Segmentação de rede: Melhorar a segurança e o desempenho

O que é segmentação de rede?

A segmentação de rede é a prática de dividir uma grande rede em várias redes lógicas menores ou segmentos. As redes são segmentadas por alguns motivos, mas principalmente isto acontece para melhorar a segurança da rede e/ou para melhorar a experiência do utilizador.

Como são utilizadas VLAN e VXLAN?

A segmentação de rede é conseguida por um de dois meios primários, mas cada um é muito semelhante. As Virtual Local Area Networks (VLANs) têm sido o principal método de segmentação de redes há décadas e não devem ser um novo conceito. As VLANs têm uma barreira inerente que provou ser uma limitação à medida que a tecnologia cresceu, ou seja, são limitadas a apenas 4.094 redes por domínio administrativo. Para ultrapassar esta limitação, foi criada a Virtual Extensible Local Area Network (VXLAN) que expandiu esse número para 16 milhões de redes por domínio administrativo. Sub-redes, outro método de segmentação de rede, usam endereços IP para dividir uma rede em sub-redes menores, conectadas por dispositivos de rede. Esta abordagem não só permite um desempenho de rede mais eficiente, mas também serve para conter ameaças de disseminação além de uma VLAN ou sub-rede específica.

Melhorar a segurança monitorizando o tráfego leste-oeste

Juntamente com a expansão das redes disponíveis, existem benefícios adicionais que advêm da segmentação de rede. O primeiro é melhorar a segurança das TI. Ao segmentar a rede, qualquer malware ou violação num segmento da rede pode ser contido nesse segmento de rede mais pequeno, tornando mais difícil espalhar-se por toda a rede. 

Melhorar o desempenho reduzindo as cargas de trabalho da Camada 2

Em seguida, a segmentação de rede pode melhorar a experiência do utilizador. Pode utilizar a segmentação para proporcionar uma experiência mais pessoal aos utilizadores finais. A segmentação de rede também pode garantir o desempenho (largura de banda) de um grupo ou grupos de dispositivos, eliminando ou reduzindo o congestionamento e a interferência da rede. Colocar os utilizadores convidados num segmento de rede separado do segmento de rede empresarial que suporta tráfego de dados críticos para o negócio também pode gerar benefícios de desempenho porque os dispositivos envolvidos em atividades críticas para o negócio já não competem com os visitantes que acedem a aplicações como a transmissão de vídeo.

Segmentação de rede que termina na firewall para melhorar a cibersegurança

Quando você divide a rede em segmentos, as ameaças que a tornam na rede não podem se mover lateralmente entre segmentos de rede para se espalhar facilmente para outros dispositivos. Esses segmentos menores também facilitam a determinação de onde as ameaças vieram porque ela é isolada a uma rede menor em vez de uma única rede grande. Relativamente aos benefícios de segurança de TI, sequestrar alguns dispositivos e utilizadores de outros também pode facilitar a obtenção de conformidade regulamentar. Os dispositivos detidos e geridos por TI são geralmente de baixo risco em comparação com os dispositivos BYOD dos hóspedes e até mesmo internos, pelo que ser capaz de os colocar nos seus próprios segmentos mais pequenos faz sentido. 

Com a segmentação de rede implementada, se um destes dispositivos de maior risco ficar comprometido, a ameaça não pode ser transmitida a recursos de TI mais críticos noutros segmentos de rede. Quando este tráfego segmentado tenta atravessar a firewall, pode ser bloqueado e comunicado, levantando o alerta mais cedo de quaisquer compromissos.

Também pode decidir que determinados dispositivos IoT estão em maior risco do que outros dispositivos na rede e colocá-los num segmento de rede separado. Pode até colocar todos os tipos de dispositivos IoT na sua própria rede, separados de outros dispositivos e de outros recursos de rede que pretende proteger. Embora seja mau ter qualquer dispositivo na sua rede comprometido, a segmentação de rede permite-lhe segurá-los de outros dispositivos para evitar que a ameaça se espalhe. Existem histórias suficientes sobre botnets de IoT na Internet que a segmentação de rede em apoio à IoT merece consideração. 

Segmentação de rede para melhorar a experiência do utilizador

Os casos de utilização de segurança de TI aplicam-se a uma grande variedade de setores, enquanto os casos de utilização da experiência do utilizador tendem a ser mais específicos do setor. A segmentação de rede faz muito sentido no setor de unidades multi-habitações (MDU). Uma MDU é qualquer ambiente caracterizado pela vida em vários agregados familiares - como complexos de apartamentos, comunidades de vida sénior, parques de veículos de recreio, etc. Os dormitórios no ensino superior também se enquadram neste ambiente. 

Estes tipos de propriedades têm gerido cada vez mais redes de nível empresarial em vez da abordagem tradicional onde cada residente se inscreve separadamente num prestador de serviços de Internet. Isto oferece o benefício de uma rede de nível empresarial num ambiente que normalmente se assemelha a um bairro suburbano onde os residentes perdem a conectividade quando estão fora do alcance da sua unidade. Assim que uma rede de estilo empresarial estiver implementada, os administradores de rede podem oferecer estes benefícios adicionais graças a uma infraestrutura unificadora.

Microsegmentação para melhorar a privacidade e segurança do utilizador

As equipas de TI e os prestadores de serviços geridos podem utilizar esta infraestrutura unificada para fornecer redes personalizadas para residentes. Cada unidade numa propriedade MDU obtém a sua própria rede pessoal (VLAN/VXLAN) onde os residentes veem apenas os seus próprios dispositivos e não os pertencentes a vizinhos. Esse isolamento melhora a utilização de recursos no fio, pois o número de dispositivos que respondem aos frames de transmissão agora está limitado a uma única unidade, não a toda a propriedade. Esta funcionalidade também mantém a privacidade dos residentes, uma vez que os seus dispositivos e tráfego estão isolados dos seus vizinhos e também não conseguem ver os dispositivos e tráfego dos seus vizinhos.

