Aumente sua segurança de rede e controle através de segmentação

julho 29, 2018

Aumente sua segurança de rede e controle através de segmentação

Quando você pensa em proteger uma rede usando um firewall de próxima geração, na maioria dos casos, o processo passa imediatamente da Internet para a rede local (LAN). Isso pode ser uma boa maneira de pensar se você tiver apenas clientes de área de trabalho com fio. No entanto, e se a rede incluir servidores que precisam de acesso de entrada da Internet ou de uma rede sem fio? Que medidas você pode tomar para proteger uma rede um pouco mais sofisticada?

Vejamos um exemplo de uma pequena rede na qual o usuário tem alguns clientes de desktop conectados à LAN física, clientes sem fio e um servidor de armazenamento. Para este caso de uso específico, a segmentação de rede é configurada da seguinte maneira. A rede LAN possui todos os clientes de desktop, uma rede LAN sem fio (WLAN) para os clientes sem fio e uma zona desmilitarizada (DMZ), na qual o servidor de armazenamento está conectado.

Da LAN, os clientes podem acessar a Internet, mas o acesso aos outros segmentos da rede é bloqueado. Isso inclui a política padrão para bloquear todo o acesso de entrada da WAN ou da Internet.

Para os usuários sem fio, eles podem acessar a Internet, mas são impedidos de acessar qualquer um dos outros segmentos da rede. Para que os usuários sem fio acessem outros segmentos de rede, eles devem se autenticar no firewall.
Uma vez autenticado, cada usuário sem fio pode obter acesso aos outros segmentos de rede conforme necessário. Isso foi feito para aumentar a segurança da WLAN e impedir o acesso não autorizado aos outros segmentos da rede.

Finalmente, no segmento do servidor de armazenamento, a política padrão é bloquear o acesso a todos os outros segmentos da rede. Isso é feito para garantir que, se o servidor de armazenamento fosse comprometido por uma vulnerabilidade em seu software, não permitiria que um hacker ganhasse acesso ou malware se espalhasse para outros segmentos de rede na LAN ou WLAN. Para o acesso WAN, todo o tráfego é bloqueado, embora seja permitido a um conjunto específico de portas fornecer a capacidade de atualizar automaticamente o software no servidor de armazenamento.

Agora você pode ver isso e pensar que isso é um exagero para uma rede tão pequena. No entanto, estando no setor de segurança nos últimos 15 anos e educando parceiros e clientes em redes adequadas, imaginei que isso só beneficiaria minha própria segurança de rede ao implementar um design de segurança que limita o acesso entre segmentos de rede.

Embora não esteja dizendo que todas as redes precisam ter esse nível de complexidade, é uma boa ideia pensar na segmentação de rede e não colocar todos os dispositivos conectados em um único segmento, apenas porque é fácil. A segmentação de rede ajudará a controlar o tráfego não apenas no norte e no sul, mas também fornecerá controles para o tráfego indo para o leste e o oeste entre os segmentos da rede.

Com os firewalls SonicWall, é possível criar uma ampla variedade de segmentos usando interfaces físicas ou lógicas ou o rádio sem fio interno, se disponível.Depois que uma interface é definida, você pode aplicar uma classificação de zona, como LAN, DMZ, WLAN ou personalizada, e a partir daí aplicar políticas para controlar o acesso entre os vários segmentos e limitar o acesso não autorizado. Para maior segurança, você também pode aplicar os requisitos de autenticação. Para saber mais sobre como os firewalls de última geração da SonicWall podem ajudar a proteger sua rede, leia o white paper “Alcance maior segurança e controle de rede”.