Skip to main content
Junte-se a nós na TDX em São Francisco ou no Salesforce+ nos dias 5 e 6 de maio e assista à Developer Conference for the AI Agent Era. Registre-se agora.

Use segmentação e controles de compensação para proteger a rede

Objetivos de aprendizagem

Após concluir esta unidade, você estará apto a:

  • Identificar quando usar segmentação de rede.
  • Descrever quando usar controles de compensação.

Usar segmentação de rede

Imagine o segurança de um banco local. Embora o banco tenha uma quantidade menor de dinheiro nos guichês que os caixas podem acessar para fazer pequenas transações, quantias maiores e outros itens de valor (como joias de família ou certidões de nascimento) costumam ficar guardados em uma gaveta dentro de um cofre, atrás de portas de segurança, em um prédio patrulhado por um segurança e protegido por um portão e um alarme. 

Assim como ninguém guardaria seus itens de valor em um banco que deixa grandes quantias jogadas por aí, é importante proteger redes com mais de uma linha de defesa. Os engenheiros de segurança de rede usam segmentação de rede como parte importante dessa estratégia de defesa em profundidade. 

A segmentação de rede envolve o uso de controles físicos e lógicos para particionar a rede de forma que os ativos com valores e riscos semelhantes sejam armazenados e protegidos juntos. Os ativos de alto valor com alto risco de comprometimento recebem mais proteção e são mantidos separados de ativos de baixo valor que podem ser acessados por vários usuários da rede. 

Em um quadro, um caixa do banco tem uma gaveta de dinheiro na mesa em frente a um cliente. No quadro seguinte, um segurança se mantém na frente da porta de um cofre trancado.

Nos últimos anos, houve um aumento na tendência de segmentar redes, e conjuntos de ferramentas avançadas foram desenvolvidos para facilitar isso. Antigamente, métodos tradicionais de proteger redes giravam em torno do conceito de zonas de confiança e zonas não confiáveis. A rede era vista como uma zona de confiança onde usuários e ativos autorizados podiam acessar a maioria dos recursos, com muito poucas proteções e barreiras entre sistemas e dados. 

A maneira principal de proteger as redes era criando um perímetro protegido forte, principalmente com o uso de firewalls. Isso é o equivalente à ideia de um banco ter um cadeado muito forte na porta da frente e um segurança monitorando o que entra e o que sai, mas muito poucas proteções depois que alguém consegue entrar. 

Os hackers normalmente tentam encontrar a maneira mais fácil de entrar em uma rede e depois tentam redirecionar para ganhar privilégios elevados e exfiltrar (remover da rede) os dados mais confidenciais. Assim, as organizações com segurança mais avançada atualmente protegem além do perímetro. Quanto mais proteção em volta de ativos de alto valor, inclusive os próprios dados, melhor. Assim, mesmo que um hacker consiga entrar na rede, a probabilidade de conseguir comprometer os dados mais confidenciais da empresa é limitada. Esse conceito, chamado de confiança zero, pode ser implementado por meio de segmentação de rede. Como descrito no módulo do Trailhead Segurança de Confiança Zero, a confiança zero é a abordagem moderna da segurança de TI, cujo objetivo é proteger além do modelo de segurança baseado em perímetro convencional.

Um ambiente de confiança zero requer uma verificação contínua de usuários e dispositivos, analisando o comportamento e o contexto para conceder ou negar acesso com base na avaliação de risco em tempo real. A confiança zero melhora a segmentação da rede aplicando controles de acesso granulares e verificação contínua em cada segmento, garantindo que, mesmo que ocorra uma violação, ela seja contida e minimizada.

Alguns exemplos da vida real são um bom lembrete da importância da segmentação de rede. Durante uma época de férias atarefada, um gigante do varejo foi atingido por uma enorme violação de dados. Parte da razão de os hackers terem conseguido acessar tantos dados confidenciais é que os engenheiros da empresa não conseguiram segregar adequadamente os sistemas de cartões de pagamento do resto da rede. 

Primeiro, os hackers entraram na rede da empresa usando credenciais roubadas de um terceiro fornecedor e usaram esse acesso para passear sorrateiramente pela rede da empresa e instalar malware nos sistemas de pontos de vendas da empresa, permitindo que os hackers roubassem informações de pagamento dos clientes. 

Esse exemplo ilustra a importância de segmentar a rede para dificultar o acesso não autorizado a sistemas confidenciais pelo comprometimento de outro ponto de entrada. Ele também mostra a importância de monitorar a segurança de terceiros fornecedores e o uso de autenticação forte para acessar a rede remotamente. A não segmentação e proteção corretas da rede custou à empresa milhões de dólares e afetou milhões de clientes, além de prejudicar a reputação da empresa. 

Usar controles de compensação

Em um mundo perfeito, os profissionais de segurança poderiam implementar todas as proteções possíveis e manter os ativos o mais protegidos possível de criminosos. No entanto, como tudo na vida, os profissionais de segurança enfrentam limitações e compensações. Pode não haver dinheiro suficiente para comprar a tecnologia mais recente ou fazer upgrade de um sistema antigo. Uma empresa pode não ter pessoal suficiente para monitorar a rede 24 horas por dia, 7 dias por semana. O diretor de informações (CIO) pode não ter influência suficiente na empresa para convencer a diretora financeira (CFO) da importância de implementar proteções de ponta, seja uma rede de confiança zero, seja autenticação forte para acessar um aplicativo. 

Quando não é possível ter a proteção de segurança ideal, os profissionais de segurança devem escolher, implementar e documentar os controles de compensação. Isso não só é uma melhor prática, como também costuma ser um requisito regulatório. 

Os engenheiros de segurança de rede implementam controles compensadores quando um controle primário não pode ser implementado, para ajudar a fornecer um nível de defesa semelhante para ajudar a gerenciar o risco. Não se pretende que seja uma solução permanente, e o uso de controles de compensação deve ser documentado e revisitado regularmente até que uma solução tecnológica ideal possa ser implantada. Por exemplo, um sistema sensível pode ter uma vulnerabilidade crítica que não pode ser corrigida imediatamente porque o fornecedor não fornece mais patches ou um patch ainda não está disponível. Nesse caso, a equipe de segurança pode segmentar o sistema colocando-o numa rede local virtual separada (VLAN) ou numa sub-rede. Isso limita a possível superfície de ataque, minimizando a possibilidade de que a vulnerabilidade seja explorada a partir da internet pública. A equipe de segurança deve trabalhar com a equipe comercial a fim de elaborar um plano, recursos e cronograma para a migração do sistema para um servidor mais recente com patches oferecidos pelo fornecedor. 

Verificação de conhecimento

Pronto para analisar o que aprendeu? A verificação de conhecimento abaixo não é pontuada, é apenas uma maneira fácil de avaliar o que você absorveu. Para começar, arraste uma palavra do banco de palavras na parte inferior para o lugar apropriado no parágrafo. Quando terminar de colocar todas as palavras, clique em Enviar para verificar seu trabalho. Se quiser recomeçar, clique em Redefinir.

Ótimo trabalho! Você viu como usar a segmentação de rede e os controles de compensação para proteger sistemas confidenciais. Como um engenheiro de segurança de rede pode detectar uma invasão à rede quando um hacker explora uma vulnerabilidade? Vá para a próxima seção!

Recursos

Compartilhe seu feedback do Trailhead usando a Ajuda do Salesforce.

Queremos saber sobre sua experiência com o Trailhead. Agora você pode acessar o novo formulário de feedback, a qualquer momento, no site Ajuda do Salesforce.

Saiba mais Continue compartilhando feedback