Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
LarZoneamento de rede em 2023: como a IA e a automação mudam as coisas
Klaus Haller | 07 de junho de 2023
O zoneamento de rede é um controle de segurança preventivo fundamental que reduz a superfície de ataque de uma empresa e impede movimentos laterais. Isso torna a vida dos invasores mais desafiadora porque eles não podem acessar diretamente todas as máquinas virtuais (VMs) da Internet. E, mesmo que entrem na rede da empresa, não podem pular rapidamente de uma VM para outra se os firewalls e as zonas restringirem a conectividade e o tráfego da rede interna. No entanto, a ascensão da automação de IA e TI desafia um princípio de zoneamento fundamental: os estágios. A diferenciação entre as zonas de produção, pré-produção e integração, teste e desenvolvimento ainda é adequada? Quais adaptações os anos 2020 trazem?
A zona de desenvolvimento, a zona de teste, a zona de pré-produção e a zona de produção -- as metodologias de engenharia ágil substituíram o bom e velho modelo em cascata, mas os estágios sobreviveram (Figura 1). Alguns departamentos de TI têm três (ou apenas dois) estágios, alguns falam sobre e testes de integração ou estágios de teste de unidade. Os objetivos são os mesmos:
Relacionado: O maior problema da IA? Chatbots mentirosos
As organizações com certificações ISO 27001 devem separar os sistemas de desenvolvimento, teste e produção para conformidade com a ISO (ISO 27001:2022 Anexo A 8.31).
Figura 1: Um conceito clássico e sofisticado de zoneamento de rede
Relacionado: Ex-assessor de tecnologia de Biden sobre o que Washington está perdendo sobre IA
Na prática, projetos de redes maiores diferenciam entre zonas internas e externas (ou seja, acessíveis pela Internet) e colocam firewalls de aplicativos da Web e soluções de gerenciamento de interface de aplicativos (API) entre a Internet e as zonas externas. Países ou unidades de negócios são outras dimensões de zoneamento amplamente difundidas. Os mesmos conceitos de zoneamento ou mais simples podem estar em vigor nos estágios de não produção.
Essa era a configuração tradicional. Nos últimos anos, a automação de IA e TI entrou em destaque e trouxe mudanças.
Alta disponibilidade e ciclos rápidos de codificação para implantação exigem automação em data centers. Além disso, a automação torna os administradores muito mais eficientes. Instalar e configurar o software é uma tarefa de um clique hoje, em comparação com um trabalho de tempo integral nos anos anteriores, onde os administradores manipulavam vinte disquetes. Os servidores de monitoramento de hoje têm alarmes automatizados. Eles informam os administradores proativamente se houver necessidade de intervenções manuais. Além disso, os pipelines CI/CD são padrão. No entanto, esses ganhos de eficiência requerem uma modificação dos conceitos de zoneamento da rede (Figura 2).
O impacto dos componentes de monitoramento e implantação e pipelines de CI/CD no zoneamento da rede
As soluções de monitoramento verificam a disponibilidade de VMs e componentes de rede e procuram eventos que possam sugerir incidentes de segurança. No Reino Unido, há uma solução de monitoramento para o data center completo, mas não para a zona de produção. Na Espanha, há um para desenvolvimento e na Índia há um para teste. Os aplicativos de monitoramento implicam na necessidade de acesso entre estágios. Você pode colocar os componentes de monitoramento em uma zona dedicada dentro da zona de produção ou totalmente separadamente. Obviamente, erros operacionais são menos prováveis se esses aplicativos forem separados por zoneamento. Além disso, os firewalls devem ser abertos seletivamente, em vez de apenas abrir todos os firewalls.
As soluções de monitoramento são um exemplo; outras soluções (por exemplo, para gerenciamento de patches ou verificação de vulnerabilidades) se enquadram na mesma categoria. No entanto, embora seja possível (mas nem sempre sensato) contornar o acesso entre estágios para tais soluções, os pipelines de CI/CD, por definição, são entre estágios. Primeiro, você implanta o código em seu laptop local, depois em um servidor de teste, um ambiente de integração e, finalmente, na produção. Portanto, a natureza pura dos pipelines de CI/CD requer acesso entre estágios. Novamente, se uma ferramenta precisar implantar e alterar VMs em todos os estágios, os firewalls entre as zonas não devem ser totalmente demolidos, mas apenas abertos seletivamente para essa ferramenta.