A segmentação de rede é uma estratégia eficiente para redução do escopo do Cardholder Data Enviroment (CDE) e reduzir os riscos de movimentação lateral em cenários de comprometimento.
Com as novas diretrizes do PCI DSS 4.0 e o contexto das arquiteturas modernas, validar essa segmentação por meio de testes se tornou ainda mais importante.
O PCI Security Standards Council publicou orientações recentes reforçando a necessidade de validação e documentação da segmentação.
Neste artigo, falaremos sobre o que é a segmentação de rede e como ela é testada.
O que é segmentação de rede?
Segmentação de rede é o nome dado a um processo em que uma rede é divida em zonas menores e controladas, com a implementação de políticas de acesso que limitam a comunicação entre elas.
Isso foi ser feito por meios físicos (equipamentos específicos), lógica (VLANs, ACLs, etc.) ou microsegmentação (workload/contêiner).
No contexto do PCI DSS, o objetivo é confinar o processamento, armazenamento e transmissão de dados do cartão de crédito ao menor conjunto possível de ativos (CDE) e bloquear caminhos diretos de sistemas não confiáveis para o CDE.
Quando bem feita, a segmentação reduz o número de sistemas no escopo de auditoria e facilita controles contínuos.
O que é teste de segmentação de rede?
O teste de segmentação de rede verifica se os controles declarados realmente conseguem impedir a comunicação não autorizada entre segmentos, utilizando técnicas como varredura, análise de regras de firewall/ACL, engenharia reversa de fluxos e pentest.
No PCI DSS 4.0, os controles de segmentação de rede passou devem ser demonstrados com testes regulares.
Por que é necessário testar a segmentação de rede?
Testar a segmentação faz toda a diferença. Confira alguns dos benefícios:
- Redução de escopo: prova que determinados ativos estão fora do CDE, reduzindo esforço de conformidade e superfície de auditoria.
- Mitigação de risco de movimentação lateral: confirma que um invasor obtendo acesso a um segmento não consegue alcançar o CDE.
- Validação contínua pós-mudanças: integra testes às mudanças de infraestrutura (cloud, deployments) para evitar deriva de configuração.
- Evidência para QSAs e auditorias: relatórios de testes demonstram à assessoria e ao auditor que a segmentação é real e eficaz.
Como é feito o teste de segmentação de rede?
Entenda quais são as principais etapas desse teste.
- Identificar CDE e zonas de segmentação
O teste de segmentação de rede deve começar com a identificação das áreas que contêm todos os dados do cardholder.
Depois isso, mapear sistemas adjacentes (bancos de dados, servidores, etc.).
Nesta fase, também são definidos os requisitos e o escopo de sistemas e segmentações.
- Selecionar sistemas para o teste
A segunda etapa envolve escolher amostra de sistemas que sejam representativos do ambiente para o teste, podendo ser de diversas redes, nuvem, etc.
- Realizar teste de acesso
No teste são utilizadas várias ferramentas, como netcat e nmap, para verificar se há e como ocorre a comunicação entre os ambientes.
- Testar os serviços de suporte
Também é necessário analisar as infraestruturas de suporte, como Active Directory, NTP e DNS.
Isso porque eles normalmente têm acesso à rede e conseguem se conectar à segmentação. Ou seja, é preciso verificar se eles não levariam a um acesso direto ao CDE.
- Relatório para auditoria
Um relatório completo e detalhado é de extrema importância tanto para fins de compliance quanto para a própria equipe.
Ele deve incluir evidências, endereços, hostnames, zonas e a regra de segmentação que está sendo testada.
Além disso, é importante que essa documentação esteja alinhada às diretrizes do PCI DSS 4.0.
FAQ: Perguntas frequentes sobre teste de segmentação de rede
-
A segmentação elimina totalmente o escopo PCI?
Não necessariamente. A segmentação pode reduzir o escopo, desde que seja efetiva e comprovada por testes técnicos.
-
Com que frequência devo testar a segmentação?
No mínimo 1x por ano, e sempre após mudanças significativas. Algumas recomendações falam sobre testes semestrais em ambientes de alto risco.
-
Quem deve executar o teste: equipe interna ou terceiro?
Idealmente, ambos: auditorias independentes (QSAs/terceiros) garantem imparcialidade; equipes internas realizam testes contínuos e prontidão operacional.
No caso da conformidade PCI DSS 4.0, evidências de testes independentes são frequentemente exigidas.
A segmentação de rede continua sendo uma medida estratégica para reduzir escopo e mitigar riscos ao CDE. Além disso, Com o PCI DSS 4.0 e o aumento de arquiteturas modernas, torna-se necessário adotar testes de segmentação como parte do ciclo de segurança.
Quer conhecer as soluções de Pentest para segmentação de rede da Vantico? Clique aqui e fale conosco.
Siga a Vantico nas redes sociais e fique informado sobre cibersegurança, tecnologia e insights.
