O que é microssegmentação?

Copiar URL

A microssegmentação é uma técnica de segurança definida por software que divide um ambiente de data center e aplicações em pequenos segmentos para proteger cargas de trabalho individuais, como uma aplicação específica em uma máquina virtual (VM) ou em container. Na segmentação de rede tradicional, a segurança se concentra no ponto de contato entre a rede privada e a internet. A microssegmentação internaliza o foco, aplicando políticas de segurança granulares ao tráfego dentro da rede.

Com o isolamento, a microssegmentação impede que invasores transitem entre sistemas mesmo que consigam ultrapassar o ponto de entrada inicial. Essa abordagem é um componente essencial da segurança Zero Trust, em que a comunicação dentro do data center é considerada como não confiável por padrão. Nela, cada solicitação deve ser verificada com base em políticas rigorosas e automatizadas. 

Administradores do VMware: explore o Red Hat OpenShift

A microssegmentação melhora a segurança da rede ao proteger cada carga de trabalho individualmente, sem depender de um ponto de controle central. Em um data center moderno, onde a carga de trabalho pode ser uma VM, um container ou serverless, essa abordagem complementa as defesas de perímetro existentes. Mesmo que a barreira principal da rede seja ultrapassada, cada componente interno continua protegido por seu limite específico definido por software.

Segmentação de rede tradicional e microssegmentação

Tradicionalmente, as redes eram segmentadas usando ferramentas baseadas em hardware, como firewalls e redes virtuais locais (VLANs). Essa abordagem adota uma segurança vertical, abrangendo o tráfego que entra e sai do data center pelo gateway principal. 

O problema é que tudo que está dentro de um segmento específico é considerado confiável. Normalmente, isso permite que uma aplicação e um banco de dados que estejam na mesma VLAN se comuniquem sem restrições. Se um deles for comprometido, o outro estará em risco, visto que o ponto de entrada da rede já foi ultrapassado.

A microssegmentação lida com o tráfego horizontal, ou seja, a comunicação interna entre servidores e aplicações. Quando aplicadas a cargas de trabalho individuais, as políticas de segurança não dependem do layout da rede física subjacente ou VLAN do servidor. Em vez disso, o software define a segurança com base na identidade da carga de trabalho. 

Como funciona

A microssegmentação usa três princípios para proteger a rede:

  • Isolamento: as cargas de trabalho ficam separadas, salvo quando uma regra permite a comunicação entre elas, o que contribui para um ambiente digital soberano. Por exemplo, é possível isolar os ambientes de desenvolvimento e de produção, mesmo que estejam no mesmo hardware.
  • Controle granular: as equipes de segurança podem escrever regras muito específicas. Por exemplo, em vez de “O servidor A pode se comunicar com o servidor B”, a regra estabelece: “O servidor web pode se comunicar com o banco de dados somente por uma porta específica e usando determinados tipos de dados”.
  • Princípio do privilégio mínimo: a carga de trabalho recebe o acesso mínimo necessário para executar suas tarefas. Se um serviço não precisa se conectar a outros sistemas, a microssegmentação impede que isso ocorra. 

Implementação baseada em software e políticas

Como atualmente as infraestruturas estão sempre evoluindo, fica difícil protegê-las configurando o hardware manualmente. O trabalho manual não acompanha a velocidade das VMs e dos containers.

A microssegmentação é baseada em software e orientada por políticas de segurança como código. Quando uma nova VM ou container é iniciado, o sistema o reconhece e aplica automaticamente as tags e regras de segurança relevantes, que acompanham a carga de trabalho independentemente do servidor físico ou nuvem que ela usa.

Leia mais sobre rede definida por software

Hub de aprendizagem do Red Hat OpenShift Virtualization

A microssegmentação oferece um nível de controle e visibilidade difícil de alcançar com uma rede tradicional baseada em hardware, embora não seja impossível. Confira os principais benefícios da microssegmentação nos ambientes de TI modernos:

Segurança reforçada e contenção de movimento lateral 

O maior benefício da microssegmentação é conter violações. Em uma rede plana, ao acessar um sistema de baixa prioridade, o invasor pode alcançar destinos de alto valor, como bancos de dados contendo informações dos clientes.

