A WAN definida por software inaugurou um novo foco na segmentação e segurança da rede. Todos os principais fornecedores de SD-WAN incluem alguma forma de segmentação de rede em seus produtos, promovendo a técnica como uma forma de abordar a segurança e o isolamento do caminho.
Uma estratégia de segmentação de rede adequada requer que as empresas tenham um conhecimento sólido de seus sistemas e objetivos. Os fornecedores de SD-WAN têm suas próprias definições de segmentação de rede e nenhum fornecedor possui uma estratégia de segmentação coesa que atenda de forma holística às necessidades de uma organização.
É provável que surjam inúmeras considerações de segmentação – desde autenticação e autorização até o gerenciamento de funções e políticas de segurança, por isso a necessidade crítica da pesquisa é fundamental para criar uma estratégia eficiente de segmentação de rede com uso da SD-WAN.
As técnicas de segmentação legadas sempre foram um grande desafio
As equipes de rede tradicionalmente segmentam as redes usando uma variedade de ferramentas para criar isolamento de caminho em diferentes processos. Vários esquemas de roteamento de tag ou instâncias de roteamento virtualizado eram comuns, assim como listas de controle de acesso de segurança (ACLs).
Quase todos os métodos funcionavam em algum lugar da Camada 2 até a Camada 4, e a maioria era complicada e trabalhosa para implementar e gerenciar.
O isolamento não dependia da identidade, em vez disso, foi baseado na localização do endereço IP. Esse método funcionava na época em que uma máquina executava um serviço ou um usuário ficava em um dispositivo endpoint, mas esses dias já se passaram.
Agora, temos vários serviços em um terminal, e os serviços se movem ou escalam dinamicamente em resposta a uma miríade de estímulos. O isolamento baseado estritamente em um endereço IP não é mais suficiente ou escalonável.
Além disso, a segurança era rudimentar, com base na identidade ou localização, e gerenciada por ACLs que rapidamente se tornavam difíceis de controlar até mesmo em volumes menores.
Impor a segurança da máquina e do aplicativo não era melhor. Rastrear quem deveria ter acesso ao que se tornou um exercício de futilidade e erros na precedência de acesso de segurança eram comuns. Não é à toa que surgiu uma nova abordagem de segmentação.
Segmentação de rede e SD-WAN
Em sua essência, a segmentação da rede visa impedir que um processo atravesse lateralmente a rede. Em outras palavras, a instância de um processador de texto de um usuário não tem razão para acessar um banco de dados no sistema de outro usuário.
Da mesma forma, um sistema front-end programado para acessar um único banco de dados não precisa se comunicar com outros sistemas na rede. Uma boa estratégia de segmentação isola os processos apenas para os componentes e sistemas que eles precisam acessar.
Um obstáculo associado a uma estratégia de segmentação de rede é classificar as várias ferramentas de segmentação oferecidas pelos fornecedores de SD-WAN.
Alguns fornecedores adotam uma abordagem mais centrada na rede, contando com o isolamento e a segmentação do caminho nas camadas 3 e 4, alguns adotam uma abordagem mais centrada no aplicativo, da Camada 7, e outros segmentam usando uma combinação de tecnologias em diferentes camadas.
Todos visam a mesma coisa, no entanto, o objetivo é estabelecer uma barreira de segurança entre o sistema e os processos do usuário.
Incidentes de segurança são comuns hoje em dia, ocorrendo com frequência alarmante. Os controles de segurança devem, portanto, ser uma preocupação primordial ao escolher qualquer produto SD-WAN.
Não é suficiente segmentar a rede estaticamente. Uma boa plataforma SD-WAN deve auditar e responder aos eventos de segurança em tempo quase real, ao mesmo tempo que mitiga qualquer dano que possa ocorrer em uma violação.
Outros recursos importantes de segmentação empresarial incluem o seguinte:
- Implantação automatizada;
- Suporte para isolamento de caminho;
- Uma estratégia de acesso e autorização.
Mover uma rede tradicionalmente não segmentada para uma construída sobre um design altamente segmentado requer uma previsão significativa e um conhecimento sólido dos requisitos de negócios.
Segmentar para fazer algo novo não é um bom motivo para implantar uma estratégia de segmentação. Nenhum fornecedor possui uma estratégia de segmentação de rede completa.
As equipes de rede corporativa podem superar o desafio de unir vários produtos distintos apenas compreendendo sua rede atual e por que desejam segmentá-la.
Sobre a Conversys
A Conversys IT Solutions é uma provedora de serviços e soluções de Tecnologia da Informação e Comunicação com atuação em todo o Brasil.
Com uma equipe técnica e comercial altamente qualificada e uma rede de parceiros que incluem os principais fabricantes globais de tecnologia, a Conversys IT Solutions está apta a entregar aos clientes soluções customizadas de Infraestrutura de TI e Telecom.
Investimos em nossos colaboradores e parceiros e primamos por uma relação duradoura com os nossos clientes, pois acreditamos que desta forma conquistamos competências e conhecimentos necessários para inovar e gerar valor aos negócios em que atuamos.