Proteger redes com a Confiança Zero

O Big Data apresenta novas oportunidades para obter novos insights e garantir uma vantagem competitiva. Estamos nos afastando de uma era na qual as redes foram claramente definidas e são normalmente específicas para um determinado local. A nuvem, os dispositivos móveis e outros pontos de extremidade expandem os limites e alteram os paradigmas. Agora não há necessariamente uma rede contida/definida para proteger. Em vez disso, há um vasto portfólio de dispositivos e redes, todos vinculados pela nuvem.

Em vez de acreditar que tudo por trás do firewall corporativo é seguro, uma estratégia de Confiança Zero de ponta a ponta pressupõe que as violações são inevitáveis. Isso significa que você deve verificar cada solicitação como se ela se originasse de uma rede não controlada, e o gerenciamento de identidades desempenha um papel crucial nesse caso.

No modelo de Confiança Zero, há três objetivos principais quando se trata de proteger suas redes:

• Esteja preparado para lidar com ataques antes que eles ocorram.

• Minimize a extensão do dano e a rapidez com que ele se espalha.

• Aumente a dificuldade de comprometer seu volume de nuvem.

Para fazer isso acontecer, seguimos três princípios de Confiança Zero:

• Verificar explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis, incluindo identidade do usuário, local, integridade do dispositivo, serviço ou carga de trabalho, classificação de dados e anormalidades.

• Usar acesso com privilégios mínimos. Limite o acesso do usuário com acesso JIT/JEA (just-in-time/just-enough), políticas adaptáveis baseadas em risco e proteção de dados para proteger os dados e a produtividade.

• Presumir a violação. Minimize o raio de alcance da violação e evite o movimento lateral, segmentando o acesso por rede, usuário, dispositivos e reconhecimento de aplicativos. Verifique se todas as sessões estão criptografadas de ponta a ponta. Use a análise para obter visibilidade, promover a detecção de ameaças e aprimorar as defesas.

Objetivos de implantação da rede de Confiança Zero

Antes de a maioria das organizações iniciar o percurso de Confiança Zero, a segurança de rede delas é caracterizada pelo seguinte:

• Poucos perímetros de segurança de rede e redes simples abertas.

• Proteção contra ameaças mínima e filtragem de tráfego estático.

• Tráfego interno não criptografado.

Ao implementar uma estrutura de Confiança Zero de ponta a ponta para proteger redes, recomendamos que você se concentre primeiro nesses objetivos de implantação iniciais:
	I.Segmentação de rede: muitos micro-perímetros de nuvem de entrada/saída com alguma microssegmentação. II.Proteção contra ameaças: filtragem nativa de nuvem e proteção contra ameaças conhecidas. III.Criptografia: o tráfego interno do usuário para o aplicativo é criptografado.
Após concluir esses objetivos, concentre-se nesses objetivos de implantação adicionais:
	IV.Segmentação de rede: micro-perímetros de nuvem de entrada/saída totalmente distribuídos e microssegmentação mais profunda. V.Proteção contra ameaças: proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados em contexto. VI.Criptografia: todo o tráfego é criptografado. VII.Descontinuar a tecnologia de segurança de rede herdada.

Guia de implantação da Confiança Zero na rede

Este guia explicará as etapas necessárias para proteger suas redes seguindo os princípios de uma estrutura de segurança da Confiança Zero.

Objetivos de implantação inicial

I. Segmentação de rede: muitos microperímetros de nuvem de entrada/saída com um pouco de microssegmentação

As organizações não devem ter apenas um único pipe grande dentro e fora da rede. Em uma abordagem de Confiança Zero, as redes são segmentadas em ilhas menores em que as cargas de trabalho específicas estão contidas. Cada segmento tem os próprios controles de entrada e saída para minimizar o "raio de transmissão" de acesso não autorizado aos dados. Ao implementar perímetros definidos pelo software com controles granulares, você aumenta a dificuldade para que atores não autorizados se propaguem por toda a rede e, portanto, reduz a movimentação lateral de ameaças.

Não há design de arquitetura que atenda às necessidades de todas as organizações. Você tem a opção entre alguns padrões de design comuns para segmentar sua rede de acordo com o modelo de Confiança Zero.

Neste guia de implantação, vamos orientar você pelas etapas para atingir um desses designs: microssegmentação.

Com a microssegmentação, as organizações podem ir além dos perímetros baseados em rede centralizados e simples para a segmentação abrangente e distribuída usando microperímetros definidos pelo software.

Os aplicativos são particionados em diferentes VNets (redes virtuais) do Azure e conectados usando um modelo hub-spoke

Siga estas etapas:

1. Crie redes virtuais dedicadas para diferentes aplicativos e/ou componentes de aplicativos.

2. Crie uma VNet central para configurar a postura de segurança para conectividade entre aplicativos e conecte as VNets do aplicativo a uma arquitetura hub e spoke.

