Limite e contenha ameaças de segurança com segmentação de rede

Segurança industrial avançada com segmentação

Uma rede aberta e não segmentada é um presente para criminosos cibernéticos.

Assim que um invasor encontra e explora o ponto de entrada mais vulnerável, é “como roubar doce de criança”. Eles podem acessar com facilidade uma parte maior da rede e possivelmente qualquer coisa conectada a ela, de projetos de produtos ou receitas a controles de máquina e finanças da empresa.

E não são apenas ameaças externas que representam um perigo em uma rede não segmentada. As ameaças internas, seja um funcionário insatisfeito ou um erro humano, como uma alteração incorreta do sistema, também podem causar estragos quando não há limites de rede ou restrições de acesso.

Por esse motivo a segmentação de rede deve fazer parte da estratégia de segurança industrial de todas as empresas.

A segmentação separa a rede em várias redes menores e permite estabelecer zonas de confiança, ajudando a limitar o acesso de ameaças de segurança externas e contendo qualquer dano que elas possam causar. A segmentação ajuda os funcionários e parceiros de negócios a acessar somente os dados, ativos ou aplicativos de que precisam.

Níveis de segmentação

LANs virtuais ou VLANs são associadas com frequência à segmentação de rede. Elas são domínios de transmissão que existem em uma rede comutada e permitem que você segmente a rede logicamente, por exemplo, por função, aplicativo ou organização, em vez de fisicamente.

As VLANs protegem dispositivos e dados de duas maneiras. Primeiro, você pode impedir que dispositivos em certas VLANs se comuniquem com dispositivos em outras VLANs. Segundo, você pode usar um switch ou roteador de Camada 3 com funcionalidade de segurança e filtragem para ajudar a proteger as comunicações de dispositivos que conversam entre si através de VLANs.

No entanto, embora sejam uma parte importante da segmentação, as VLANs são apenas uma solução. Você também deve usar outros métodos de segmentação em diferentes níveis da arquitetura de rede.

Um exemplo é o uso de uma zona industrial desmilitarizada (IDMZ), que cria uma barreira entre a empresa e as zonas industriais ou de fabricação. Todo o tráfego entre as duas zonas termina nessa barreira, e ela permite que os dados sejam compartilhados com segurança.

Outros métodos de segmentação que devem ser considerados incluem listas de controle de acesso (ACLs), firewalls, redes privadas virtuais (VPNs), restritores de tráfego unidirecionais e serviços de proteção e detecção de invasão (IPS/IDS).

Pense de forma holística

Ao implementar a segmentação de rede, considere como ela será aplicada em toda a empresa.

Algumas empresas criam firewalls com finalidade específica em instalações individuais, mas eles podem criar “ilhas” de segurança. Sites diferentes terão firewalls distintos, tornando difícil implantá-los de maneira consistente ou gerenciá-los centralmente.

Também é importante pensar na segmentação levando em consideração as necessidades em longo prazo de sua empresa.

Geralmente, as soluções de segurança personalizadas são rígidas. Elas atendem às suas necessidades hoje, mas não são flexíveis ou evoluem com sua empresa para atender às necessidades operacionais ou de segurança de amanhã. As soluções personalizadas também dependem da experiência de um pequeno número de funcionários, que, caso deixem a empresa, levam conhecimento essencial de segurança ou manutenção com eles.

As soluções que você usa para implantar a segmentação de rede devem ser flexíveis o suficiente para crescer com suas operações. E devem ser padronizadas para que os funcionários adequados em qualquer local possam usá-las e mantê-las.

Ajuda disponível

A segmentação de rede é um conceito de TI bem conhecido, mas ainda está se consolidando no mundo industrial. As empresas industriais que estão implantando a segmentação estão descobrindo os desafios que surgem ao aplicá-la em toda a Connected Enterprise, como o gerenciamento de dados segmentados e o dimensionamento para crescer com as operações de produção.

Se você não souber por onde começar ou qual método de segmentação implantar, os recursos disponíveis gratuitamente podem ajudar.

Os guias de projeto da Ethernet convergente em toda a fábrica (CPwE) são um bom lugar para começar. Guias sobre tópicos como IDMZs, firewalls industriais e considerações de rede podem ajudá-lo a implantar a segmentação usando as tecnologias mais recentes e as práticas recomendadas do setor.

Os guias são desenvolvidos e testados em conjunto pela Rockwell Automation e a Cisco, e criam uma base para outros produtos e serviços colaborativos para ajudá-lo a segmentar e proteger sua rede. Também oferecemos treinamento, serviços de rede e segurança e tecnologias.

Algumas de nossas tecnologias de segmentação, como o Dispositivo de segurança Stratix® 5950, serão exibidas na Hannover Messe 2018. Se você for à exposição, venha nos visitar no estande da Cisco, nº G30 no Corredor 6.

Josh Kass
Publicado 26 Maio 2018 Por Josh Kass, Product Manager, Network Security & Wireless, Rockwell Automation
  • Contato:

Blog

Queremos mantê-lo atualizado com o que está acontecendo na sua indústria para ajudá-lo a estar na frente no futuro. O Blog da Rockwell Automation é uma plataforma para os nossos colaboradores e blogueiros convidados para compartilhar tecnologias e temas relacionados com a indústria.