Segmentação de identidade: um pilar fundamental para reforçar a postura de segurança
17 de Janeiro de 2024 Zev Brodsky
À medida que as ameaças cibernéticas evoluem, as organizações devem adaptar constantemente as suas estratégias de segurança de identidade para se manterem protegidas. Um dos elementos mais significativos das estratégias modernas de segurança é a segmentação da rede, que envolve a divisão de uma rede em segmentos menores e isolados para limitar o acesso não autorizado a recursos confidenciais.
Como a segmentação de rede é bem conhecida e implementada pela maioria das organizações, o aumento das ameaças de identidade apresenta uma abordagem mais moderna à segmentação a partir do plano de controlo de identidade.
Uma extensão adicional deste conceito é segmentação de identidade, que se concentra na identidade e nos atributos dos usuários, dispositivos e aplicativos. Essa abordagem permite que as organizações apliquem controles de acesso granulares a identidades específicas, melhorando sua postura geral de segurança e proteção contra acesso não autorizado.
Neste blog, exploraremos a diferença entre segmentação de rede e segmentação de identidade. Também exploraremos como a segmentação de identidade é a chave para implementar uma verdadeira Confiança zero estratégia.
Índice analítico
A evolução da segmentação de rede
A segmentação de rede é uma abordagem de segurança que isola segmentos na rede corporativa para reduzir o superfície de ataque. A segmentação de rede funciona melhor no ambiente empresarial “castelo e fosso”, protegendo todos os pontos de exposição no ambiente. Essa abordagem foi fortemente implementada desde o início dos anos 2000 pelas equipes de segurança e de TI.
Embora esta abordagem tenha provado ser eficaz na maioria das estratégias de segurança de rede, a natureza evolutiva das ameaças cibernéticas destaca lacunas na segmentação da rede.
As políticas de acesso de segmentação de rede são normalmente definidas por regras de firewall ou VLANs, que tendem a ser estáticas e dependentes do tráfego de rede. Essas políticas estáticas dependem do dispositivo e não dos requisitos de acesso do usuário, muitas vezes concedendo amplo acesso aos usuários com base em sua localização na rede. Os invasores visam cada vez mais as identidades dos usuários, explorando credenciais comprometidas para obter acesso não autorizado.
A abordagem não se adapta à natureza dinâmica dos ambientes de trabalho modernos, onde os utilizadores acedem a recursos a partir de uma variedade de dispositivos e locais. A segmentação da rede não fornece o controle granular necessário para proteger as identidades de maneira eficaz.
A segmentação de identidade aumenta a postura de segurança de identidade
A segmentação de identidade é a abordagem de segurança que envolve o gerenciamento e o controle do acesso com base nas identidades, funções e atributos dos usuários. Em vez de depender de limites rígidos de rede, como listas de acesso IP e regras de firewall, a segmentação de identidade divide a rede não apenas do ponto de vista físico ou geográfico, mas também da perspectiva do plano de controle de identidade.
Isso é feito segmentando um ambiente com base na identidade e nos atributos de usuários, dispositivos e aplicativos. Ao fazer isso, as organizações podem implementar controles de acesso granulares, garantindo que os usuários tenham acesso apenas aos recursos necessários para suas funções.
Segmentação de rede versus segmentação de identidade
A segmentação de rede envolve dividir uma rede em diferentes segmentos para aumentar a segurança e o controle. A segmentação de rede tradicional depende de fatores como endereços IP, VLANs e separação física para criar esses segmentos. Embora seja eficaz na limitação do impacto de uma violação na rede, a segmentação da rede muitas vezes não consegue abordar a natureza dinâmica e evolutiva das identidades dos utilizadores.
Por outro lado, a segmentação de identidade muda o foco para as identidades dos usuários. Essa abordagem se alinha às ameaças de segurança modernas, nas quais os usuários são os alvos principais e as ameaças geralmente exploram credenciais comprometidas. A segmentação de identidade envolve a criação de controles de acesso baseados em atributos, funções e comportamento do usuário, para que os usuários possam acessar apenas os recursos necessários para suas funções, independentemente de sua localização na rede.
A principal diferença reside no seu foco: a segmentação da rede enfatiza a segurança dos caminhos e da infraestrutura, enquanto a segmentação da identidade se concentra na proteção das identidades dos usuários individuais. A segmentação de rede tende a depender de políticas estáticas baseadas na estrutura da rede, enquanto a segmentação de identidade envolve controles de acesso dinâmicos e sensíveis ao contexto, baseados em atributos do usuário. A segmentação de identidade é particularmente eficaz no combate às ameaças baseadas na identidade, que se tornaram cada vez mais predominantes no cenário da segurança cibernética.
Adaptando-se à arquitetura Zero Trust
Para implementar uma arquitetura Zero Trust, todas as organizações devem proteger as suas identidades, dispositivos, redes, aplicações e cargas de trabalho, bem como dados. É importante notar que embora muitas organizações tenham implementado com sucesso alguns princípios do modelo Zero Trust, a maioria ainda precisa de reforçar a sua gerenciamento de postura de segurança de identidade.
Forte gerenciamento de identidade e a proteção permite que as organizações respondam com mais rapidez e precisão quando surge uma ameaça potencial. As equipes de TI podem rastrear e alertar melhor sobre quaisquer ameaças de identidade que surjam, solicitando medidas proativas para impedir possíveis tentativas de acesso não autorizado.
Para construir uma arquitetura Zero Trust completa em seus ambientes, o gerenciamento de identidade e Proteção de identidade devem ser os componentes principais. Isso permitirá que você gerencie e proteja todos os aspectos da identidade de forma eficaz, o que é essencial para proteger todos os tipos de ativos, incluindo aqueles que estão no local.
