• InternationalIT

O que é melhor: NAC ou perímetro definido por software?

As soluções de segurança de rede que a maioria das organizações está implantando estão claramente abaixo no padrão mínimo.


Vemos muitas violações e ataques bem-sucedidos, e aqueles de nós que já passaram por isso sabem o quão disruptivo e caro pode ser. Muito disso tem a ver com soluções tradicionais de Network Access Control (NAC) que não atendem aos requisitos de negócios, segurança, técnicos e de conformidade de hoje.



Historicamente, as soluções de segurança de rede aceitaram o mito do usuário confiável. As empresas construiriam um perímetro em torno de sua rede interna, verificariam se um usuário era quem diziam ser e, uma vez na porta, esse usuário receberia acesso total à rede ou pelo menos a uma grande parte da rede. Talvez nosso último ganhador do Prêmio Nobel concordasse: “Os tempos estão mudando."


De acordo com especialistasda Forrester, há um movimento para redesenhar a segurança da rede:


Os modelos de segurança de rede baseados em perímetro falham na proteção contra as ameaças atuais. O modelo de confiança está quebrado; Existem quatro armadilhas críticas com a abordagem de hoje à segurança de rede: É impossível identificar interfaces confiáveis, o mantra "confie, mas verifique" é inadequado, insiders mal-intencionados muitas vezes estão em posições de confiança e a confiança não se aplica a pacotes.

Em outro relatório complementar da Forrester, a empresa afirma que “os fornecedores não projetaram os controles de segurança corporativa existentes para impedir os tipos de ameaças comuns hoje. Os ataques atuais são de vários estágios, vários sistemas operacionais e vários aplicativos, e as equipes de segurança corporativa lutam para se adaptar aos padrões de ataque em mutação... Uma rede Zero Trust (ZT) elimina a ideia de uma rede confiável dentro do perímetro corporativo. A rede inteira não é confiável. Em vez disso, as equipes de segurança criam microperímetros de controle granular em torno dos ativos de dados confidenciais de uma empresa que também fornecem visibilidade sobre como a empresa usa esses dados em todo o seu ecossistema de negócios. ”


Apesar desse aviso da Forrester, muitos profissionais de segurança mantiveram as soluções NAC tradicionais que estão falhando. E aqui está o porquê:


Visão geral da tecnologia de controle de acesso à rede

O controle de acesso à rede, ou NAC, é uma tecnologia bastante desenvolvida. No entanto, com base no padrão IEEE para controle de acesso à rede baseado em porta (PNAC), 802.1X, o mercado está crescendo relativamente devagar.


Com o NAC, existem vários componentes. Existe o software cliente que roda no dispositivo, um suplicante, que quando conectado à rede, negocia com o ponto de controle de acesso à rede, um pedaço de hardware de rede que roda na rede. Através deste ponto de acesso, a autenticação é realizada usando um nome de usuário e senha e / ou autenticação multifator. Este ponto de acesso então se conecta a um servidor radius que valida as credenciais do usuário. Se o usuário passar nesse teste de credencial e nos verificadores de dispositivo apropriados, o ponto de acesso permitirá que o usuário obtenha acesso a uma ou mais LANs virtuais ou VLANs. A VLAN define um grupo de servidores na rede de uma forma que é aplicada no nível da infraestrutura de rede, mas permite que você agrupe servidores logicamente com base no risco ou função de negócios.


Uma solução NAC permite que você observe um determinado conjunto de atributos no dispositivo do cliente, valide credenciais e forneça acesso à VLAN. Mas as VLANs apresentam complexidade:


VEJA TAMBEM: A LGPD está quase aí! Não sabe por onde começar?


  • As VLANs precisam ser definidas com antecedência - elas são estáticas e, em alguns casos, exigem mudanças na configuração da rede para serem alteradas.

  • Quando um usuário tem permissão para acessar uma VLAN (ou seja, o perímetro), ele obtém acesso total e completo a tudo na VLAN. Um switch de rede permite ou proíbe o acesso à VLAN, mas nada além disso. O que é importante é que a maioria das organizações tem um número relativamente pequeno de VLANs - duas, três, talvez quatro - uma VLAN de convidado, uma VLAN de funcionário regular e uma VLAN de produção de alto risco.

  • As soluções NAC não se estendem a recursos que estão sendo executados na nuvem.

  • As soluções NAC lutam com usuários remotos, mas os usuários remotos são a norma. A maioria das organizações adiciona soluções de acesso remoto, como VPNs, à combinação, criando outro conjunto de políticas a serem gerenciadas.


O resultado? Se as organizações estiverem usando recursos baseados em nuvem, elas precisam de uma solução alternativa ou adicional ao NAC para gerenciar o acesso do usuário.


E isso é a maior coisa que está mudando hoje - as soluções baseadas em perímetro simplesmente não funcionam.


Em vez de tentar melhorar as implantações de soluções NAC tradicionais, muitas organizações estão considerando substituí-los por uma solução de perímetro definido por software que oferece um segmento de rede individualizado e ajustado dinamicamente - um segmento de um para:


  • Redes corporativas seguras com controle refinado

  • Reduza os custos operacionais

  • Permitir a adoção segura da nuvem

  • Atenda facilmente aos requisitos de conformidade


Essa abordagem de segmento de rede individualizada se ajusta dinamicamente com base nos atributos do usuário e da rede. Ele assume o princípio do menor privilégio e o aplica, permitindo que os usuários, por meio de um conjunto de políticas, obtenham acesso apenas aos recursos de que precisam na rede.


Principais fatos sobre uma solução de perímetro definido por software


  • Baseado na política e não na configuração da rede ou topologia, reduz o custo operacional.

  • Independente da localização e segue o usuário onde quer que ele vá

  • O acesso é controlado uniformemente se o usuário está no local, trabalhando remotamente e / ou acessando recursos no data center corporativo ou na nuvem.

  • Por causa da visibilidade e do controle, ajuda as organizações a atender com mais facilidade seus requisitos de conformidade.


As soluções de perímetro definido por software superam os desafios do NAC e para ter certeza de que há políticas necessárias para resguardar a sua rede de pessoas mal intencionadas, entre em contato conosco através do e-mail contato@internationalit.com ou telefone (11) 3938-4653 que teremos uma equipe pronta para lhe atender!





*Você também pode conferir o texto em inglês, clicando aqui.

6 visualizações

Política de Privacidade | Copyright © 2020 Todos os direitos reservados

Desenvolvido por Marketing Fora De Série