Segmentação de Rede - Melhores Práticas

Visão Geral

A segmentação de rede ajuda a melhorar a segurança e facilita o gerenciamento ao dividir a rede corporativa em segmentos menores. Este artigo foca no uso do Aplicativo de Gerenciamento Cato para utilizar segmentos de rede VLAN e minimizar o impacto de uma possível intrusão de rede. Se houver uma intrusão de rede, a VLAN infectada é isolada e não pode se espalhar por toda a rede. VLANs também podem fornecer controle de acesso granular, você pode criar regras de firewall para definir o controle de acesso com base nas funções dos usuários na organização.

Segmentação de Rede com Cato Networks

O Aplicativo de Gerenciamento Cato permite que você defina facilmente as VLANs para um local que usa o Socket Cato. Use a seção Rede para um site definir os segmentos de rede com o Tipo de Intervalo de VLAN. Veja a seguinte captura de tela para um exemplo de segmentos de rede VLAN (Rede > Sites > {Site Name} > Configuração do Site > Redes):

Sites_Network.png

Você pode então usar esses segmentos de rede para aumentar a segurança do site. Por exemplo, você pode criar uma VLAN separada para o Departamento de Finanças corporativo e usá-la em uma regra de firewall WAN. Como o tráfego entre as VLANs é roteado pela Cato Cloud, é possível que haja um impacto no desempenho da rede para esse tráfego. Isso é verdade mesmo que as VLANs estejam na mesma localização física.

Segmentação de Servidores para Aumentar a Segurança

Servidores que contêm dados essenciais e sensíveis frequentemente requerem camadas extras de segurança. Você pode isolar esses servidores em uma VLAN separada e limitar o acesso a esses servidores. Por exemplo, você pode usar uma VLAN separada para os servidores de banco de dados na sua Sede.

Por outro lado, servidores de aplicação frequentemente têm acesso de entrada da Internet pública e podem ser um risco potencial de segurança. Recomendamos que você atribua esses servidores a uma VLAN separada e evite que invasores acessem servidores internos e sensíveis. Você pode usar esta VLAN como uma DMZ (zona desmilitarizada) para servidores acessados publicamente.

Usando VLANs para Proteger Servidores e Estações de Trabalho

Estações de trabalho corporativas e servidores podem ser um risco de segurança para sua rede porque, se uma estação de trabalho for comprometida, ela pode se espalhar rapidamente por toda a rede. No entanto, quando as estações de trabalho estão em uma VLAN separada, você pode isolar a VLAN e bloquear a conectividade com a rede. Para permitir a comunicação entre as redes, você deve configurar um endereço IP de gateway para cada uma das redes VLAN. A seguinte captura de tela mostra um exemplo de VLANs separadas para servidores e estações de trabalho:

servers_and_work.png

Crie uma regra de firewall WAN que permita a conectividade entre essas VLANs. Se uma das estações de trabalho em sua rede se tornar infectada, você pode facilmente desabilitar esta regra e evitar que a infecção se espalhe para os servidores. Após remediar as estações de trabalho infectadas, você pode habilitar a regra novamente para permitir a conectividade entre as estações de trabalho e o servidor de aplicações.

Separando Redes para Diferentes Tipos de Usuários

A segmentação de rede permite que você defina diferentes níveis de acesso para os diferentes grupos de usuários na sua organização. Por exemplo, defina VLANs separadas para gerenciamento, usuários regulares e convidados.

Se você deseja fornecer WiFi ou acesso à rede para convidados, isso pode ser um risco potencial de segurança. Segmente a rede de convidados em uma VLAN separada que só permite acesso à Internet, e eles não podem acessar os recursos internos. A captura de tela a seguir mostra uma VLAN para os usuários de WiFi convidados:

vlans1.png

Em seguida, crie uma regra no firewall de Internet que permita que essa VLAN acesse a Internet. A captura de tela a seguir mostra uma regra do firewall de Internet que permite que o VLAN do WiFi Convidado acesse a Internet:

GuestWiFi_Internet.png

Restringindo Tráfego com Riscos de Segurança

Além de segmentar a rede para melhorar a segurança da rede, você também pode restringir os tipos de tráfego que são riscos potenciais de segurança. Por exemplo, os protocolos RDP (desktop remoto) e SMB (compartilhamento de arquivos) são frequentemente usados por intrusos para acessar informações sensíveis ou para espalhar ransomware que causa danos aos dados da empresa.

Recomendamos que você configure o firewall WAN para limitar o acesso a esses protocolos por padrão e permitir esse tráfego somente quando necessário. Para mais informações sobre a configuração de regras de firewall WAN e melhores práticas, consulte Políticas de Firewall de Internet e WAN: Melhores Práticas.

Esse artigo foi útil?

Usuários que acharam isso útil: 2 de 2

0 comentário