O que é enclave na nuvem

Como o enclave na nuvem se diferencia da cibersegurança tradicional

O enclave na nuvem foi criado para atender às necessidades dos negócios digitais modernos de uma forma que as soluções de segurança legadas não conseguem. Vamos colocar isso em contexto histórico para entender o porquê.

Anos atrás, quando os aplicativos e dados residiam no data center local de uma organização, e os funcionários trabalhavam em grande parte nessas mesmas instalações, a segurança de rede tradicional baseada em perímetro oferecia um nível razoável de segurança. Hoje, a globalização e o trabalho híbrido levaram a computação na nuvem à vanguarda, tornando os modelos mais antigos ineficazes.

Na nuvem, diferentes cargas de trabalho essenciais de uma mesma organização podem ser hospedadas entre vários provedores de serviços na nuvem (por exemplo, Amazon Web Service [AWS], Microsoft Azure), e os usuários as acessam pela internet. Em termos práticos, isso significa que não há mais um “perímetro de rede”, o que abre muito mais caminhos para possíveis ataques. O enclave na nuvem combate isso abrindo espaço para políticas de segurança personalizadas que limitam o tráfego de e para cargas de trabalho específicas somente ao que é explicitamente permitido.

O que é um enclave

Um enclave é parte de uma rede separada do restante da rede e administrada por políticas de segurança granulares. O objetivo de um enclave seguro é aplicar acesso de privilégio mínimo a recursos críticos como parte de uma estratégia de segurança de defesa em profundidade.

Segmentação de rede vs. enclave na nuvem

A segmentação de rede é melhor usada para tráfego norte-sul (entre seu ambiente e locais fora dele), enquanto o enclave na nuvem adiciona uma camada de proteção para tráfego leste-oeste (de servidor para servidor, aplicativo para servidor, web para servidor e assim por diante, dentro do seu ambiente). Vamos analisar as duas opções em mais detalhes.

Segmentação da rede

Comparado a um modelo baseado em perímetro que protege uma rede apenas de fora, a segmentação de rede é uma abordagem mais detalhada. Ou seja, ela divide uma rede em “sub-redes” e aplica protocolos de segurança e conformidade a cada uma delas. O tráfego entre segmentos normalmente é separado usando uma VLAN antes de passar por um firewall.

Infelizmente, como essa abordagem é baseada em endereços IP, ela só consegue identificar como uma solicitação chegou (ou seja, seu endereço IP de origem, porta ou protocolo), não o contexto ou a identidade da entidade que faz a solicitação. As comunicações consideradas seguras são autorizadas, mesmo que a TI não saiba exatamente o que são. Então, a entidade é considerada confiável quando está dentro de um segmento, mesmo que seja um agente malicioso tentando se mover lateralmente dentro do ambiente.

A segmentação de rede cria uma rede “plana”, deixando rotas desprotegidas que permitem que invasores se movam lateralmente e comprometam cargas de trabalho em ambientes na nuvem e no data center. Além disso, o custo, a complexidade e o tempo necessários para gerenciar a segmentação de rede usando firewalls legados ou máquinas virtuais (VMs) tendem a superar os benefícios de segurança.

Enclave na nuvem

O enclave na nuvem, ou seja, a microssegmentação baseada na nuvem, oferece um controle de tráfego mais granular ao mesmo tempo em que minimiza a superfície de ataque de uma organização, alcançando a segmentação de uma forma operacionalmente mais simples e segura do que a segmentação de rede. Ele faz isso olhando além de endereços IP, portas e protocolos para autenticar solicitações por identidade e contexto. Além disso, ele oferece proteção granular no nível de cargas de trabalho individuais para controlar mais efetivamente as comunicações entre elas.

O enclave na nuvem não apenas minimiza as ameaças internas ao fornecer proteção muito mais próxima das próprias cargas de trabalho, mas também evita a disseminação de ameaças externas após o perímetro ter sido violado.

Benefícios do enclave na nuvem

Assim como a segmentação de rede, o enclave na nuvem existe para fortalecer a segurança da rede e dos dados diante de um cenário de ameaças cibernéticas crescente e em evolução. Organizações estão sob ameaça em todas as regiões e setores, à medida que os criminosos cibernéticos desenvolvem técnicas cada vez mais sofisticadas para escapar das medidas de segurança. Para acompanhar, as organizações e sua segurança precisam se adaptar.