3. Implante o Firewall do Azure na VNet do hub para inspecionar e controlar o tráfego entre as VNets.

II. Proteção contra ameaças: filtragem e proteção nativas de nuvem para ameaças conhecidas

Os aplicativos de nuvem que abriram pontos de extremidade para ambientes externos, como a Internet ou o volume local, correm o risco de ataques provenientes desses ambientes. Portanto, é imperativo examinar o tráfego para ver se há conteúdo ou lógica mal-intencionada.

Esses tipos de ameaças se enquadram em duas categorias amplas:

• Ataques conhecidos. Ameaças que foram descobertas pelo provedor de software ou pela comunidade. Nesses casos, a assinatura de ataque está disponível e você precisa garantir que cada solicitação seja verificada em relação a essas assinaturas. A chave é ser capaz de atualizar rapidamente seu mecanismo de detecção com os ataques identificados recentemente.

• Ataques desconhecidos. Essas são ameaças que não correspondem exatamente a nenhuma assinatura conhecida. Esses tipos de ameaças incluem vulnerabilidades de dia zero e padrões incomuns no tráfego de solicitação. A capacidade de detectar tais ataques depende de quão bem suas defesas sabem o que é normal e o que não é. Suas defesas devem estar constantemente aprendendo e atualizando tais padrões à medida que sua empresa (e o tráfego associado a ela) evolui.

Siga estas etapas para proteção contra ameaças conhecidas:

1. Para pontos de extremidade com tráfego HTTP/S, proteja usando o WAF (Firewall de Aplicativo Web) do Azure ao:

   1. Ativar o conjunto de regras padrão ou os 10 principais conjunto de regras de proteção do OWASP para proteção contra ataques conhecidos da camada da Web

   2. Ativar o conjunto de regras de proteção contra bots para impedir que bots mal-intencionados extraiam informações, realizem ações relacionadas a credenciais etc.

   3. Adicionar regras personalizadas para proteger contra ameaças específicas à sua empresa.

   Use uma das duas opções:

   • Azure Front Door

     1. Crie uma política de Firewall de Aplicativo Web no Azure Front Door.

     2. Configure a proteção contra bots para Firewall de Aplicativo Web.

     3. Regras personalizadas para Firewall de Aplicativo Web.

   • Gateway de Aplicativo do Azure

     1. Crie um gateway de aplicativo com um Firewall de Aplicativo Web.

     2. Configure a proteção contra bots para Firewall de Aplicativo Web.

     3. Crie e use regras personalizadas do Firewall de Aplicativo Web v2.

2. Para todos os pontos de extremidade (HTTP ou não), use o Firewall do Azure para filtragem baseada em inteligência contra ameaças na Camada 4:

   1. Implante e configure o Firewall do Azure usando o portal do Azure.

   2. Habilite a filtragem baseada em inteligência contra ameaças para seu tráfego.

   Dica

   Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para pontos de extremidade.

III. Criptografia: o tráfego interno do usuário para o aplicativo é criptografado

O terceiro objetivo inicial é adicionar criptografia para garantir que o tráfego interno do usuário para o aplicativo seja criptografado.

Siga estas etapas:

1. Imponha comunicação somente HTTPS para seus aplicativos Web voltados para a Internet redirecionando o tráfego HTTP para HTTPS usando o Azure Front Door.

2. Conecte funcionários/parceiros remotos ao Microsoft Azure usando o Gateway de VPN do Azure.

   1. Ative a criptografia para qualquer tráfego de ponto a site no serviço de Gateway de VPN do Azure.

3. Acesse suas máquinas virtuais do Azure com segurança usando a comunicação criptografada por meio do Azure Bastion.

   1. Conecte-se usando SSH a uma máquina virtual Linux.

   2. Conecte-se usando RDP a uma máquina virtual Windows.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para aplicativos.

Objetivos de implantação adicionais

IV. Segmentação de rede: microperímetros de nuvem de entrada/saída totalmente distribuídos e microssegmentação mais profunda

Depois de atingir os três objetivos iniciais, a próxima etapa é segmentar sua rede.

Particionar componentes de aplicativos para sub-redes diferentes

Siga estas etapas:

1. Na VNet, adicione sub-redes de rede virtual para que os componentes discretos de um aplicativo possam ter os próprios perímetros.

2. Aplique regras de grupo de segurança de rede para permitir o tráfego somente das sub-redes que têm um subcomponente de aplicativo identificado como um equivalente de comunicações legítimas.

