icon
Tem um projeto?
Fale no Whatsapp
ou agende uma reunião.
Cibersegurança Corporativa > Secure Firewall ASA nos switches Cisco Catalyst
Cisco Secure Firewall ASA
Cibersegurança Corporativa

Secure Firewall ASA nos switches Cisco Catalyst

por 25 de julho de 2023

A integração de sistemas de tecnologia da informação (TI) e tecnologia operacional (TO), também conhecida como integração de TI/TO, é um processo crucial em setores como manufatura, energia e serviços públicos. Enquanto os sistemas de TI lidam com o gerenciamento de dados, os sistemas OT gerenciam processos físicos e sistemas de controle para infraestrutura crítica, como redes elétricas, estações de tratamento de água e equipamentos de fabricação.

Os sistemas OT já foram isolados de redes externas, tornando-os menos vulneráveis ​​a ameaças cibernéticas. A Transformação Digital e a Manufatura Inteligente aceleraram a convergência das redes de TI e OT na indústria de processos com a Indústria 4.0. Embora essa integração possa trazer benefícios significativos, como maior eficiência, melhor visibilidade e melhor tomada de decisões, ela também pode aumentar o risco de ataques cibernéticos.

Dispositivos e sensores IoT (Internet of Things) estão proliferando em redes de TI e são gerenciados em uma única infraestrutura de rede de TI para criar espaços de trabalho mais inteligentes e seguros. Esses dispositivos IoT introduzem várias ameaças de segurança às redes de TI, uma vez que os dispositivos IoT geralmente têm poder de processamento e memória limitados, dificultando a implementação de recursos de segurança robustos e, na maioria das vezes, são privados de atualizações de segurança. Os invasores exploram essas vulnerabilidades para migrar de dispositivos IoT comprometidos para sistemas e dados mais críticos.

Em um recente guia de mercado do Gartner para segurança cibernética OT , foi relatado que 82% das organizações passaram da fase de conscientização e agora estão explorando e implementando soluções de segurança OT. À medida que as indústrias continuam adotando novas tecnologias, a necessidade de integração segura de TI/OT continuará a crescer.

A segurança deve ser parte integrante do projeto de rede

À medida que as redes convergem e a fabricação inteligente se acelera, é imperativo que a segurança seja parte integrante do projeto da rede e não apenas uma reflexão tardia. A integração de TI/OT está impulsionando a necessidade de segmentação de rede, controle de acesso e inspeção de estado do tráfego que se move em diferentes domínios. Para enfrentar esses desafios, serviços de firewall seguros precisam ser inseridos na rede nos pontos de convergência de TI/TO. Esses firewalls tornam-se essenciais para estratégias modernas de segurança cibernética para proteger redes críticas e proteger dados valiosos de ameaças sofisticadas modernas.

Adicionar firewalls físicos em pontos de convergência de TI/OT na rede pode criar pontos adicionais de congestionamento, o que pode afetar o desempenho geral da rede. Além disso, esses novos dispositivos de firewall exigirão espaço de rack adicional, resfriamento, energia e redundância de link, levando a maiores despesas operacionais.

As equipes de rede corporativa e segurança da Cisco colaboraram para desenvolver uma solução inovadora para inserir serviços de firewall em contêineres em pontos de convergência de TI/TO. O Cisco Secure Firewall ASA Virtual é um firewall stateful que é empacotado como um contêiner do Docker e é hospedado nos switches da série Cisco Catalyst 9300 como um aplicativo, em vez de estar fisicamente presente próximo a eles. Os fatores de forma virtual e de contêiner do Cisco Secure Firewall ASA Virtual fornecem um conjunto idêntico de recursos.

Benefícios de hospedar recursos do Cisco Secure Firewall conteinerizado em switches Catalyst 9300

Ao hospedar o Secure Firewall ASA conteinerizado nos switches de acesso Catalyst 9300, as organizações se beneficiam de segurança aprimorada e implantação de rede simplificada. Isso não apenas reduz a complexidade de direcionar o tráfego para firewalls centralizados usando túneis complexos, mas também elimina a necessidade de hardware adicional.

Posicionar os serviços de firewall mais próximos da origem fornece uma maneira econômica e altamente eficiente de proteger as redes convergentes de TI/OT. Ele também minimiza a latência para aplicativos SOS sensíveis ao tempo, aplicando as políticas perto da fonte onde os dispositivos se conectam à rede.

Os links redundantes e as fontes de alimentação do switch Catalyst 9300 são aproveitados pela instância de firewall virtual hospedada neles. Isso reduz a necessidade de servidores adicionais e dispositivos físicos de firewall, economizando espaço em rack, requisitos de resfriamento e custos operacionais.

Aproveitando esses recursos, as organizações podem simplificar o projeto de rede, reduzir custos e melhorar sua postura de segurança.

Como o Secure Firewall ASA conteinerizado protege a rede de TI/OT contra ameaças?

Stateful Inspection:   Todo o tráfego que cruza os domínios de TI/OT deve ser submetido à inspeção stateful para cumprir a conformidade de segurança. O Secure Firewall ASA contezerizado mantém uma tabela de conexão com informações de estado que acompanha o estado e o contexto de cada conexão de rede que passa e aplica o controle de acesso baseado em contexto. Se algum aplicativo exigir portas adicionais para sua operação, o firewall abre e rastreia dinamicamente essas portas, garantindo que as políticas de segurança e os controles de acesso permaneçam em vigor. Todos esses eventos são registrados para fins de auditoria e podem ser usados ​​para rastrear e prevenir violações de segurança.

