Proteja as redes com Zero Trust

O Big Data apresenta novas oportunidades para obter novos insights e ganhar uma vantagem competitiva. Estamos a afastar-nos de uma era em que as redes eram claramente definidas e normalmente específicas para um determinado local. A nuvem, os dispositivos móveis e outros endpoints expandem os limites e mudam o paradigma. Agora não há necessariamente uma rede contida/definida para proteger. Em vez disso, há um vasto portfólio de dispositivos e redes, todos ligados pela nuvem.

Em vez de acreditar que tudo por trás do firewall corporativo é seguro, uma estratégia Zero Trust de ponta a ponta pressupõe que as violações são inevitáveis. Isso significa que você deve verificar cada solicitação como se fosse originária de uma rede não controlada — o gerenciamento de identidade desempenha um papel crucial nisso.

No modelo Zero Trust, há três objetivos principais quando se trata de proteger suas redes:

  • Esteja pronto para lidar com ataques antes que eles aconteçam.

  • Minimize a extensão dos danos e a rapidez com que se espalham.

  • Aumente a dificuldade de comprometer a sua pegada na nuvem.

Para que isso aconteça, seguimos três princípios Zero Trust:

  • Verifique explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, localização, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anomalias.

  • Use o acesso menos privilegiado. Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados para proteger os dados e a produtividade.

  • Assuma a violação. Minimize o raio de explosão para violações e impeça o movimento lateral segmentando o acesso por reconhecimento de rede, usuário, dispositivos e aplicativos. Verifique se todas as sessões estão criptografadas de ponta a ponta. Use a análise para obter visibilidade, impulsionar a deteção de ameaças e melhorar as defesas.

Objetivos de implantação do Network Zero Trust

Antes de a maioria das organizações iniciar sua jornada Zero Trust, elas têm segurança de rede que é caracterizada pelo seguinte:

  • Poucos perímetros de segurança de rede e redes abertas e planas.

  • Proteção mínima contra ameaças e filtragem de tráfego estático.

  • Tráfego interno não encriptado.

Ao implementar uma estrutura Zero Trust completa para proteger redes, recomendamos que você se concentre primeiro nestes objetivos iniciais de implantação:

Ícone de lista com uma marca de verificação.

I. Segmentação de rede: Muitos microperímetros de entrada/saída de nuvens com alguma microssegmentação.

II. Proteção contra ameaças: filtragem nativa da nuvem e proteção contra ameaças conhecidas.

III. Encriptação: O tráfego interno de utilizador para aplicação é encriptado.

Depois de concluídos, concentre-se nestes objetivos adicionais da implementação:

Ícone de lista com duas marcas de verificação.

IV. Segmentação de rede: Microperímetros de entrada/saída de nuvem totalmente distribuídos e microssegmentação mais profunda.

V. Proteção contra ameaças: proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados no contexto.

VI. Encriptação: Todo o tráfego é encriptado.

VII. Descontinuar a tecnologia de segurança de rede legada.

Guia de implantação do Networking Zero Trust

Este guia irá guiá-lo através das etapas necessárias para proteger suas redes seguindo os princípios de uma estrutura de segurança Zero Trust.




Ícone da lista de verificação com uma marca de verificação.

Objetivos iniciais da implementação

I. Segmentação de rede: Muitos microperímetros de entrada/saída de nuvem com alguma microssegmentação

As organizações não devem ter apenas um único e grande tubo dentro e fora de sua rede. Em uma abordagem Zero Trust, as redes são segmentadas em ilhas menores, onde cargas de trabalho específicas são contidas. Cada segmento tem seus próprios controles de entrada e saída para minimizar o "raio de explosão" do acesso não autorizado aos dados. Ao implementar perímetros definidos por software com controles granulares, você aumenta a dificuldade para atores não autorizados se propagarem pela rede e, assim, reduz o movimento lateral das ameaças.

Não existe um projeto de arquitetura que se adapte às necessidades de todas as organizações. Você tem a opção entre alguns padrões de design comuns para segmentar sua rede de acordo com o modelo Zero Trust.

Neste guia de implantação, vamos orientá-lo pelas etapas para alcançar um desses projetos: Microssegmentação.

Com a microssegmentação, as organizações podem ir além de simples perímetros centralizados baseados em rede para segmentação abrangente e distribuída usando microperímetros definidos por software.

Os aplicativos são particionados para diferentes Redes Virtuais do Azure (VNets) e conectados usando um modelo hub-spoke

Diagrama de duas redes virtuais conectadas em um modelo hub-and-spoke.

