VLAN de gerenciamento. Essa é a VLAN 1 por padrão e monitora remotamente o dispositivo em cada sub-rede via SSH, Telnet e syslog.

Com uma infinidade de vantagens em relação à arquitetura típica de LAN, a VLAN é um primeiro passo altamente acessível em direção a uma arquitetura mais segura.

Desvantagens da VLAN

No entanto, com sua acessibilidade, surgem várias questões de segurança e desempenho.

Não é inerentemente zero trust

Com cada dispositivo e usuário tendo uma VLAN de grupo, a ameaça de um invasor invadir e obter acesso a todos os segredos corporativos é reduzida. No entanto, o risco não desapareceu para sempre - cada dispositivo dentro da VLAN ainda é considerado confiável.

Isso significa que, para os invasores, algumas funções se tornam inerentemente mais valiosas para serem alvos - o DevOps merece uma menção honrosa pela atenção maliciosa que recebe.

Quando comparado com abordagens de micro segmentação mais rígidas, o design relativamente básico da VLAN significa que ela não é capaz de reagir a mudanças nas condições da rede segmentada e no comportamento do dispositivo sem ferramentas adicionais.

Segmentação não universal

Embora as VLANs ofereçam uma maneira de segmentar uma rede, sua adequação a organizações maiores começa a se degradar quando se considera que elas segmentam uma única rede física.

Portanto, se o senhor tiver dois escritórios, ambos com suas próprias equipes de TI e redes separadas, a segmentação por VLAN não conseguirá lidar com as sub-redes às quais as duas equipes de TI precisam de acesso conjunto. Afinal, as VLANs foram criadas para separar o tráfego da rede. Se o senhor quisesse permitir o acesso entre duas VLANs, precisaria de roteamento entre VLANs, que é inerentemente de alto risco e exige revisões regulares das listas de controle de acesso entre VLANs.

Pode introduzir vulnerabilidade

O fato de a infraestrutura de VLAN estar tão bem estabelecida significa que os atacantes têm décadas de experiência aproveitando ataques contra ela. Isso abre o risco de qualquer pequeno erro de gerenciamento que leve ao salto de VLAN.

Um tráfego falsificado da VLAN 1 concede acesso malicioso às portas tronco e, portanto, ao restante dos segmentos da rede.

Crie uma topologia preparada para o futuro com a Check Point

Zero trust é mais do que uma palavra-chave corporativa: é uma filosofia de segurança que restringe cada dispositivo aos sistemas e recursos individuais de que precisam. A segmentação macro, como sub-redes de VLAN, é um ótimo primeiro passo para implementar essa abordagem, mas é vital introduzir mais proteção em cada sub-rede.

Para implantação no local, os Firewalls de próxima geração (NGFWs) da Check Pointgarantem visibilidade e controle totais sobre o tráfego e as solicitações que fluem para as sub-redes e entre elas. Com opções de taxa de transferência de alta largura de banda, a inspeção profunda de pacotes do NGFW permite que as solicitações mal-intencionadas sejam detectadas e interrompidas na hora certa. Descubra como com um demo aqui.

As configurações baseadas na nuvem, por outro lado, precisam da virtualização da rede e da segurança oferecidas pelo CloudGuard Infrastructure as a Service (IaaS). Veja como a segurança automatizada pode ser implementada em toda a nuvem pública, privada e híbrida e comece hoje mesmo a colocar em prática a topologia de rede de confiança zero.

Iniciar

Quantum network security

Resumo da solução de segurança Zero Trust

Soluções de segurança Zero Trust

Tópicos relacionados

O que é Zero Trust?

O que é SASE?

Segmentação de Rede

O que é um firewall de próxima geração (NGFW)?

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK