Regras de privilégio mínimo evitam movimento lateral e garantem segurança

Os agentes maliciosos estão cada vez mais sofisticados e bem informados na hora de realizar ciberataques a organizações. Uma vez que encontram um ponto de entrada no perímetro, conseguem se mover rapidamente pelo ambiente, no que é conhecido como movimento leste-oeste ou lateral – a comunicação de dados entre dois ou mais servidores “peer” dentro de um Data Center ou outro ambiente multisservidor. Nesse contexto, a implementação de uma solução que coloque em prática regras de privilégio mínimo, como microssegmentação e ofuscação de recursos, é uma importante medida para restringir o acesso de invasores e proteger a rede.

“As soluções atuais como VPN, ainda bastante utilizadas, aumentam muito os riscos de segurança devido a uma ampla superfície de ataque e complexibilidade de gerenciamento, tanto para necessidades norte-sul – de acesso de usuários – quanto para leste-oeste”, alerta Rafael Teixeira, engenheiro de vendas da Appgate, empresa de acesso seguro com base nos princípios Zero Trust.

Uma solução como o perímetro definido por software (SDP, na sigla em inglês) permite às empresas arquitetar e gerenciar uma ampla gama de soluções de servidor para servidor – seja uma arquitetura de microsserviço ágil ou uma solução de compartilhamento de dados ad-hoc entre empresas –, fornecendo definições baseadas em políticas para cada classe de serviço, mantendo estritas regras de entrada e saída.

O Appgate SDP, por exemplo, oferece agilidade e um modelo de política unificado para manter um padrão de segurança microssegmentada entre usuários e servidores, combinando definição e aplicação de controles de segurança norte-sul e leste-oeste em uma única plataforma dinâmica. “Nossa solução de software é capaz de mitigar o acesso não autorizado de tal forma que, se há uma intrusão, os usuários mal-intencionados não podem se mover lateralmente pela rede e infectar, roubar ou corromper dados”, explica Teixeira.

Também é possível contar com o Ringfence, uma funcionalidade adicional que pode ser empregada às políticas de acesso e fornece regras de conexão que limitam direção, porta, origem e destino autorizados de todo o tráfego, permitindo a ocultação de dispositivos que fazem parte da tecnologia SDP. Desta forma, pode ser utilizado tanto em servidores que possuem instalado o Headless Client, um agente específico que permite implementar a microssegmentação e ofuscação, quanto no próprio dispositivo do usuário, ocultando os recursos dos demais dispositivos ou de um possível invasor presente na rede, diminuindo a interface de ataque e evitando as movimentações norte-sul e, consequentemente, leste-oeste.

Além disso, a própria infraestrutura do SDP pode ser ocultada com a autorização de pacote único (SPA, na sigla em inglês), permitindo criar uma camada adicional de proteção. Dessa forma somente usuários que fazem parte da solução podem se comunicar com a infraestrutura e iniciar o processo de autenticação.

Serviço
www.appgate.com