Uma abordagem eficaz de microsegmentação baseada na nuvem oferece:

• Segurança proativa de rede e TI: o enclave na nuvem cria políticas com reconhecimento de aplicativos que acompanham todos os aplicativos e serviços, contendo possíveis violações de dados em ativos afetados, não em todo o ambiente. Alguns serviços de enclave aproveitam a automação para identificar todas as comunicações, recomendar políticas zero trust e permitir que você aplique essas políticas com um clique.
• Vulnerabilidade reduzida: em vez de controles estáticos que dependem de endereços IP, portas e protocolos, sua equipe de segurança pode identificar cada carga de trabalho para fornecer proteção consistente enquanto opera em um data center interno ou na nuvem. A identificação separa a segurança de cargas de trabalho dos conceitos de endereço IP, para evitar problemas com controles baseados em IP.
• Avaliação de risco contínua: os enclaves na nuvem permitem que você meça automaticamente sua superfície de ataque visível para quantificar os riscos. Os serviços de enclave mais eficazes verificam a identidade de uma entidade sempre que ela faz uma solicitação, o que reduz ainda mais os riscos, oferece suporte a mandatos de conformidade regulatória e fornece informações para relatórios de risco visualizados.
• Gerenciamento de políticas mais fácil: como as políticas de enclave na nuvem se aplicam a cargas de trabalho e não a endereços IP, portas, protocolos ou hardware, elas permanecem intactas mesmo que sua infraestrutura mude. Isso significa que sua equipe de segurança pode estender um conjunto de controles para qualquer lugar e proteger um segmento com apenas algumas políticas baseadas em identidade, em vez de centenas de regras baseadas em endereço.

O enclave na nuvem é uma prática recomendada?

O enclave na nuvem aborda vários casos de uso de segurança na nuvem que as abordagens tradicionais simplesmente não foram criadas para atender. Enquanto a segmentação de rede depende de controles pouco granulares e de gerenciamento intensivo, a microssegmentação aplica controles a cargas de trabalho individuais, que então acompanham as cargas de trabalho em todo o ambiente de nuvem. Em nosso mundo de equipes híbridas globais, dados distribuídos e ataques cada vez mais inteligentes, o enclave na nuvem é um meio essencial para alcançar:

Visibilidade em todo o seu ambiente

Os enclaves na nuvem oferecem maior contexto em torno do qual sua equipe de segurança pode criar políticas baseadas em aplicativo, ambiente, conformidade e muito mais, concentrando-se na identidade em vez de apenas no ponto de origem. Isso permite que sua equipe crie políticas mais granulares, reforçando sua postura de segurança.

Proteção entre provedores e implantações

Uma abordagem eficaz de microsegmentação protege suas cargas de trabalho de forma consistente em todos os provedores de nuvem, liberando você para criar ambientes híbridos e multinuvem que melhor se adaptam ao seu orçamento e às suas necessidades de implantação. O aumento de flexibilidade permite que você facilmente adote contêineres, computação sem servidor, entre outros.

Redução nos custos de Capex e Opex

O enclave na nuvem economizará mão de obra e recursos a longo prazo. Implementar, gerenciar e manter a microssegmentação baseada na nuvem é muito menos dispendioso, trabalhoso e demorado do que fazer o mesmo com firewalls e outros hardwares.

Zscaler e enclave na nuvem

A Zscaler Workload Communications é uma nova maneira de criar enclaves seguros na nuvem. Com apenas um clique, você pode melhorar a segurança ao permitir que a ZWS revele os riscos e aplique proteções baseadas na identidade às suas cargas de trabalho, sem fazer qualquer alteração na rede.

A Zscaler Workload Communications oferece proteção sem falhas, com políticas que automaticamente se adaptam às mudanças de ambiente, eliminando sua superfície de ataque de rede. Além disso, a Zscaler Workload Communications é baseada em API, o que significa que ela pode se integrar às ferramentas de segurança e processos de DevOps existentes, permitindo a segmentação automática com apenas um clique.

Baseada no zero trust, a Zscaler permite que apenas cargas de trabalho verificadas se comuniquem em ambientes de nuvem pública, privada ou híbrida, mitigando os riscos e proporcionando os mais altos níveis de proteção contra violações de dados.

A Zscaler Workload Communications inclui:

Proteção baseada na identidade do software

Veja além dos endereços de rede para verificar a identidade segura do software de aplicativo de comunicação e cargas de trabalho em nuvens públicas ou privadas, nuvens híbridas, data centers locais ou ambientes de contêiner.

Mecanismo de automatização de políticas

Usando aprendizado de máquina, automatize todo o ciclo de vida das políticas de microssegmentação e proteção de cargas de trabalho. Não há necessidade de criar políticas manualmente durante a implantação ou operações em andamento, e a Workload Communications recomendará políticas novas ou atualizadas quando aplicativos forem adicionados ou alterados.

Visibilidade e medição da superfície de ataque

Crie automaticamente uma topologia de aplicativo em tempo real e um mapa de dependência até o nível do processo. Em seguida, destaca as rotas de aplicativo necessárias e as compara ao total de rotas de rede disponíveis, recomendando políticas para minimizar a superfície de ataque e proteger o que é necessário.

Veja na prática

Solicite uma demonstração para ver pessoalmente como a Zscaler Workload Communications permite que você crie enclaves na nuvem para aumentar sua segurança.