A maioria das soluções de segurança de rede que as organizações tem implementado estão claramente abaixo de um padrão mínimo, ou seja, não protegem realmente sua infraestrutura.
Vemos todos os dias violações e ataques bem-sucedidos, e se você já passou por isso, sabe o quanto disruptivo e caro pode ser correr atrás do prejuízo. Uma das principais razões são as soluções tradicionais de Network Access Control (NAC) que não atendem aos requisitos técnicos, de negócios e de segurança dos dias atuais.
Historicamente, as soluções de segurança de rede aceitaram o mito do usuário confiável. As empresas construíam um perímetro em torno de sua rede interna, verificavam se um usuário era quem diziam ser e, uma vez na porta, esse usuário recebia acesso total. Mas os tempos mudaram.
De acordo com especialistas da Forrester, há um movimento para redesenhar a segurança da rede:
Os modelos de segurança de rede baseados em perímetro falham na proteção contra as ameaças atuais. O modelo de confiança está quebrado; Existem quatro armadilhas críticas com a abordagem de hoje à segurança de rede: É impossível identificar interfaces confiáveis, o mantra "confie, mas verifique" é inadequado, insiders mal-intencionados muitas vezes estão em posições de confiança e a confiança não se aplica a pacotes.
Em outro relatório complementar da Forrester, a empresa afirma:
Os fornecedores não projetaram os controles de segurança corporativa existentes para impedir os tipos de ameaças comuns de hoje. Os ataques atuais são de vários estágios, vários sistemas operacionais e vários aplicativos, e as equipes de segurança corporativa lutam para se adaptar aos padrões de ataque em mutação... Uma rede Zero Trust (ZT) elimina a ideia de confiança dentro do perímetro corporativo. A rede inteira não é confiável. Em vez disso, as equipes de segurança criam microperímetros de controle granular em torno dos ativos de dados confidenciais de uma empresa que também fornecem visibilidade sobre como esses dados são usado em todo o ecossistema de negócios.
Apesar disso, muitos profissionais de segurança mantém as soluções NAC tradicionais que estão falhando. Por que?
Visão geral da tecnologia de controle de acesso à rede
O controle de acesso à rede, ou NAC, é uma tecnologia bastante desenvolvida. No entanto, o mercado está crescendo relativamente devagar para o padrão IEEE para controle de acesso à rede baseado em porta (PNAC), 802.1X.
O NAC é composto por vários componentes. Existe o software cliente que roda no dispositivo, um suplicante, que quando conectado à rede, negocia com o ponto de controle de acesso. Através deste ponto de acesso, a autenticação é realizada usando um nome de usuário e senha e/ou autenticação multifator. Este ponto de acesso então se conecta a um servidor radius que valida as credenciais do usuário. Se o usuário passar nesse teste e nos verificadores de dispositivo apropriados, o ponto de acesso permitirá que o usuário obtenha acesso a uma ou mais LANs virtuais ou VLANs. A VLAN define um grupo de servidores na rede de forma que é aplicada no nível da infraestrutura de rede, mas permite que você agrupe servidores logicamente com base no risco ou função de negócios.
VEJA TAMBEM: A LGPD está quase aí! Não sabe por onde começar?
Uma solução NAC permite que você observe um determinado conjunto de atributos no dispositivo do cliente, valide credenciais e forneça acesso à VLAN. Mas as VLANs apresentam complexidade:
As VLANs precisam ser definidas com antecedência - elas são estáticas e, em alguns casos, exigem mudanças na configuração da rede para serem alteradas.
Quando um usuário tem permissão para acessar uma VLAN (ou seja, o perímetro), ele obtém acesso total e completo a tudo. Um switch de rede permite ou proíbe o acesso à VLAN, mas nada além disso. A maioria das organizações tem um número relativamente pequeno de VLANs - duas, três, talvez quatro - uma VLAN de convidado, uma VLAN de funcionário regular e uma VLAN de produção de alto risco.
As soluções NAC não se estendem a recursos que estão sendo executados na nuvem.
As soluções NAC lutam com usuários remotos, mas os usuários remotos são a norma. A maioria das organizações adiciona soluções de acesso remoto, como VPNs, criando outro conjunto de políticas a serem gerenciadas.
O resultado? Se as organizações estiverem usando recursos baseados em nuvem, elas precisam de uma solução alternativa ou adicional ao NAC para gerenciar o acesso do usuário.
Ou seja, as soluções baseadas em perímetro simplesmente não atendem mais as necessidades dos dias de hoje.
Em vez de tentar aprimorar as implementações das soluções NAC tradicionais, muitas organizações estão considerando substituí-las por soluções de perímetro definido por software, uma vez que oferecem um segmento de rede individualizado e ajustado dinamicamente. Benefícios:
Redes corporativas seguras com controle refinado
Redução dos custos operacionais
Segurança da Nuvem
Atender facilmente aos requisitos de Compliance
Essa abordagem de segmento de rede individualizada se ajusta dinamicamente com base nos atributos do usuário e da rede. Ele assume o princípio do menor privilégio e o aplica, permitindo que os usuários, por meio de um conjunto de políticas, obtenham acesso apenas aos recursos de que precisam na rede.
As principais vantagens de uma solução de perímetro definido por software
Baseado na política e não na configuração da rede ou topologia, o que reduz o custo operacional.
Independente da localização e segue o usuário onde quer que ele vá
O acesso é controlado uniformemente se o usuário está no local, trabalhando remotamente, acessando recursos no data center corporativo ou na nuvem.
Por causa da visibilidade e do controle, ajuda as organizações a atender com mais facilidade seus requisitos de Compliance.
*Você também pode conferir o texto em inglês, clicando aqui.
Proteja seu futuro. Invista em cibersegurança hoje mesmo.
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!