Segmentação de rede: Um dos principais casos de uso para hospedar o Secure Firewall ASA em contêiner no Catalyst 9300 na convergência de TI/OT é a segmentação de rede. Ao segmentar redes internas, as organizações melhoram sua postura de segurança, limitando a propagação de ataques cibernéticos. O firewall pode ser usado para criar zonas de segurança separadas dentro da rede, permitindo que as organizações controlem o fluxo de tráfego entre essas zonas. A instância do firewall suporta até 10 interfaces lógicas (entrada/saída), que podem ser aproveitadas para segmentação. Essa segmentação ajuda a limitar a capacidade de um invasor se mover lateralmente dentro da rede, contendo qualquer violação em uma zona específica.

Controle de acesso: O Secure Firewall ASA conteinerizado fornece controle de acesso na rede IT/OT por meio de ACLs e Security Group Tags (SGT). Com SGTs, o firewall aplica políticas de segurança com base em rótulos em vez de endereços IP. O firewall usa SGTs para autenticar dispositivos OT e atribuí-los a um grupo de segurança específico, como “OT”, que pode ser usado posteriormente para inspeção de estado.

Criptografia de tráfego: o firewall suporta protocolos de criptografia como SSL (Secure Sockets Layer) e IPsec (Internet Protocol Security) para proteger o tráfego IoT/OT contra espionagem e ataques man-in-middle. A comunicação entre diferentes clusters IoT/OT que passam pela rede de TI compartilhada pode ser criptografada usando IPsec, permitindo que redes IoT/OT isoladas sejam conectadas com segurança.

Gerenciamento Remoto Seguro:  O firewall conteinerizado oferece suporte a VPNs SSL e TLS, permitindo que usuários remotos estabeleçam conexões seguras com o Catalyst 9300. VPNs SSL/TLS fornecem túneis de comunicação criptografados para acesso seguro a recursos de rede interna, protegendo dados confidenciais durante atividades de gerenciamento remoto.

Gestão e Orquestração

O Cisco Enterprise DNA Center (DNAC) é um controlador de gerenciamento e orquestração que fornece um fluxo de trabalho automatizado para o gerenciamento do ciclo de vida e configurações de conectividade de rede para aplicativos como o Secure Firewall ASA em contêiner hospedado em switches Catalyst. Ele garante que o aplicativo de firewall esteja sempre atualizado e seguro, o que é fundamental para manter a integridade e o desempenho da rede. O DNAC oferece maior agilidade e escalabilidade na implantação e gerenciamento do Secure Firewall ASA conteinerizado em grandes implantações em que a funcionalidade do firewall é distribuída pela rede. Depois que o firewall é instanciado e os serviços de rede configurados, ele é integrado ao Cisco Defencs Orchestrator para gerenciamento de políticas de segurança e registro de eventos. O Cisco Defense Orchestrator é uma plataforma de gerenciamento e orquestração centralizada baseada em nuvem que simplifica o gerenciamento de políticas para vários produtos de segurança da Cisco, incluindo o firewall em contêiner. O Defense Orchestrator é recomendado para criar e implantar políticas de segurança consistentes em grandes redes. Ele realiza análise de políticas e agiliza os processos de configuração e gerenciamento.

Para pequenas implantações, o aplicativo de firewall pode ser hospedado nos switches Catalyst manualmente usando CLI ou programaticamente usando RESTOCONF/NETCONF. O Cisco Adaptive Security Device Manager (ASDM) é um software de monitoramento e gerenciamento baseado na Web empacotado em uma imagem Secure Firewall ASA. O ASDM capacita os usuários a configurar, monitorar e solucionar problemas do firewall em implantações menores por meio de uma interface amigável, aprimorando os recursos de gerenciamento de segurança.

Licenciamento

Os clientes podem aproveitar seu direito de licença virtual Secure Firewall ASA virtual existente para executar instâncias de Secure Firewall ASA em contêineres nos switches Catalyst 9300. Isso fornece proteção de investimento e flexibilidade para migrar instâncias ASA virtuais existentes hospedadas em servidores para switches Catalyst 9300. Isso permite que os clientes façam a transição perfeita de sua infraestrutura de segurança de rede enquanto maximizam o valor de suas licenças Secure Firewall ASA Virtual.

Conclusão

À medida que as indústrias continuam a digitalizar e adotar tecnologias avançadas, a integração de TI/TO tornou-se essencial. No entanto, essa integração também apresenta novos riscos de segurança cibernética, tornando mais importante do que nunca implementar medidas de segurança eficazes.

Hospedar um Secure Firewall ASA conteinerizado em switches Cisco Catalyst 9300 oferece uma solução flexível e conveniente para inserir serviços de Secure Firewall na rede moderna. Ele oferece inspeção de estado para o tráfego que flui pelos domínios, reduz a superfície de ataque ao segmentar logicamente a rede, impõe controles de acesso granular em toda a rede e conecta clusters OT/IoT isolados com segurança para gerenciamento remoto seguro. No geral, pode ajudar a mitigar os riscos associados à integração de TI/OT, mantendo a infraestrutura crítica protegida contra ataques cibernéticos.

Compartilhe
Tags:

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *