Microsegmentação (segmentação ao nível do host) protege o tráfego dentro do mesmo domínio de broadcast (por exemplo, um VLAN) adicionando controle de acesso para movimento lateral entre hosts. Firewalls de rede tradicionais frequentemente operam na Camada 3, onde nem sempre inspecionam ou bloqueiam o tráfego intra-VLAN (Camada 2).
Quando você habilita a microsegmentação para um site Socket na Cato, a máscara de sub-rede do intervalo é dividida em múltiplos endereços /32. Todo o tráfego host-para-host naquele VLAN é forçado a ser enviado para o gateway padrão (Socket), onde o motor de firewall relevante da Cato avalia o tráfego antes de alcançar o host de destino. Isso força o tráfego "leste-oeste" entre hosts que compartilham um VLAN a passar pelo firewall para inspeção e aplicação de políticas.
Recomendamos que você use o Socket Next Gen LAN Firewall para microsegmentação para fornecer a segurança on-prem ideal para os dispositivos.
-
Reduza o risco ao prevenir tráfego não autorizado entre hosts na mesma LAN
-
Obtenha visibilidade sobre o tráfego de Camada 2 para que toda comunicação host-a-host esteja sujeita às suas políticas de confiança zero
-
Simplifique a segmentação - em vez de criar inúmeras VLANs, você pode aplicar regras de política no nível do host
A microsegmentação depende do DHCP para impor isolamento a nível de host, atribuindo a cada dispositivo um endereço /32 e direcionando todo o tráfego leste-oeste através do Socket para avaliação de política. Você pode ativar a microsegmentação usando o Cato como servidor DHCP ou um servidor DHCP de terceiros que esteja integrado através do Relay DHCP do Cato.
Estas são as descrições das opções de configuração do DHCP para microsegmentação:
-
Cato como o servidor DHCP - O Cato atribui endereços IP diretamente aos hosts na faixa de rede. Quando a microsegmentação está ativada, o Cato aplica automaticamente endereçamento /32 a cada alocação DHCP e impõe inspeção leste-oeste através do Socket.
-
Servidor DHCP de terceiros usando Relay DHCP - Ativa a microsegmentação para faixas de rede que utilizam um servidor DHCP externo, com o Cato configurado como Relay DHCP. Nesta configuração, o servidor externo atribui o endereço IP, e o Cato impõe de forma transparente o mesmo roteamento de host /32 e a inspeção de tráfego leste-oeste como ocorre com o DHCP gerenciado pelo Cato. Isso permite aplicar segmentação de confiança zero sem mudar a infraestrutura DHCP existente.
Nota
Nota: O suporte de microsegmentação para Relay DHCP requer um site Socket físico executando a versão 24.0.21570 ou superior do Socket.
-
Sockets Físicos com Socket v22.x ou superior
-
Suporte para a faixa Nativa e faixas de rede VLAN
-
Com base nos seus requisitos de segurança, configure a política do Firewall LAN ou WAN para permitir o tráfego relevante para os dispositivos cobertos pela microsegmentação
Os seguintes sistemas operacionais são verificados pela Cato para suportar microsegmentação. Antes de aplicar microsegmentação para dispositivos usando um SO diferente, recomendamos que você verifique se o SO funciona corretamente em seu ambiente.
-
Android Samsung Galaxy A24 SM-A245F/DSN
-
Cliente DHCP BusyBox (baseado no Linux 18.04.6 LTS Ubuntu Debian OS)
-
iOS 18.3.1
-
Linux 18.04.6 LTS Ubuntu Debian (Bionic Beaver)
-
macOS Apple M4 Pro 15.3.2 (24D81)
-
Impressora HP LaserJet Pro MFP M428fdn
-
Impressora Brother Modelo MFC-L2700DW
-
Windows 11
-
Windows 10 ESX VM: Windows 10 Enterprise, 22H2 19045.5608 (sistema operacional de 64 bits, processador baseado em x64)
-
Windows Server 2022 ESX VM Datacenter, Processador AMD EPYC 7413 de 24 núcleos 2.65 GHz (sistema operacional de 64 bits, processador baseado em x64)
-
Windows Server 2019 ESX VM padrão Processador AMD EPYC 7413 de 24 núcleos 2.65 GHz (sistema operacional de 64 bits, processador baseado em x64)
-
Telefone IP Yealink SIP-T23G & SIP-T40G
Implantar microsegmentação pode potencialmente interromper o tráfego legítimo enquanto você garante a aplicação precisa de políticas de segurança que limitam o movimento lateral dentro da rede. Siga estas recomendações para implantar com sucesso a microsegmentação em sua rede.
