Zero trust dentro: segmentação de dispositivos para filial, fábrica e campus

Arquiteturas legadas de rede e segurança

No complexo cenário digital atual, a movimentação lateral de ameaças dentro da filial, fábrica e campus, onde malwares ou invasores se deslocam em uma rede, continua sendo um grande desafio de segurança cibernética. Soluções tradicionais, que dependem de firewalls caros ou controles de acesso de rede (NAC) complexos, muitas vezes são insuficientes, pois dependem de métodos severamente desatualizados ou exigem agentes de terminal que nem sempre são viáveis de implantar. A segmentação de dispositivos zero trust da Zscaler oferece uma resposta simplificada e dimensionável a esses obstáculos de segurança sem a complexidade da segmentação de redes tradicionais. Com uma arquitetura zero trust inspirada em redes de telecomunicações, ela fornece uma estratégia eficaz para isolar e proteger todos os dispositivos dentro de redes corporativas.

O grande problema: movimentação lateral de ameaças

1. Dispositivos não segmentados dentro da filial e da fábrica: apesar de anos adicionando soluções de segurança específicas, os métodos tradicionais de segmentação de rede ainda permitem a movimentação lateral. Os invasores podem comprometer um dispositivo e depois se espalhar lateralmente, expondo dados sigilosos ou interrompendo operações. Essa movimentação “leste-oeste” de ameaças é particularmente problemático em setores onde o tempo de atividade é crucial, como saúde, manufatura e infraestrutura crítica, e as redes são frequentemente relativamente “planas”.

2. Limitações das soluções de segmentação legadas: muitas soluções de segmentação existentes dependem de listas de controle de acesso (ACLs) ou políticas de NAC, que exigem gerenciamento manual contínuo e não são bem dimensionadas para redes modernas. Além disso, muitas soluções dependem da implantação de agentes em vários dispositivos, o que pode ser inviável em ambientes com sistemas legados, dispositivos de IoT e ativos de tecnologia operacional (OT) que não oferecem suporte à segurança baseada em agentes.

3. Falta de isolamento de dispositivos em toda a empresa: o princípio de zero trust afirma que nenhum dispositivo, usuário ou segmento de rede deve ser considerado confiável por padrão. No entanto, as redes empresariais convencionais muitas vezes não têm isolamento real de dispositivos, deixando brechas por onde as ameaças podem se espalhar. Isso é particularmente verdadeiro para a segmentação grosseira obtida pela implantação de firewalls leste-oeste e segurança de perímetro legada. A abordagem da Zscaler, ao segmentar cada dispositivo individualmente em sua própria rede, minimiza esse risco ao garantir que os dispositivos possam se comunicar somente onde são explicitamente permitidos.

Uma abordagem inspirada em telecomunicações 

Apesar de seus milhões de usuários, as redes de assinantes de telecomunicações nunca transmitem malware de um telefone para outro.  Como?  Nesses sistemas, cada dispositivo assinante opera de forma isolada, impedindo a movimentação lateral. Por exemplo, um dispositivo móvel comprometido em uma assinatura não afeta outros dispositivos. A Zscaler adotou uma estratégia semelhante com sua segmentação de dispositivos zero trust: cada dispositivo é efetivamente colocado em sua própria “rede” isolada, restringindo sua capacidade de se conectar lateralmente.

Como funciona a segmentação de dispositivos

A segmentação de dispositivos zero trust da Zscaler visa simplificar a segmentação incorporando segurança zero trust diretamente na infraestrutura de rede. Aqui está uma análise da implantação principal e da mecânica operacional:

1. Implantação simples

• Posicionamento: o dispositivo Zscaler Edge é implantado próximo ao switch principal em uma porta de tronco, criando um gateway perfeito para interceptar e gerenciar conexões de dispositivos.
• Configuração de alta disponibilidade: normalmente, dois dispositivos são instalados como um par ativo e em espera, garantindo serviço ininterrupto e resiliência contra pontos únicos de falha.

2. Segmentação automática de dispositivos

• Desativação de SVI: uma vez implantado, a Switch Virtual Interface (SVI) do switch para a VLAN é desativada, e o dispositivo Zscaler Edge assume a função de gateway padrão.
• Ajuste de máscara de rede para isolamento: conforme os dispositivos renovam seus contratos de IP, o dispositivo modifica sua máscara de rede para uma /32, isolando efetivamente cada dispositivo com uma máscara de sub-rede exclusiva.
• Tratamento de dispositivos de IP estático: para dispositivos estáticos, a Zscaler oferece scripts automatizados que atualizam suas configurações de máscara de rede sem exigir tempo de inatividade ou quedas de sessão, permitindo integração perfeita em ambientes de alta disponibilidade, como hospitais e campi corporativos.

Inventário de tudo, aplicação em todos os lugares

Depois que a segmentação de dispositivos zero trust da Zscaler é implantada, ela oferece controle granular e visibilidade em toda a rede:

1. Classificação de dispositivos e agrupamento dinâmico

• A plataforma da Zscaler descobre, classifica e agrupa dispositivos por tipo (por exemplo, impressoras, dispositivos de IoT, dispositivos Android). À medida que novos dispositivos são adicionados ou removidos, as associações de grupo são atualizadas dinamicamente, fornecendo visibilidade contínua e em tempo real.
• Flexibilidade de agrupamento: os agrupamentos de dispositivos podem ser configurados com base no tipo, sistema operacional ou atributos personalizados, permitindo a aplicação de políticas direcionadas e o gerenciamento simplificado.

