A segmentação de rede é uma técnica de segurança de rede que divide uma rede em sub-redes menores e distintas, permitindo às equipes de rede compartimentalizar as sub-redes e fornecer controles e serviços de segurança exclusivos a cada sub-rede

O processo de segmentação de rede envolve o particionamento de uma rede física em diferentes sub-redes lógicas. Quando a rede é subdividida em unidades menores e mais gerenciáveis, os controles são aplicados aos segmentos individuais compartimentalizados.

A segmentação de rede fornece serviços de segurança exclusivos por segmento de rede, oferecendo mais controle sobre o tráfego da rede, otimizando o desempenho da rede e melhorando a postura de segurança.

Em primeiro lugar, maior segurança. Todos nós sabemos que, com segurança, você é tão forte quanto seu link mais fraco. Uma grande rede plana inevitavelmente apresenta uma grande superfície de ataque. No entanto, quando uma grande rede é dividida em sub-redes menores, o isolamento do tráfego de rede nas sub-redes reduz a superfície de ataque e impede o movimento lateral. Portanto, se o perímetro da rede for violado, os segmentos de rede impedirão que os invasores se movam lateralmente pela rede.
Além disso, a segmentação é uma maneira lógica de isolar um ataque ativo antes que ele se espalhe pela rede. Por exemplo, a segmentação garante que o malware em um segmento não afete os sistemas de outro. A criação de segmentos limita o quanto um ataque pode se espalhar e reduz a superfície de ataque a um mínimo absoluto.

Agora, vamos falar sobre desempenho. A segmentação reduz o congestionamento da rede, o que melhora o desempenho da rede, removendo o tráfego desnecessário em um segmento específico. Por exemplo, os dispositivos médicos de um hospital podem ser segmentados de sua rede de visitantes para que os dispositivos médicos não sejam afetados pelo tráfego de navegação na web do visitante.

Como resultado da segmentação da rede, temos menos hosts por sub-rede, minimizamos o tráfego local por sub-rede e limitamos o tráfego externo apenas ao designado para a sub-rede.

A segmentação de rede cria vários segmentos isolados em uma rede maior, cada um dos quais pode ter requisitos e políticas de segurança variados. Esses segmentos mantêm tipos de aplicativo ou endpoint específicos com o mesmo nível de confiança.

Existem várias maneiras de realizar a segmentação da rede. Analisaremos a segmentação com base em perímetro implementada com VLANs e, em seguida, a segmentação realizada mais profundamente na rede com técnicas de virtualização de redes.

Segmentação com base em perímetro

A segmentação com base em perímetro cria segmentos internos e externos de acordo com a confiança: o que é interno ao segmento de rede é confiável e tudo o que é externo não é. Como resultado, existem poucas restrições aos recursos internos, que normalmente operam em uma rede plana com segmentação de rede interna mínima. A filtragem e a segmentação estão em pontos fixos da rede.

Originalmente, as VLANs foram introduzidas para dividir os domínios de broadcast para melhorar o desempenho da rede. Com o tempo, as VLANs foram cada vez mais usadas como ferramenta de segurança, mas nunca foram criadas para esse fim. O problema das VLANs é que elas não oferecem filtragem interna; elas têm um nível de acesso muito amplo.

Além disso, para se mover entre os segmentos, é necessária uma política. Com a política, você pode interromper o fluxo de tráfego de um segmento para outro ou limitar o tráfego (com base no tipo, na origem e no destino do tráfego).
O firewall de rede é uma ferramenta comum usada para segmentação com base em perímetro. Ele foi originalmente empregado para controlar o movimento norte-sul do tráfego de rede, permitindo a comunicação de todos-para-todos em um segmento.

Virtualização de redes

Atualmente, muitas organizações mantêm diversas áreas de rede com funções específicas que requerem segmentação em vários pontos de rede. Além disso, os endpoints aos quais a rede deve oferecer suporte aumentaram para incluir vários tipos de endpoint, cada um com níveis de confiança variados.

Consequentemente, a segmentação com base em perímetro não é mais suficiente. Com o advento, por exemplo, da nuvem, da estratégia BYOD e dos dispositivos móveis, o perímetro agora está borrado, sem pontos de demarcação claros. Agora precisamos de mais segmentação, mais profundamente na rede, para obter maior segurança e desempenho de rede. Além disso, com os padrões de tráfego leste-oeste atuais, é necessária ainda mais segmentação de rede. É aqui que a virtualização de redes entra em ação, pois leva a segmentação para o próximo nível.

Em sua forma mais simples, a virtualização de redes é o aprovisionamento de serviços de rede e segurança independentemente da infraestrutura física. Ao habilitar a segmentação em toda a rede, e não apenas no perímetro, a virtualização de redes desempenha um papel fundamental na condução de uma segmentação de rede eficiente. Na verdade, a segmentação com base em perímetro à qual estávamos acostumados no passado agora é virtualizada e distribuída, juntamente com políticas de segurança flexíveis e refinadas, para cada segmento da rede.