Microssegmentação é um método para criar zonas seguras granulares em datacenters e implantações em nuvem até cargas de trabalho individuais usando tecnologia de virtualização para monitorar e proteger o tráfego lateral. As soluções de segurança tradicionais, como firewalls, VPNs e controle de acesso à rede (NAC), têm como foco principal a proteção do perímetro de uma rede, também conhecido como tráfego norte-sul. A microssegmentação, por outro lado, monitora e protege o tráfego leste-oeste ou lateral. Isso inclui conexões de servidor para servidor, aplicativo para servidor e web para servidor na rede.
A crescente adoção de redes definidas por software e virtualização de rede criou a necessidade de medidas de segurança interna mais granulares. A microssegmentação está no centro da segurança Zero Trust.
Microssegmentação vs segmentação de rede
Organizações com ambientes baseados em hardware usam firewalls, VPNs e VLANs para segmentação de rede. Este método protege o perímetro, mas não protege o tráfego interno. Ele se baseia em políticas grosseiras que oferecem controle limitado do tráfego. Se um invasor conseguir obter acesso, ele será confiável para se mover livremente pela rede. A microssegmentação visa bloquear essas conexões não autorizadas.
Políticas de segurança granulares são atribuídas a cada segmento com microssegmentação para mover os parâmetros de segurança para longe das redes e endereços IP e focalizá-los na identidade do usuário e nos aplicativos. Essas políticas evitam que usuários e aplicativos não autorizados se movam lateralmente em uma rede. As políticas podem ser definidas de acordo com construções do mundo real, como grupos de usuários, grupos de acesso e grupos de rede. Se uma violação de política for detectada, as ferramentas de microssegmentação enviarão um alerta e, em alguns casos, bloquearão a atividade não autorizada. Milhares de políticas grosseiras para cada segmento seriam necessárias para alcançar a mesma proteção de tráfego lateral que a microssegmentação pode fornecer.
Segurança de núcleo para confiança zero
A microssegmentação é a chave para implementar uma estrutura de confiança zero. Este modelo se baseia no conceito de “não confie em nada e verifique tudo”. Seu objetivo é autenticar cada conexão feita dentro da rede para evitar que invasores mudem de uma carga de trabalho comprometida para outra. Ao segmentar cargas de trabalho e aplicar políticas de segurança de baixa granularidade, até máquinas e aplicativos únicos, a superfície geral de ataque de uma rede é reduzida.