Siga estes passos:

  1. Crie redes virtuais dedicadas para diferentes aplicações e/ou componentes de aplicações.

  2. Crie uma VNet central para configurar a postura de segurança para conectividade entre aplicativos e conecte as VNets do aplicativo em uma arquitetura hub-and-spoke.

  3. Implante o Firewall do Azure na VNet do hub para inspecionar e controlar o tráfego entre as redes virtuais.

II. Proteção contra ameaças: filtragem nativa da nuvem e proteção contra ameaças conhecidas

Os aplicativos em nuvem que abriram pontos de extremidade para ambientes externos, como a Internet ou sua pegada local, correm o risco de ataques vindos desses ambientes. Portanto, é imperativo que você verifique o tráfego em busca de cargas maliciosas ou lógica.

Estes tipos de ameaças dividem-se em duas grandes categorias:

  • Ataques conhecidos. Ameaças que foram descobertas pelo seu fornecedor de software ou pela comunidade em geral. Nesses casos, a assinatura de ataque está disponível e você precisa garantir que cada solicitação seja verificada em relação a essas assinaturas. A chave é ser capaz de atualizar rapidamente seu mecanismo de deteção com quaisquer ataques recém-identificados.

  • Ataques desconhecidos. Estas são ameaças que não correspondem a nenhuma assinatura conhecida. Esses tipos de ameaças incluem vulnerabilidades de dia zero e padrões incomuns no tráfego de solicitações. A capacidade de detetar tais ataques depende de quão bem suas defesas sabem o que é normal e o que não é. Suas defesas devem estar constantemente aprendendo e atualizando padrões à medida que seu negócio (e tráfego associado) evolui.

Siga estas etapas para se proteger contra ameaças conhecidas:

  1. Para pontos de extremidade com tráfego HTTP/S, proteja-se usando o Azure Web Application Firewall (WAF) ao:

    1. Ativando o conjunto de regras padrão ou o conjunto de 10 principais regras de proteção do OWASP para proteger contra ataques conhecidos da camada da Web

    2. Ativar o conjunto de regras de proteção de bot para impedir que bots mal-intencionados raspem informações, realizem preenchimento de credenciais, etc.

    3. Adicionar regras personalizadas para proteger contra ameaças específicas da sua empresa.

    Você pode usar uma das duas opções:

  2. Para todos os pontos de extremidade (HTTP ou não), avance com o Firewall do Azure para filtragem baseada em inteligência de ameaças na Camada 4:

    1. Implementar e configurar o Azure Firewall com o portal do Azure.

    2. Habilite a filtragem baseada em inteligência de ameaças para o seu tráfego.

III. Criptografia: o tráfego interno de usuário para aplicativo é criptografado

O terceiro objetivo inicial a ser focado é adicionar criptografia para garantir que o tráfego interno de usuário para aplicativo seja criptografado.

Siga estes passos:

  1. Imponha a comunicação somente HTTPS para seus aplicativos Web voltados para a Internet redirecionando o tráfego HTTP para HTTPS usando o Azure Front Door.

  2. Conecte funcionários/parceiros remotos ao Microsoft Azure usando o Gateway de VPN do Azure.

    1. Ative a criptografia para qualquer tráfego ponto a site no serviço Gateway de VPN do Azure.
  3. Acesse suas máquinas virtuais do Azure com segurança usando comunicação criptografada por meio do Azure Bastion.

    1. Conecte-se usando SSH a uma máquina virtual Linux.

    2. Conecte-se usando RDP a uma máquina virtual do Windows.




Ícone da lista de verificação com duas marcas de verificação.

Objetivos adicionais da implementação

IV. Segmentação de rede: microperímetros de entrada/saída de nuvem totalmente distribuídos e microssegmentação mais profunda

Depois de atingir os três objetivos iniciais, o próximo passo é segmentar ainda mais sua rede.

Particionar componentes do aplicativo para diferentes sub-redes

Diagrama de uma rede virtual de servidores na região do Azure.

Siga estes passos:

  1. Dentro da VNet, adicione sub-redes de rede virtual para que componentes discretos de um aplicativo possam ter seus próprios perímetros.

  2. Aplique regras de grupo de segurança de rede para permitir o tráfego somente das sub-redes que têm um subcomponente de aplicativo identificado como uma contraparte legítima de comunicações.