O melhor de tudo é que o SSID segue-os enquanto visitam qualquer amenidade na propriedade com uma rede personalizada com uma rede sem fios completa em toda a propriedade. É uma ótima experiência de utilizador para residentes e pode ajudar a tornar uma propriedade atrativa e retentiva para residentes. Para o ensino superior, as redes pessoais são uma excelente forma de satisfazer as elevadas expetativas dos estudantes em torno do Wi-Fi, uma rede do tipo “em casa”, mas num contexto de dormitório.

Como fazer segmentação de rede com RUCKUS

RUCKUSA ® Networks tem tudo o que é necessário para permitir a segmentação de rede, suportando todas as normas IEEE da indústria. RUCKUS O usa VLANs e VXLANs para habilitar a segmentação de rede onde há até 4.094 VLANs e 16 milhões de VXLANs na rede. Conforme discutido anteriormente, esta limitação não é específica para RUCKUS, mas faz parte do padrão IEEE 802.1Q. Os VXLAN capazes de escalar até 16 milhões de “redes” num único domínio administrativo também adicionam um benefício adicional – podem abranger vários segmentos de rede física e áreas geográficas. Isto é feito por design, uma vez que os VXLANs existem como uma sobreposição de Camada 3 na parte superior da parte da Camada 2 da rede. 

O centro do motor de segmentação de rede com RUCKUS é o Cloudpath® Enrollment System, o nosso serviço de nuvem (também disponível como software local) para integração e acesso seguros à rede. A beleza do sistema Cloudpath é que pode utilizá-lo sem pontos de acesso RUCKUS®, controladores SmartZone™ ou interruptores ICX®, mas o poder total da tecnologia Cloudpath só é conseguido quando emparelhado com o controlador convergente RUCKUS, pontos de acesso RUCKUS e interruptores ICX®. 

Com uma rede RUCKUS completa, os administradores podem aproveitar VLANs ou VXLANs para realizar a segmentação de rede com base em suas necessidades e recursos. Quando utiliza o Cloudpath para segmentação de rede, também obtém a capacidade de associar uma identidade de utilizador a cada dispositivo. 

Onde saber mais

Saiba mais sobre segmentação de rede visitando a página de solução RUCKUS sobre o tópico, onde encontrará vídeos, um resumo de solução e muito mais. Pode até aceder ao nosso estudo de caso recente com a AVE Union, uma propriedade MDU que utiliza VLANs para fornecer redes pessoais aos residentes. A segmentação de rede gera muitos benefícios para as organizações empresariais. Não hesite em contactar o seu parceiro RUCKUS se estiver interessado em implementar esta tecnologia no seu ambiente. 

Quais são os 3 principais benefícios da segregação de rede (microsegmentação)?

As três principais finalidades da segmentação de rede são:

• Segurança aprimorada: A segmentação de rede reduz a superfície de ataque dividindo uma rede plana em várias sub-redes ou segmentos. Esta segregação restringe o movimento lateral de atacantes dentro da rede. Se um atacante violar a rede, só teria acesso a uma parte limitada da rede, não a todo o sistema. É aqui que a micro-segmentação entra em jogo, proporcionando um nível de segurança mais granular através da aplicação de políticas de segurança ao nível da carga de trabalho. É uma parte fundamental de uma estratégia de “menos privilégio”, em que cada segmento tem apenas o acesso de que necessita e não mais. Esta abordagem é particularmente importante na proteção de dados sensíveis, como informações de cartões de crédito, em conformidade com normas como a Norma de Segurança de Dados do Setor de Cartões de Pagamento (PCI DSS).
• Desempenho melhorado: A segmentação de rede pode levar a um melhor desempenho da rede. Ao segregar o tráfego da rede, pode garantir que os serviços críticos obtêm a largura de banda de que necessitam. Isto é particularmente útil num ambiente de centro de dados onde diferentes tipos de tráfego, como tráfego leste-oeste (tráfego que flui entre servidores num centro de dados), precisam de ser geridos de forma eficiente. A segmentação também pode ajudar a reduzir o congestionamento limitando o fluxo de tráfego desnecessário entre segmentos.
• Maior controlo e monitorização: A segmentação de rede oferece melhor visibilidade e controle sobre sua rede. Dividindo a rede em partes menores, é mais fácil monitorar o tráfego, identificar anomalias e identificar possíveis violações. Também permite um controlo de acesso mais preciso, com diferentes níveis de confiança para diferentes segmentos. Por exemplo, os pontos finais com dados sensíveis podem ser isolados daqueles com maior risco de comprometimento. Tecnologias como a Rede Definida por Software (SDN) e virtualização podem tornar este processo mais fácil de gerir e flexível.

Conclusão

Lembre-se de que, embora a segmentação de rede possa melhorar significativamente a sua postura de cibersegurança, não é uma solução prateada. A segmentação de rede deve fazer parte de uma estratégia de defesa multicamadas que inclua firewalls, mecanismos de autenticação e políticas de segurança robustas.

© 2023 CommScope, Inc. Todos os direitos reservados. CommScope e o logotipo da CommScope são marcas registradas da CommScope e/ou suas afiliadas nos EUA e em outros países. Para obter informações adicionais sobre marcas comerciais, consulte https://www.commscope.com/trademarks. Todos os nomes de produtos, marcas comerciais e marcas comerciais registadas são propriedade dos respetivos proprietários.