O que é microssegmentação?

Publicado 28 de abril de 20267 minutos (tempo de leitura)
Copiar URL

Visão geral

A microssegmentação é uma técnica de segurança definida por software que divide um ambiente de data center e aplicações em pequenos segmentos para proteger cargas de trabalho individuais, como uma aplicação específica em uma máquina virtual (VM) ou em container. Na segmentação de rede tradicional, a segurança se concentra no ponto de contato entre a rede privada e a internet. A microssegmentação internaliza o foco, aplicando políticas de segurança granulares ao tráfego dentro da rede.

Com o isolamento, a microssegmentação impede que invasores transitem entre sistemas mesmo que consigam ultrapassar o ponto de entrada inicial. Essa abordagem é um componente essencial da segurança Zero Trust, em que a comunicação dentro do data center é considerada como não confiável por padrão. Nela, cada solicitação deve ser verificada com base em políticas rigorosas e automatizadas. 

Administradores do VMware: explore o Red Hat OpenShift

Como a microssegmentação funciona

A microssegmentação melhora a segurança da rede ao proteger cada carga de trabalho individualmente, sem depender de um ponto de controle central. Em um data center moderno, onde a carga de trabalho pode ser uma VM, um container ou serverless, essa abordagem complementa as defesas de perímetro existentes. Mesmo que a barreira principal da rede seja ultrapassada, cada componente interno continua protegido por seu limite específico definido por software.

Segmentação de rede tradicional e microssegmentação

Tradicionalmente, as redes eram segmentadas usando ferramentas baseadas em hardware, como firewalls e redes virtuais locais (VLANs). Essa abordagem adota uma segurança vertical, abrangendo o tráfego que entra e sai do data center pelo gateway principal. 

O problema é que tudo que está dentro de um segmento específico é considerado confiável. Normalmente, isso permite que uma aplicação e um banco de dados que estejam na mesma VLAN se comuniquem sem restrições. Se um deles for comprometido, o outro estará em risco, visto que o ponto de entrada da rede já foi ultrapassado.

A microssegmentação lida com o tráfego horizontal, ou seja, a comunicação interna entre servidores e aplicações. Quando aplicadas a cargas de trabalho individuais, as políticas de segurança não dependem do layout da rede física subjacente ou VLAN do servidor. Em vez disso, o software define a segurança com base na identidade da carga de trabalho. 

Como funciona

A microssegmentação usa três princípios para proteger a rede:

  • Isolamento: as cargas de trabalho ficam separadas, salvo quando uma regra permite a comunicação entre elas, o que contribui para um ambiente digital soberano. Por exemplo, é possível isolar os ambientes de desenvolvimento e de produção, mesmo que estejam no mesmo hardware.
  • Controle granular: as equipes de segurança podem escrever regras muito específicas. Por exemplo, em vez de “O servidor A pode se comunicar com o servidor B”, a regra estabelece: “O servidor web pode se comunicar com o banco de dados somente por uma porta específica e usando determinados tipos de dados”.
  • Princípio do privilégio mínimo: a carga de trabalho recebe o acesso mínimo necessário para executar suas tarefas. Se um serviço não precisa se conectar a outros sistemas, a microssegmentação impede que isso ocorra. 

Implementação baseada em software e políticas

Como atualmente as infraestruturas estão sempre evoluindo, fica difícil protegê-las configurando o hardware manualmente. O trabalho manual não acompanha a velocidade das VMs e dos containers.

A microssegmentação é baseada em software e orientada por políticas de segurança como código. Quando uma nova VM ou container é iniciado, o sistema o reconhece e aplica automaticamente as tags e regras de segurança relevantes, que acompanham a carga de trabalho independentemente do servidor físico ou nuvem que ela usa.

Leia mais sobre rede definida por software

Hub de aprendizagem do Red Hat OpenShift Virtualization

Benefícios da microssegmentação

A microssegmentação oferece um nível de controle e visibilidade difícil de alcançar com uma rede tradicional baseada em hardware, embora não seja impossível. Confira os principais benefícios da microssegmentação nos ambientes de TI modernos:

Segurança reforçada e contenção de movimento lateral 

O maior benefício da microssegmentação é conter violações. Em uma rede plana, ao acessar um sistema de baixa prioridade, o invasor pode alcançar destinos de alto valor, como bancos de dados contendo informações dos clientes.