Segmentar e impor os limites externos

Diagrama de um servidor e dispositivos com conexões através de fronteiras.

Siga estas etapas, dependendo do tipo de limite:

Limite da Internet
  1. Se a conectividade com a Internet for necessária para seu aplicativo que precisa ser roteado por meio da VNet de hub, atualize as regras de grupo de segurança de rede na VNet de hub para permitir a conectividade com a Internet.

  2. Ative o Azure DDoS Protection Standard para proteger a VNet do hub contra ataques volumétricos da camada de rede.

  3. Se seu aplicativo usa protocolos HTTP/S, ative o Firewall de Aplicativo Web do Azure para proteger contra ameaças da Camada 7.

Limite local
  1. Se o seu aplicativo precisar de conectividade com seu data center local, use o Azure ExpressRoute da VPN do Azure para conectividade com sua rede virtual de hub.

  2. Configure o Firewall do Azure na VNet do hub para inspecionar e controlar o tráfego.

Limite dos serviços PaaS

V. Proteção contra ameaças: proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados no contexto

Para obter mais proteção contra ameaças, ative o Padrão de Proteção contra DDoS do Azure para monitorar constantemente o tráfego do aplicativo hospedado no Azure, usar estruturas baseadas em ML para linha de base e detetar inundações volumétricas de tráfego e aplicar atenuações automáticas.

Siga estes passos:

  1. Configure e gerencie o Azure DDoS Protection Standard.

  2. Configure alertas para métricas de proteção contra DDoS.

VI. Encriptação: Todo o tráfego é encriptado

Finalmente, complete sua proteção de rede, garantindo que todo o tráfego seja criptografado.

Siga estes passos:

  1. Criptografe o tráfego de back-end do aplicativo entre redes virtuais.

  2. Criptografe o tráfego entre o local e a nuvem:

    1. Configure uma VPN site a site sobre o emparelhamento da Microsoft da Rota Expressa.

    2. Configure o modo de transporte IPsec para emparelhamento privado da Rota Expressa.

VII. Descontinuar a tecnologia de segurança de rede herdada

Descontinue o uso de sistemas baseados em assinatura Network Intrusion Detection/Network Intrusion Prevention (NIDS/NIPS) e Network Data Leakage/Loss Prevention (DLP).

Os principais provedores de serviços de nuvem já filtram pacotes malformados e ataques comuns de camada de rede, portanto, não há necessidade de uma solução NIDS/NIPS para detetá-los. Além disso, as soluções NIDS/NIPS tradicionais são normalmente impulsionadas por abordagens baseadas em assinaturas (que são consideradas desatualizadas) e são facilmente contornadas por atacantes e normalmente produzem uma alta taxa de falsos positivos.

A DLP baseada em rede é cada vez menos eficaz na identificação de perda de dados inadvertida e deliberada. A razão para isso é que a maioria dos protocolos modernos e invasores usam criptografia no nível da rede para comunicações de entrada e saída. A única solução viável para isso é a "ponte SSL", que fornece um "man-in-the-middle autorizado" que termina e, em seguida, restabelece conexões de rede criptografadas. A abordagem de ponte SSL caiu em desuso devido ao nível de confiança necessário para o parceiro que executa a solução e as tecnologias que estão sendo usadas.

Com base nessa lógica, oferecemos uma recomendação completa para que você interrompa o uso dessas tecnologias de segurança de rede legadas. No entanto, se a sua experiência organizacional é que essas tecnologias tiveram um impacto palpável na prevenção e deteção de ataques reais, você pode considerar portá-las para seu ambiente de nuvem.

Produtos abrangidos por este guia

Microsoft Azure

Azure Networking

Redes Virtuais e Sub-redes

Grupos de segurança de rede e grupos de segurança de aplicativos

Azure Firewall

Azure DDoS Protection

Firewall de Aplicativo Web do Azure

Gateway de VPN do Azure

Azure ExpressRoute

Observador de Rede do Azure

Conclusão

Proteger as redes é fundamental para uma estratégia Zero Trust bem-sucedida. Para obter mais informações ou ajuda com a implementação, entre em contato com sua equipe de Customer Success ou continue a ler os outros capítulos deste guia, que abrange todos os pilares do Zero Trust.



Série de guias de implementação da Zero Trust

Ícone para a introdução

Ícone para a identidade

Ícone para os pontos finais

Ícone para as aplicações

Ícone para os dados

Ícone para a infraestrutura

Ícone para as redes

Ícone para visibilidade, automatização, orquestração