Schweitzer Engineering Laboratories

Notícias

7 de mai. de 2024

Orientação da NSA: A tecnologia SDN é necessário em redes zero-trust

Uma nota de informações de segurança cibernética publicada recentemente pela Agência de Segurança Nacional (NSA) reconhece o papel fundamental das redes definidas por software (SDN) para alcançar a maturidade zero-trust em todo o ambiente de rede.

A NSA observa que a maioria das redes focam na defesa perimetral. Mas como nenhuma defesa é perfeita, os controles de segurança também devem ser implementados perto dos recursos e dos dados para isolar e mitigar incidentes – e a SDN é um pilar fundamental neste processo. Isso significa sair na frente no processo de alcançar o modelo de maturidade zero-trust descrito pela NSA.

O modelo de maturidade zero-trust da NSA tem os seguintes focos principais:

  1. Mapeamento de fluxo de dados

  2. Macro e micro segmentação

  3. SDN

Mapeamento de Fluxo de Dados

Esta etapa identifica todos os dados necessários para que o sistema funcione corretamente e, em seguida, mapeia onde esses dados estão armazenados e quais aplicativos ou processos precisam usá-los.

Nas implementações da SDN para tecnologia operacional (TO) da SEL, nossas arquiteturas de rede e diagrama de fluxo de dados atendem a esse propósito.

Macro e Micro Segmentação

A NSA define macrossegmentação como “dividir uma rede em múltiplos componentes discretos”, de modo que cada departamento ou suborganização tenha acesso apenas aos dados necessários para o seu trabalho. Como nenhuma segurança perimetral pode ser 100% confiável, a segmentação da rede é necessária para reduzir a superfície de ataque e evitar que um incidente se mova lateralmente dentro da rede.

A microssegmentação leva o conceito a um nível mais granular, “isolando usuários, aplicativos ou fluxos de trabalho em segmentos de rede individuais”.

A implementação SEL da tecnologia SDN ajuda a alcançar ambas macro e micro segmentação.

As implementações da SDN ajudam a fornecer macrossegmentação, separando as redes de TO daquelas que não operam sistemas de proteção e controle. A arquitetura de rede especifica quais dispositivos queremos permitir em nosso sistema e onde fisicamente cada dispositivo deve residir. Dentro do configurador SEL-5056, são estabelecidos controles de acesso à rede com filosofia negar por padrão, autorizando apenas os dispositivos especificados a ingressar na rede.

O diagrama de fluxo de dados também fornece microssegmentação, definindo as conversas que cada dispositivo pode ter e com quais dispositivos ele pode ter essas conversas.

Rede Definida por Software

A NSA deixa claro que a macro e micro segmentação deve ser “combinada com redes definidas por software (SDN), para permitir controle e automação centralizados”. A construção de rede centralizada foi incorporada à nossa solução SDN desde o início e significativamente aprimorada com a sua ajuda ao longo dos anos. Estamos agora no ponto em que podemos importar arquivos de configuração do SEL RTAC e System Configuration Description (SCD) da IEC 61850, construir e configurar a rede a partir de desenhos do Microsoft Visio e – com o novo Switch Ethernet SEL-2731 – até mesmo converter switches gerenciáveis Rapid Spanning Tree Protocol (RSTP) para SDN em campo sem substituir o hardware.

As mentes mais brilhantes da segurança da NSA estão validando nossa jornada SDN e nos incentivando a manter o rumo. É ótimo saber que estamos todos juntos no caminho certo..

Voltar a página de notícias