Dividir para proteger!

Desgin_a_VLAN_based_network

Um artigo interessante me foi indicado, e trata de um assunto que é pouco comentado fora das salas de aula, ou mesmo implementado nas empresas com a devida manutenção posterior, que é a segmentação de redes. Ele afirma que, em uma pesquisa recente realizada com a participação de administradores de redes, aos quais foi pedido que descrevessem a segmentação das redes sob a administração destes, apenas trinta por cento destes revelaram que utilizam a técnica para a proteção contra as ameaças mais recentes. Outra terça parte informou que “implementaram e esqueceram” a segmentação, e outra parcela equivalente afirmou que a revisam de tempos em tempos, particularmente quando em momentos de auditoria. Corajosos seis por cento responderam com outra pergunta: “Descrever a minha o quê?”

Em tempos como estes, onde os ataques realizados com sucesso a redes privadas estão causando grandes danos, como o caso recente em que a Sony foi vítima de chantagem e teve considerável prejuízo com a divulgação de várias de suas produções através da Internet, a importância de segmentar e proteger as redes internas com várias camadas de segurança fica mais evidente. Para tanto, o artigo oferece algumas dicas para que a implementação da segmentação seja bem planejada:

Entenda os fatores organizacionais e de negócios. Para saber o que proteger, você precisa entender como são auferidas as receitas da organização, além de quais são os componentes que suportam a base do negócio. Então deve identificar os ativos, dados e pessoal crítico para garantir a continuidade dos negócios.

Crie um plano. Você quer classificar, isolar e proteger os componentes mais importantes. Agrupe componentes relacionados, por exemplo, todos os seus servidores Windows, em uma única rede virtual (VLAN). Outros grupos de ativos podem incluir componentes de infraestrutura, como roteadores, switches, VPNs e VoIPs, em outra VLAN e componentes de segurança, como IDS, firewalls, filtros web e escaners em outra.

Servidores dos setores financeiro ou de recursos humanos necessitam de suas próprias VLANs, devido a natureza confidencial dos dados que processam e armazenam. Você também pode separar grupos de pessoas em suas próprias VLANs, assim possuindo uma para administradores de servidores Windows, outra para o pessoal que cuida da segurança destes e outra para os executivos. Dados que requeiram proteção especial, para atendimento a normas regulatórias também devem trafegar em uma VLAN separada, como informações de cartões de crédito ou prontuários médicos.

Determine quem pode acessar quais dados. Isso resume-se às necessidades do negócio: Quem precisa administrar os roteadores e switches? Quem precisa acessar os sistemas de recursos humanos ou financeiros? Quantas pessoas deveriam poder controlar remotamente as câmeras de segurança? Seja impiedoso. Se não há necessidade de negócio então não deve ter acesso.

Organizações que operem inteiramente em nível regional doméstico ou local podem inclusive querem implementar bloqueio total a regiões geográficas remotas na camada IP. em geral, adote a negação de acesso por padrão para cada uma das VLANs. Seu objetivo é limitar o acesso a informações sensíveis para aqueles que precisam na organização e criar bloqueios que possam impedir, ou atrasar, a continuidade de danos potenciais de intrusos que possam ter ultrapassado uma camada de segurança.

Implemente a segmentação. Em uma organização de grande porte, a segmentação é um projeto significante e de longo prazo, mas cada passo nesse sentido aumenta a segurança. Comece em algum ponto, talvez com os administradores de redes, ou os servidores Windows. Nesse momento você poderia configurar VLANs chamadas administradores-redes (para as estações de trabalho deles) e dispositivos-rede (para roteadores e switches).

Registre em logs todo o tráfego entre os segmentos para determinar o que é neormal e necessário para o funcionamento efetivo. Uma vez que conheça o que é necessário, comece a bloquear o acesso às VLANs para todos os outros, com o objetivo final de negação por padrão. Tenha certeza de ter implementados os controles necessários para reforçar a segmentação e monitorar quaisquer mudanças requeridas posteriormente que possam vir a comprometer a segmentação. Continue o processo para cada grupo de ativos pessoal e informação.

Mantenha o ambiente. A segmentação de rede não pode ser abordada de modo a “implementar e esquecer”. A política de acesso às redes, definida nos firewalls, roteadores e dispositivos relacionados, muda constantemente para atender a novos requisitos de negócios. Assegurar que novas mudanças não violem sua estratégia de segmentação requer um bom nível de visibilidade e automação (essa visibilidade também é útil para evitar as interrupções ou a ruptura de negócios devido a má configuração destes acessos). A potencial sobrecarga no gerenciamento, necessária para a manutenção de uma boa segmentação, é uma das razões pelas quais as organizações fogem dela. Mas, a apropriada segmentação é crítica. Uma solução de segurança de redes ciente de topologia que possa automatizar o processo de segmentação é vital.

A segmentação de redes é um componente efetivamente inquestionável em uma estratégia de defesa em profundidade. Organizações que a implementam devem estar preparadas para gerenciar pontuações de firewalls, roteadores, switches, cada um com centenas de regras, cada uma delas sendo afetada por um processo de segmentação de redes e potencialmente por atualizações e mudanças, mesmo depois de estar implantada. Uma abordagem rigorosa é essencial, e um investimento significante de tempo e pessoal também é necessário. Mas independente disso, é muito mais fácil equipar a sua organização com uma defesa segura através de uma segmentação de redes apropriada, do que explicar a acionistas e a imprensa como hackers foram capazes de acessar milhões de registros em seu sistema.

Para acessar e conferir o artigo original, clique neste link.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s