Segmentar e aplicar os limites externos

Siga estas etapas, dependendo do tipo de limite:

Limite da Internet

1. Se a conectividade com a Internet for necessária para seu aplicativo que precisa ser roteado por meio da VNet do hub, atualize as regras do grupo de segurança de rede na VNet do hub para permitir a conectividade com a Internet.

2. Ative a Proteção contra DDoS do Azure Standard para proteger a VNet do hub contra ataques de camada de rede volumétricos.

3. Se seu aplicativo usar protocolos HTTP/S, ative o Firewall de Aplicativo Web do Azure para proteção contra ameaças de Camada 7.

Limite local

1. Se seu aplicativo precisar de conectividade com seu data center local, use o Azure ExpressRoute da VPN do Azure para conectividade com a VNet do hub.

2. Configure o Firewall do Azure na VNet do hub para inspecionar e controlar o tráfego.

Limite de serviços de PaaS

• Ao usar os serviços de PaaS fornecidos pelo Azure (por exemplo, Armazenamento do Azure, Azure Cosmos DB ou Aplicativo Web do Azure), use a opção de conectividade PrivateLink para garantir que todas as trocas de dados estejam pelo espaço IP privado e o tráfego nunca saia da rede da Microsoft.

Dica

Saiba mais sobre como implementar uma estratégia de Confiança Zero de ponta a ponta para os dados.

V. Proteção contra ameaças: proteção contra ameaças baseada em aprendizado de máquina e filtragem com sinais baseados em contexto

Para maior proteção contra ameaças, ative a Proteção contra DDoS do Azure Standard para monitorar constantemente o tráfego de aplicativos hospedados no Azure, use estruturas baseadas em ML para linha de base e detecte inundações de tráfegos volumétricos e aplique mitigações automáticas.

Siga estas etapas:

1. Configure e gerencie a Proteção contra DDoS do Azure Standard.

2. Configure alertas para métricas de proteção contra DDoS.

VI. Criptografia: todo o tráfego é criptografado

Por fim, conclua sua proteção de rede, garantindo que todo o tráfego seja criptografado.

Siga estas etapas:

1. Criptografe o tráfego de back-end do aplicativo entre redes virtuais.

2. Criptografe o tráfego entre o local e a nuvem:

   1. Configure uma VPN site a site no emparelhamento da Microsoft para ExpressRoute.

   2. Configure o modo de transporte IPsec para emparelhamento privado do ExpressRoute.

VII. Descontinuar a tecnologia de segurança de rede herdada

Descontinue o uso de sistemas de detecção de intrusão de rede baseada em NIDS/NIPS (detecção de intrusão/prevenção de intrusão de rede) e DLP (vazamento de dados/prevenção contra a perda).

Os principais provedores de serviço de nuvem já filtram os pacotes malformados e os ataques comuns de camada de rede, portanto, não há necessidade de uma solução NIDS/NIPS para detectá-los. Além disso, as soluções tradicionais de NIDS/NIPS geralmente são orientadas por abordagens baseadas em assinatura (que são consideradas desatualizadas), são facilmente disparadas por invasores e normalmente produzem uma alta taxa de falsos positivos.

A DLP baseada em rede está cada vez menos eficaz na identificação de perda de dados inadvertida e proposital. O motivo disso é que a maioria dos protocolos e invasores modernos usam criptografia de nível de rede para comunicações de entrada e saída. A única solução viável para isso é a "ponte SSL" que fornece um "man-in-the-middle" autorizado que encerra e, em seguida, restabelece as conexões de rede criptografadas. A abordagem de ponte SSL caiu em desuso devido ao nível de confiança necessário para o parceiro que executa a solução e as tecnologias que estão sendo usadas.

Com base nessa lógica, oferecemos uma recomendação para que você descontinue o uso dessas tecnologias de segurança de rede herdadas. No entanto, se a sua experiência organizacional é que essas tecnologias tiveram um impacto palpável na prevenção e na detecção de ataques reais, você pode considerar migrá-los para seu ambiente de nuvem.

Produtos abordados neste guia

Microsoft Azure

Rede do Azure

Redes virtuais e sub-redes

Grupos de segurança de rede e grupos de segurança de aplicativo

Firewall do Azure

Proteção contra DDoS do Azure

Firewall do aplicativo Web do Azure

Gateway de VPN do Azure

Azure ExpressRoute

Observador de Rede do Azure

Conclusão

Proteger redes é fundamental para uma estratégia de Confiança Zero com êxito. Para obter mais informações ou ajuda com a implementação, entre em contato com a equipe de Sucesso dos Clientes ou continue lendo os outros capítulos deste guia, que abrangem todos os pilares da Confiança Zero.

A série de guias de implantação de Confiança Zero