-
Ative gradualmente a microsegmentação na sua conta, começando com uma única faixa.
-
Como a microsegmentação só entra em vigor após o tempo de concessão atual do DHCP terminar, e os dispositivos solicitarem um novo IP DHCP, você deve:
-
Sobreponha as configurações da conta para o tempo de concessão DHCP e reduza o Tempo de Concessão DHCP para a faixa de rede, o valor mínimo é de 1 minuto.
-
Ao habilitar a microsegmentação para toda a conta, reduza temporariamente o tempo de concessão DHCP ao nível da conta. Depois de confirmar que a microsegmentação está funcionando corretamente, você pode alterar o tempo de concessão DHCP de volta para a configuração anterior.
Nota: O tempo de concessão DHCP padrão é de 72 horas (3 dias).
-
-
Monitore o impacto nos dispositivos no intervalo de rede:
-
Verifique se os dispositivos podem se comunicar com as entidades permitidas na sua conta com base na política de firewall.
-
Verifique se os dispositivos têm conectividade total com recursos da Internet.
A microsegmentação é para tráfego intra-VLAN leste-oeste, e não deve haver impacto no tráfego da Internet
-
-
Evite roteamento assimétrico para garantir que o tráfego intra-VLAN seja roteado através do Socket de maneira simétrica. Recomendamos que os dispositivos protegidos por microsegmentação usem a Cato como servidor DHCP.
Por exemplo, uma impressora com um IP estático que acidentalmente não está configurada com a máscara de sub-rede atribuída Cato /32 não poderá se comunicar com outros dispositivos por trás do site.
Configure os novos ou existentes intervalos de rede para microsegmentação. Esta configuração impõe uma atribuição automática de máscara de sub-rede /32 para cada host no site. Em seguida, revise a política de Firewall LAN ou WAN do Socket para confirmar que o tráfego segmentado está permitido.
Para ativar a microsegmentação para uma faixa de rede atrás de um site:
-
No menu de navegação, clique em Rede > Sites e selecione o site.
-
No menu de navegação, clique em Configuração do Site > Redes.
-
Clique em Novo, ou na coluna Configurações DHCP, clique na faixa de rede.
O painel de Faixa de IP se abre.
-
Defina o Tipo da rede para a faixa suportada.
-
Insira as outras configurações de faixa de rede, como: VLAN, Subnet, etc...
-
Defina a configuração do DHCP:
-
Para usar o Cato como o servidor DHCP:
-
Defina Tipo DHCP para Faixa DHCP e insira o intervalo de endereços IP para hosts nesta Faixa DHCP.
-
-
Para configurar um servidor DHCP de terceiros usando Relay DHCP:
-
Defina o Tipo de DHCP para Relay DHCP.
-
No Grupo de Retransmissão DHCP, selecione o grupo de Retransmissão DHCP para essa rede.
Para mais informações sobre Grupos de Relay DHCP e configuração do Cato como o Relay DHCP, veja Configuração do Cato como o Relay DHCP.
-
-
-
Selecione Microsegmentação Baseada em DHCP.
-
Clique em Aplicar, e depois clique em Salvar.
Se você precisar revogar e desfazer a microsegmentação que foi implantada em sua rede, siga estas recomendações para minimizar o impacto na sua rede.
-
Desative gradualmente a microsegmentação na sua conta, começando com uma única faixa.
-
Como a desativação da microsegmentação só entra em vigor após o tempo de concessão atual do DHCP terminar, e os dispositivos solicitarem um novo IP DHCP, você deve:
-
Sobreponha as configurações da conta para o tempo de concessão DHCP e reduza o Tempo de Concessão DHCP para a faixa de rede, o valor mínimo é de 1 minuto.
-
Ao desabilitar a microsegmentação para toda a conta, reduza temporariamente o tempo de concessão DHCP ao nível da conta. Depois de confirmar que a microsegmentação está funcionando corretamente, você pode alterar o tempo de concessão DHCP de volta para a configuração anterior.
Nota: O tempo de concessão DHCP padrão é de 72 horas (3 dias).
-
-
Para sistemas baseados em Linux, ativar a micro-segmentação não cria uma entrada de rota para o gateway padrão quando já existem duas rotas padrão conectadas a dois roteadores.
Para mais informações sobre uma solução alternativa, veja este artigo.
0 comentário
Por favor, entre para comentar.