A microssegmentação cria "segmentos individuais" para garantir que, mesmo que uma carga de trabalho seja comprometida, a ameaça permaneça isolada. O invasor fica preso a um "cômodo" digital sem portas para o restante da casa.

Conformidade e auditabilidade aprimoradas

Em setores com regulamentações rigorosas, como saúde ou finanças, a microssegmentação simplifica o processo de conformidade. Ela permite isolar do resto da rede os sistemas internos que processam dados confidenciais.

Como as políticas de segurança são definidas por software, é fácil para os auditores identificarem quais usuários tiveram acesso a cada sistema. Os relatórios granulares tornam mais simples provar que as informações confidenciais estão protegidas conforme as normas regulatórias. 

Maior visibilidade e controle sobre o tráfego da rede

É impossível proteger o que não se vê. As ferramentas de microssegmentação oferecem visibilidade detalhada sobre os padrões de tráfego horizontal. As equipes conseguem ver exatamente como as aplicações e serviços interagem em tempo real. Isso permite identificar comportamentos incomuns que indiquem uma ameaça de segurança ou obstáculo ao desempenho.

Adaptabilidade a ambientes de TI modernos

Muitas vezes, as regras de segurança tradicionais são vinculadas a locais físicos, como um endereço IP ou porta de hardware específica. Em um mundo nativo em nuvem, esses locais mudam constantemente conforme os containers são ativados e desativados. 

A microssegmentação é compatível com qualquer ambiente. Como a política de segurança está vinculada à carga de trabalho, e não ao hardware da rede, a proteção é consistente onde quer que a carga de trabalho seja executada: em um data center on-premise, em uma nuvem privada ou em um ambiente de nuvem pública.

Gerenciamento simplificado pela automação

Em ambientes modernos e microssegmentados, as políticas de segurança são automatizadas. Quando uma nova aplicação é implantada, ela herda as políticas de segurança necessárias automaticamente com base em sua função. Com isso, administradores humanos não precisam fazer a configuração manualmente, reduzindo o risco de erros.

Descubra como configurar o acesso à rede com a microssegmentação

Durante anos, a virtualização foi a grande responsável pela eficiência do datacenter, já que permitia executar várias VMs em um mesmo servidor físico. No entanto, a migração para ambientes virtualizados criou novas vulnerabilidades. Os hardwares de firewall tradicionais muitas vezes não identificam o tráfego entre duas VMs no mesmo host físico. 

Sem visibilidade, as equipes de segurança não conseguem identificar ou bloquear o movimento lateral malicioso. E esse desafio aumenta com a adoção de arquiteturas nativas em nuvem que usam VMs e containers. 

Limites da segmentação tradicional em ambientes virtualizados

Na segmentação tradicional, o tráfego sai do host virtual, passa por um firewall físico e volta ao host para ser inspecionado. Esse processo complexo cria limitações de desempenho e latência, sendo ineficiente para proteger um ambiente escalável. Além disso, em um ambiente virtualizado dinâmico, os endereços IP e localizações mudam com frequência. Regras baseadas em hardware são rígidas demais para acompanhar VMs que migram ou escalam constantemente.

Como a microssegmentação viabiliza uma infraestrutura escalável

A microssegmentação resolve essas ineficiências, desacoplando a segurança do hardware subjacente. Em vez de forçar o tráfego por um firewall central, a política de segurança fica na interface de rede virtual de cada VM ou container. 

Isso oferece: 

  • Desempenho em grande escala: como as verificações de segurança ocorrem na camada virtualizada, não é preciso enviar o tráfego interno para dispositivos externos.
  • Consistência em todos os ambientes: a microssegmentação das cargas de trabalho, sejam VMs tradicionais ou containers modernos, oferece uma maneira única de gerenciar as políticas de segurança de todo o stack.
  • Mobilidade: quando a VM migra de um host físico para outro, o perímetro de segurança acompanha a VM automaticamente.

Ao integrar a segurança à camada de virtualização, a microssegmentação permite escalar sua infraestrutura rapidamente sem expor os sistemas internos.

