O conceito da segmentação é estabelecer uma zona que respeita as mesmas políticas de segurança governadas por uma entidade. Para ilustrar, imagine um navio cargueiro, daqueles grandes, com centenas de compartimentos. Caso ocorra uma inundação, apenas o compartimento violado é comprometido.
Na maioria das vezes (quase 100%) ao implementar uma infraestrutura de segurança, a prioridade é o trafego norte-sul, que consiste em navegação de internet, e-mail ou qualquer outro tráfego que saia do perímetro. Já o tráfego leste-oeste, que é o tráfego dentro do perímetro (como acesso a file servers, servidores de aplicações, banco de dados e etc.), acaba tendo menos camadas de controle, muitas vezes por acharmos que a segurança garantida no perímetro por si só já é o suficiente. Porém, com o aumento da variedade e quantidade de dispositivos de rede que temos hoje dentro do perímetro, é necessário cada vez mais utilizarmos camadas de controles para este tipo de tráfego. Para se ter uma noção em questão de volume, o Facebook, por exemplo, afirma que 70% do seu trafego é leste-oeste.
Em cenários de pequeno e médio porte são aplicáveis técnicas de segmentação como ACL e VLAN, mas a preocupação hoje é que essas técnicas de segmentação não atendem à demanda, pois estão completamente vinculadas ao endereço IP e à topologia física da rede, impossibilitando sua utilização como, por exemplo, em Clouding e Mobile. Em suma, ACL e VLAN nos trouxeram até aqui, porém, agora, é preciso inovar.
Quando se fala em infraestrutura, é sempre muito difícil se atualizar e alterar sem gerar impactos, principalmente no que tange à parte de controles de redes e de segurança. No que diz respeito à parte de hardware, o plano de controle. A parte que onde são definidas quais regras e protocolos a serem utilizados na maioria das tecnologias utilizadas atualmente está sempre acoplado muito próximo do filtro de dados que realiza o encaminhamento de pacotes. E uma técnica que veio como solução para esta vulnerabilidade é a SDN (Software-defined Network). Com ela, este atrito que existia entre o plano de dados e o plano de controle começou a ser dissociado.
O controle do SDN consiste em classificar itens como aplicações, usuário, devices, serviços específicos e em utilizar o catálogo dessa classificação de acordo com as necessidades de acesso. Por exemplo: um usuário X terá as mesmas permissões de acesso independentemente se estiver usando um desktop ou de um tablet, IP físico ou virtual. Tanto faz o dispositivo que o usuário utilize. Com SDN a mobilidade se expande sem perder o fator de segurança.
Outra técnica que pode ser abordada é a micro segmentação (muito eficaz na contenção de ameaças avançadas) e que consiste no bloqueio unilateral. Imagine dois usuários de desktops, lado a lado, na mesma rede, na mesma VLAN, apesar de não sabermos o que exatamente qual cargo, função e necessidades de acessos que esses usuários necessitam; mas sabemos que seus desktops não devem se enxergar. Serviços como SSH, RDP, DNS, IMAP, POP3, HTTP, HTTPS, FTP, dentre outros, podem e devem ser bloqueado neste tipo de tráfego. Normalmente após um intruso conseguir acesso a rede interna numa invasão, o próximo passo é divagar internamente pela infraestrutura utilizando-se dessa vulnerabilidade. Esta medida impedirá que o atacante avance na sua rede.
De certo ainda não temos uma técnica efetiva de fato. O ponto positivo é que há um grande esforço conjunto no aprimoramento das medidas de monitoração e bloqueio do tráfego leste-oeste. Há várias soluções de SDN Open Source e de mercado já disponíveis, alguns mais softwares do que hardware, outros ainda em desenvolvimento de hardwares de forma proprietária, mas todos com o mesmo intuito e buscando o mesmo objetivo: a infraestrutura chegar ao ponto onde o mundo da aplicação já está.