A microssegmentação cria "segmentos individuais" para garantir que, mesmo que uma carga de trabalho seja comprometida, a ameaça permaneça isolada. O invasor fica preso a um "cômodo" digital sem portas para o restante da casa.

Conformidade e auditabilidade aprimoradas

Em setores com regulamentações rigorosas, como saúde ou finanças, a microssegmentação simplifica o processo de conformidade. Ela permite isolar do resto da rede os sistemas internos que processam dados confidenciais.

Como as políticas de segurança são definidas por software, é fácil para os auditores identificarem quais usuários tiveram acesso a cada sistema. Os relatórios granulares tornam mais simples provar que as informações confidenciais estão protegidas conforme as normas regulatórias. 

Maior visibilidade e controle sobre o tráfego da rede

É impossível proteger o que não se vê. As ferramentas de microssegmentação oferecem visibilidade detalhada sobre os padrões de tráfego horizontal. As equipes conseguem ver exatamente como as aplicações e serviços interagem em tempo real. Isso permite identificar comportamentos incomuns que indiquem uma ameaça de segurança ou obstáculo ao desempenho.

Adaptabilidade a ambientes de TI modernos

Muitas vezes, as regras de segurança tradicionais são vinculadas a locais físicos, como um endereço IP ou porta de hardware específica. Em um mundo nativo em nuvem, esses locais mudam constantemente conforme os containers são ativados e desativados. 

A microssegmentação é compatível com qualquer ambiente. Como a política de segurança está vinculada à carga de trabalho, e não ao hardware da rede, a proteção é consistente onde quer que a carga de trabalho seja executada: em um data center on-premise, em uma nuvem privada ou em um ambiente de nuvem pública.

Gerenciamento simplificado pela automação

Em ambientes modernos e microssegmentados, as políticas de segurança são automatizadas. Quando uma nova aplicação é implantada, ela herda as políticas de segurança necessárias automaticamente com base em sua função. Com isso, administradores humanos não precisam fazer a configuração manualmente, reduzindo o risco de erros.

Descubra como configurar o acesso à rede com a microssegmentação

Microssegmentação e virtualização

Durante anos, a virtualização foi a grande responsável pela eficiência do datacenter, já que permitia executar várias VMs em um mesmo servidor físico. No entanto, a migração para ambientes virtualizados criou novas vulnerabilidades. Os hardwares de firewall tradicionais muitas vezes não identificam o tráfego entre duas VMs no mesmo host físico. 

Sem visibilidade, as equipes de segurança não conseguem identificar ou bloquear o movimento lateral malicioso. E esse desafio aumenta com a adoção de arquiteturas nativas em nuvem que usam VMs e containers. 

Limites da segmentação tradicional em ambientes virtualizados

Na segmentação tradicional, o tráfego sai do host virtual, passa por um firewall físico e volta ao host para ser inspecionado. Esse processo complexo cria limitações de desempenho e latência, sendo ineficiente para proteger um ambiente escalável. Além disso, em um ambiente virtualizado dinâmico, os endereços IP e localizações mudam com frequência. Regras baseadas em hardware são rígidas demais para acompanhar VMs que migram ou escalam constantemente.

Como a microssegmentação viabiliza uma infraestrutura escalável

A microssegmentação resolve essas ineficiências, desacoplando a segurança do hardware subjacente. Em vez de forçar o tráfego por um firewall central, a política de segurança fica na interface de rede virtual de cada VM ou container. 

Isso oferece: 

  • Desempenho em grande escala: como as verificações de segurança ocorrem na camada virtualizada, não é preciso enviar o tráfego interno para dispositivos externos.
  • Consistência em todos os ambientes: a microssegmentação das cargas de trabalho, sejam VMs tradicionais ou containers modernos, oferece uma maneira única de gerenciar as políticas de segurança de todo o stack.
  • Mobilidade: quando a VM migra de um host físico para outro, o perímetro de segurança acompanha a VM automaticamente.

Ao integrar a segurança à camada de virtualização, a microssegmentação permite escalar sua infraestrutura rapidamente sem expor os sistemas internos.

