5 razões pelas quais sua equipe de firewall adorará a microssegmentação

Nunca vou esquecer um incidente que aconteceu no início do nosso histórico de clientes. Tínhamos acabado de concluir o treinamento com as equipes de arquitetura e implementação de firewall de um grande cliente. Um dos principais administradores de firewall levantou a mão e disse: “Então, se eu entendi isso corretamente, nunca mais precisarei escrever uma regra de firewall”. Eu sorri e disse: “Isso mesmo”.

Seis meses depois, estávamos juntos no elevador e ele me disse com entusiasmo o quanto adorava a microssegmentação. Eu perguntei por que, e ele respondeu: “Você estava certo. Não escrevo mais ACLs e nossa política é muito mais rígida.”

Foi um ótimo momento, mas o simples fato é que a microssegmentação é ótima para equipes de operações de firewall. Aqui estão os cinco principais motivos.

1. Chega de ACLs manuais. Conceitualmente, escrever regras de firewall é “fácil” — basta digitar as regras do que você quer que seja permitido e todo o resto será negado. É verdade em um alto nível de abstração, mas perto do trabalho, é uma simplificação excessiva significativa. Em um firewall tradicional, cada desejo de política deve ser traduzido da forma como os proprietários de aplicativos falam sobre seus sistemas para o idioma dos endereços IP, sub-redes e zonas. Com a microssegmentação, o ponto de imposição passa para a própria instância do aplicativo, o que significa que a segmentação não depende de nenhuma construção de rede para imposição. Quando combinado com um poderoso Policy Compute Engine, o administrador pode escrever políticas em linguagem simples: “O servidor web se comunica com o servidor de aplicativos; que, por sua vez, fala com o banco de dados. Os servidores web nunca conversam entre si ou diretamente com o banco de dados”. Uma política simples pode ser transformada em uma base de regras aplicável sem que nenhum humano precise saber um endereço IP, sub-rede ou zona. A microsegmentação libera os administradores de firewall de escrever ACLs.
    
2. Obtenha um modelo de política escalável. Embora os firewalls saiam da caixa com uma negação padrão na parte inferior da tabela de regras, eles rapidamente crescem e têm uma combinação complexa de declarações de permissão e negação. Essas políticas mistas de negação e lista de permissões têm uma escala ruim porque a herança é limitada. Desde que as regras sejam declarações mistas de permissão e negação, a ordenação das regras é importante e isso limita a herança, que ordem uma política mesclada deve observar? A microsegmentação funciona em um modelo puro de Zero Trust. Como existem apenas declarações de permissão, a herança de políticas é fácil — tudo o que pode acontecer é que algo seja permitido mais de uma vez. Isso facilita a especificação de políticas em qualquer nível arbitrário de abstração. Um servidor específico pode herdar a política de uma política de todo o data center e de uma política para o ambiente de produção e bancos de dados em geral. Quando grandes partes da política se originam de modelos, o trabalho de redigir políticas simplifica e escala muito melhor.
    
3. Saiba que a política está correta. Desenvolver uma política de firewall não é fácil. Todo o tráfego do aplicativo deve ser caracterizado até a porta e o protocolo. Essas informações geralmente estão fora das mãos das equipes de infraestrutura e segurança. Pior ainda, até mesmo a equipe do aplicativo geralmente não sabe, pois o aplicativo pode ter sido instalado por um fornecedor ou prestador de serviços que não está mais envolvido. A microsegmentação fornece um rico mapa de dependências de aplicativos que toda a equipe pode entender. Como o mapa exibe apenas dados de aplicativos e não dispositivos de rede, as equipes de aplicativos e DevOps podem entender facilmente os fluxos que seu aplicativo gera e o que precisa ser protegido. A microssegmentação facilita a obtenção de um consenso sobre a proteção de aplicativos essenciais e fornece informações precisas à equipe de políticas.
    
4. Saiba que a política é segura. Como você testa uma regra de firewall? Você não. Os firewalls não funcionam dessa forma — digitamos as regras e, se houver algum problema, o telefone toca. Em 2021, isso não é mais suficiente. Com um aplicativo totalmente novo, há espaço para idas e vindas com a equipe do aplicativo para colocá-lo em produção. Mas com os aplicativos existentes, qualquer erro na política de segmentação causa uma interrupção. A microsegmentação oferece uma maneira melhor. As políticas passam por um ciclo de vida que inclui estágios distintos de criação, teste e aplicação. Dessa forma, todos, desde o proprietário do aplicativo até as equipes de segurança e infraestrutura, podem validar se a política está “conforme projetada” e se abrange todas as comunicações necessárias. O mapa simples de dependências do aplicativo facilita saber se a política é segura e pode ser aplicada.
    
5. Obtenha ajuda dos proprietários de aplicativos. Em todas as organizações, há muito mais pessoas na equipe de aplicativos do que na equipe de segurança. E se considerássemos o número de aplicativos versus o número de autores de políticas de segmentação, o contraste seria ainda maior. Dada essa disparidade, é sempre um desafio tentar ajudar cada equipe a entender o que a equipe de firewall precisa e obtê-lo em tempo hábil. A microsegmentação fornece visualizações e fluxo de trabalho projetados para que os proprietários de aplicativos façam parte do processo. Quando a equipe do aplicativo está envolvida no projeto de microssegmentação, é muito mais fácil apoiar as metas das equipes de segurança e infraestrutura para o aplicativo. Isso gera confiança e elimina o jogo da culpa quando todos podem ver como o aplicativo funciona e a interação da política de segmentação com esses fluxos. Os proprietários de aplicativos podem validar facilmente os fluxos e a parte de aplicação da política, acelerando o progresso em direção à aplicação.

A microssegmentação é ótima para administradores de firewall. Troque as regras manuais de firewall por uma política simples de linguagem natural que não exige nenhum conhecimento de rede. Obtenha um verdadeiro modelo de política Zero Trust que seja facilmente escalável com herança total. Todas as políticas de segmentação precisam estar corretas e completas. A microsegmentação torna esse processo gráfico simples no qual os proprietários do aplicativo podem se envolver. Com eles do seu lado, o projeto de segmentação se torna mais rápido, fácil e agradável. A microsegmentação é a atualização que os administradores de firewall estavam esperando.