2. Aplicação de políticas com controle baseado em funções

• As políticas podem ser criadas para limitar a comunicação entre tipos específicos de dispositivos, regiões ou unidades organizacionais. Por exemplo, os administradores podem restringir a comunicação de câmeras com impressoras ou bloquear o acesso interno ao protocolo de área de trabalho remota (RDP) em toda a organização para reduzir significativamente a superfície de ataque.
• Personalização do escopo: as políticas podem ser aplicadas globalmente, regionalmente ou localmente, proporcionando flexibilidade para organizações com redes complexas e distribuídas.
• Portal de gerenciamento centralizado: a plataforma da Zscaler inclui um portal de gerenciamento com controle de acesso baseado em funções, permitindo que os administradores definam políticas, visualizem a atividade da rede e façam ajustes em tempo real.

3. Visibilidade leste-oeste total

• A plataforma fornece um mapa visual da atividade da rede, capturando todos os fluxos de tráfego na rede. Essa visibilidade inclui padrões de tráfego norte-sul (externo) e leste-oeste (interno), permitindo um diagnóstico rápido de problemas de rede.
• Indicadores de fluxo codificados por cores: os eventos de rede são representados com códigos de cores intuitivos: vermelho para tráfego bloqueado, verde para conexões permitidas e preto para políticas padrão. Os administradores podem simplesmente inserir o endereço MAC, o nome do host ou o IP de um dispositivo para visualizar suas interações em tempo real, permitindo uma solução de problemas mais rápida.

Por que a Zscaler?

A arquitetura exclusiva da segmentação de dispositivos zero trust da Zscaler oferece vantagens substanciais sobre os métodos tradicionais:

1. Redução da complexidade e do custo

• Ao eliminar a necessidade de firewalls leste-oeste e mecanismos complexos de controle de acesso, a Zscaler reduz significativamente a complexidade da rede e os custos de atualização. Os administradores não precisam mais gerenciar ACLs extensas ou depender de atualizações de regras de firewall para manter a segmentação.

2. Segmentação sem agentes para dispositivos legados e IoT

• Muitos dispositivos legados e de IoT não são compatíveis com agentes, o que os torna difíceis de proteger com soluções convencionais. A abordagem da Zscaler, que não requer agentes, a torna uma solução ideal para ambientes industriais, instalações inteligentes e outros ambientes com diversos tipos de dispositivos.

3. Conformidade e detecção aprimoradas

• A descoberta e classificação automática de dispositivos da Zscaler simplificam a conformidade com as regulamentações do setor, garantindo que todos os dispositivos sejam contabilizados e protegidos. Além disso, a visão centralizada dos fluxos de rede ajuda a identificar rapidamente possíveis incidentes de segurança ou violações de políticas.

4. Rápida implantação e flexibilidade

• A solução da Zscaler pode ser implantada rapidamente, geralmente em um dia, oferecendo um tempo de retorno do investimento rápido. Suas opções de configuração oferecem flexibilidade, permitindo que as organizações adaptem a segmentação às suas necessidades operacionais sem exigir tempo de inatividade ou longos cronogramas de projeto.

Casos de uso comuns da segmentação de dispositivos

Descoberta e classificação automática de dispositivos

• Ideal para ambientes com uma combinação de dispositivos conhecidos e desconhecidos, como saúde ou manufatura. Ao automatizar o processo de descoberta, a Zscaler permite que os administradores monitorem dispositivos gerenciados e não gerenciados, garantindo a integridade da rede.

Segmentação sem agentes para dispositivos legados, IoT e OT

• Setores com ativos de tecnologia operacional, como energia e manufatura, se beneficiam da segmentação sem agentes da Zscaler, que fornece segurança robusta sem interromper a produção ou exigir a modernização de qualquer ponto de extremidade IP.

Eliminação de firewalls leste-oeste

• Ao eliminar a necessidade de firewalls internos tradicionais, a Zscaler minimiza a superfície de ataque e reduz os custos de infraestrutura. Isso é especialmente útil para organizações que precisam isolar a TI da OT ou separar grandes linhas de produção que, de outra forma, exigiriam amplo gerenciamento de firewall.

O fim da ameaça lateral dentro da filial, fábrica e campus

A segmentação de dispositivos zero trust da Zscaler apresenta uma abordagem moderna e eficiente da segmentação zero trust para dispositivos dentro da filial, fábrica e campus. Com a capacidade de isolar cada dispositivo individualmente, eliminar firewalls tradicionais e gerenciar políticas centralmente, a Zscaler simplifica a complexa tarefa de segmentação. Inspirada no modelo de telecomunicações inerentemente isolado, ela traz zero trust para todos os dispositivos, dando suporte à segurança e à continuidade operacional.

Para organizações que enfrentam desafios de segmentação, a solução da Zscaler oferece a oportunidade de atingir verdadeira segurança e resiliência em nível de dispositivo, em um dia. Com a Zscaler, a segmentação não é mais um projeto longo e que exige muitos recursos, mas uma solução simplificada e gerenciável que se alinha aos princípios de zero trust atuais. E como parte da Zscaler zero trust para filiais e nuvem, agora você pode estender os princípios de zero trust em todos os lugares da sua empresa.

Para saber mais sobre inovações em zero trust para filiais e nuvem, visite zscaler.com/ztsegmentation