A microssegmentação é mais eficaz quando aplicada a objetivos empresariais específicos. Cenários frequentes incluem: 

  • Proteção de ambientes de nuvem híbrida: estende uma política de segurança unificada a ambientes on-premise e múltiplos provedores de nuvem.
  • Conformidade regulatória: isola os sistemas que processam dados confidenciais de saúde ou finanças (como números de cartões de crédito ou prontuários médicos) para atender a requisitos de auditoria rigorosos, sem precisar estender as restrições a toda a rede.
  • Proteção dos ambientes de desenvolvimento e produção: procura garantir que bugs ou falhas de segurança no ambiente de teste não passem para o ambiente de produção, onde estão os dados dos clientes. 

Embora a microssegmentação ofereça mais segurança, migrar do modelo de rede tradicional requer um planejamento cuidadoso.

Desafios comuns

  • Complexidade inicial: em grandes organizações, ocorrem milhares de conexões a cada momento. Pode ser difícil mapeá-las para entender quais comunicações devem ser permitidas.
  • Gestão de políticas: ao criar mais segmentos, você cria mais políticas. Pode ser difícil para um administrador humano gerenciar milhares de regras de segurança sem as ferramentas certas.
  • Integração com as ferramentas existentes: a microssegmentação deve complementar o stack e a infraestrutura de segurança existentes, sem gerar limitações de desempenho ou riscos ocultos.

Práticas recomendadas

Para superar os desafios da microssegmentação e implementá-la com tranquilidade, siga estas práticas recomendadas do setor:

  • Comece aos poucos: não tente microssegmentar o data center inteiro da noite para o dia. Comece com uma aplicação ou ambiente específico. Use esses projetos iniciais para aprimorar o processo de criação de políticas.
  • Priorize os ativos mais relevantes: concentre os primeiros esforços em aplicações que lidam com dados confidenciais de clientes ou são essenciais para as operações de negócios.
  • Automatize sempre que possível: definir regras manualmente não combina com escala. Use ferramentas capazes de identificar padrões de tráfego e sugerir políticas de segurança automaticamente. Com a automação, a segurança acompanha o crescimento do seu ambiente.
  • Implemente o monitoramento contínuo: monitore o tráfego da rede constantemente para identificar novos padrões de comunicação e ajustar as políticas conforme as aplicações evoluem. 

A abordagem moderna e modular da Red Hat para microssegmentação evita a complexidade de subscrições proprietárias e infladas, nas quais os clientes pagam por recursos que jamais chegam a usar. Com o Red Hat® OpenShift® Virtualization, você gerencia VMs e containers em uma única plataforma, aplicando políticas de segurança com consistência. Isso permite escalar sua infraestrutura sem pagar por recursos de que você não precisa. 

Desenvolvido com padrões open source, o Red Hat OpenShift é uma plataforma de aplicações moderna que viabiliza a arquitetura Zero Trust com políticas de rede granulares, aplicadas no nível da carga de trabalho. Isso significa que cada VM e container é isolado por padrão, o que protege contra ameaças internas. 

Com a Red Hat, você obtém uma solução de segurança flexível e preparada para o futuro, que se integra facilmente ao seu ambiente sem a sobrecarga de pacotes tradicionais com dependência de fornecedor. 

Aprenda a migrar VMs do VMware para a Red Hat

Produto

Red Hat OpenShift Virtualization

Uma funcionalidade do Red Hat OpenShift que integra com fluidez as máquinas virtuais a uma plataforma moderna de infraestrutura de nuvem híbrida.

Treinamento e certificação do Red Hat OpenShift Virtualization

Conheça cursos do Red Hat Training and Certification para aprender a migrar, implantar e gerenciar máquinas virtuais com o Red Hat OpenShift® Virtualization.

Leia mais

O que é virtualização?

A virtualização é uma tecnologia que permite criar diferentes ambientes virtuais e simulados a partir de uma mesma máquina física.

O que é uma máquina virtual (VM)?

Uma máquina virtual (VM) é um ambiente de computação isolado, criado a partir de um pool de recursos de hardware.

Como criar uma máquina virtual com tipo de instância definido

Descubra como criar uma máquina virtual com tipo de instância definido no Red Hat OpenShift Virtualization usando a interface gráfica do console do Red Hat OpenShift.

Virtualização: conteúdo adicional

Artigos relacionados