Principais casos de uso

A microssegmentação é mais eficaz quando aplicada a objetivos empresariais específicos. Cenários frequentes incluem: 

  • Proteção de ambientes de nuvem híbrida: estende uma política de segurança unificada a ambientes on-premise e múltiplos provedores de nuvem.
  • Conformidade regulatória: isola os sistemas que processam dados confidenciais de saúde ou finanças (como números de cartões de crédito ou prontuários médicos) para atender a requisitos de auditoria rigorosos, sem precisar estender as restrições a toda a rede.
  • Proteção dos ambientes de desenvolvimento e produção: procura garantir que bugs ou falhas de segurança no ambiente de teste não passem para o ambiente de produção, onde estão os dados dos clientes. 

Desafios e práticas recomendadas

Embora a microssegmentação ofereça mais segurança, migrar do modelo de rede tradicional requer um planejamento cuidadoso.

Desafios comuns

  • Complexidade inicial: em grandes organizações, ocorrem milhares de conexões a cada momento. Pode ser difícil mapeá-las para entender quais comunicações devem ser permitidas.
  • Gestão de políticas: ao criar mais segmentos, você cria mais políticas. Pode ser difícil para um administrador humano gerenciar milhares de regras de segurança sem as ferramentas certas.
  • Integração com as ferramentas existentes: a microssegmentação deve complementar o stack e a infraestrutura de segurança existentes, sem gerar limitações de desempenho ou riscos ocultos.

Práticas recomendadas

Para superar os desafios da microssegmentação e implementá-la com tranquilidade, siga estas práticas recomendadas do setor:

  • Comece aos poucos: não tente microssegmentar o data center inteiro da noite para o dia. Comece com uma aplicação ou ambiente específico. Use esses projetos iniciais para aprimorar o processo de criação de políticas.
  • Priorize os ativos mais relevantes: concentre os primeiros esforços em aplicações que lidam com dados confidenciais de clientes ou são essenciais para as operações de negócios.
  • Automatize sempre que possível: definir regras manualmente não combina com escala. Use ferramentas capazes de identificar padrões de tráfego e sugerir políticas de segurança automaticamente. Com a automação, a segurança acompanha o crescimento do seu ambiente.
  • Implemente o monitoramento contínuo: monitore o tráfego da rede constantemente para identificar novos padrões de comunicação e ajustar as políticas conforme as aplicações evoluem. 

Por que escolher a Red Hat?

A abordagem moderna e modular da Red Hat para microssegmentação evita a complexidade de subscrições proprietárias e infladas, nas quais os clientes pagam por recursos que jamais chegam a usar. Com o Red Hat® OpenShift® Virtualization, você gerencia VMs e containers em uma única plataforma, aplicando políticas de segurança com consistência. Isso permite escalar sua infraestrutura sem pagar por recursos de que você não precisa. 

Desenvolvido com padrões open source, o Red Hat OpenShift é uma plataforma de aplicações moderna que viabiliza a arquitetura Zero Trust com políticas de rede granulares, aplicadas no nível da carga de trabalho. Isso significa que cada VM e container é isolado por padrão, o que protege contra ameaças internas. 

Com a Red Hat, você obtém uma solução de segurança flexível e preparada para o futuro, que se integra facilmente ao seu ambiente sem a sobrecarga de pacotes tradicionais com dependência de fornecedor. 

Aprenda a migrar VMs do VMware para a Red Hat

Produto

Red Hat OpenShift Virtualization

Uma funcionalidade do Red Hat OpenShift que integra com fluidez as máquinas virtuais a uma plataforma moderna de infraestrutura de nuvem híbrida.

Treinamento e certificação do Red Hat OpenShift Virtualization

Conheça cursos do Red Hat Training and Certification para aprender a migrar, implantar e gerenciar máquinas virtuais com o Red Hat OpenShift® Virtualization.
Leia mais

Leia mais

What is virtualization?

Entenda o que é virtualização e como ela transforma recursos físicos em máquinas virtuais. Aumente a escalabilidade e a eficiência da sua infraestrutura hoje.

What is a virtual machine (VM)?

Máquina virtual (VM), ou "virtual machine", é um ambiente de computação isolado, criado a partir de um pool de recursos de hardware.

How to create a virtual machine with an instance type

Descubra como criar uma máquina virtual com tipo de instância definido no Red Hat OpenShift Virtualization usando a interface gráfica do console do Red Hat OpenShift.

Virtualização: conteúdo adicional

Conteúdo relacionado

Artigos relacionados