Estudo de caso de segmentação: universidade pública

O cliente
 

Grande universidade pública

Esta grande universidade pública atende às necessidades de ensino superior de mais de 100 mil alunos, com mais de 17 mil professores e funcionários em seus 24 campi. 

O desafio

Centralizando a infraestrutura de rede de mais de 600 edifícios

Uma importante universidade estadual queria incorporar sistemas de automação predial com segurança em uma iniciativa de campus inteligente em todo o estado. A equipe responsável pela planta física da universidade e pelos sistemas de OT estava preocupada com a falta de segmentação que protegesse esses dispositivos e aplicativos. Ela também estava preocupada com o que aconteceria com a rede de TI da universidade se ela fosse removida do seu estado de rede desconectada. Como resultado, a equipe tomou medidas ambiciosas para centralizar seus sistemas de automação de prédios e melhorar a segurança.                         

O líder do projeto da universidade explicou: "Até cerca de dois anos atrás, todos os campi eram praticamente independentes. Estávamos hospedando o servidor de aplicativos principal, mas os controladores individuais do campus estavam em redes de TI e nem sempre segmentados em VLANs separadas do restante do tráfego do campus." Com isso, um ataque bem-sucedido aos sistemas de controle de um único prédio poderia facilmente se espalhar para a rede de TI de um campus ou vice-versa.                                                             

Havia também uma razão econômica adicional para o projeto. "A universidade queria fazer o gerenciamento de energia e ver onde poderíamos cortar custos", explica o líder do projeto,"mas não estávamos obtendo nenhum dado dos campi porque eram todos sistemas autônomos. Precisávamos conectá-los, mas precisávamos fazer isso com segurança. Com as conexões que vêm desses campi remotos para o nosso data center, elas poderiam criar uma brecha em nossa rede para um possível ataque."                                         

O ambicioso projeto de juntar tudo em uma infraestrutura de rede compartilhada abrangeu mais de 600 prédios em 24 campi. A equipe de automação de instalações do departamento foi selecionada para executar o projeto. No entanto, a complexidade dos sistemas de automação da universidade e o número de fornecedores envolvidos foram outro grande desafio.                                         

"Estamos gerenciando sistemas de elevadores, HVAC, análise de vibração, iluminação, distribuição elétrica e medição elétrica. Depois, temos todas as nossas principais utilidades, incluindo geração de vapor, distribuição elétrica e tratamento de águas residuais. Trabalhamos com mais de 260 prestadores de serviços que atuam nesses sistemas em todos os campi."                         

Todos esses fornecedores precisavam de acesso à rede, sem trazer riscos nem interferir nos sistemas de controle.

Meta: visibilidade do tráfego leste-oeste e políticas centralizadas

A Tempered Networks, provedora de segurança focada em sistemas de controle inteligentes e redes de Internet das Coisas, foi usada para abordar as conexões norte-sul entre os campi remotos e o data center principal da universidade. Com esse desafio sob controle, a universidade ainda enfrentou o problema de proteger os mais de 300 servidores em execução no data center.                                             

"Estávamos procurando soluções que supostamente lidassem com o tráfego leste-oeste, mas nenhuma era tão limpa e simples quanto queríamos", lembra o líder do projeto da universidade.                                              

 "Precisávamos encontrar algo fácil de gerenciar com um único painel simplificado e uma maneira de criar conjuntos de regras com base no tipo de aplicação. Foi quando [a Akamai] entrou em cena."

A equipe descobriu a Akamai quando se deparou com sua ferramenta gratuita de simulação de ataques e violações, o Infection Monkey. O Infection Monkey ajuda os operadores de data center a avaliar a resiliência dos ambientes a ataques pós-violação e movimentação lateral.

Uma plataforma distribuída e integrada que simplifica a segurança                       

"Algumas pessoas usam apenas firewalls e acham que eles vão resolver tudo", observa o líder do projeto. "Com o gerenciamento de firewall central, você ainda precisa configurar as regras para cada firewall individualmente. Com a Akamai, podemos criar um grupo de aplicações e dizer: 'Queremos que esses sistemas se comuniquem apenas entre si'".

Os firewalls também apresentam problemas de custo, recursos e capacidade de gerenciamento. "O gerenciamento de todos esses firewalls seria apenas um pesadelo. Provavelmente, precisaríamos de meia dúzia de pessoas apenas para implantar o sistema e garantir que não houvesse problemas, e pelo menos duas pessoas dedicadas apenas para gerenciá-lo."                                           

Além disso, os firewalls não têm flexibilidade para definir e modificar políticas no nível do aplicativo.

"Com a Akamai, podemos ouvir por um tempo e entender o que está acontecendo entre os sistemas e por que eles precisam se comunicar. Com firewalls, é tudo ou nada. Um firewall só vai bloquear porta a porta, e é isso."

Microssegmentação com gerenciamento centralizado e fácil 

A velocidade e a facilidade com que os membros da equipe podem criar e implantar regras foram citadas como outro benefício significativo. 

"No primeiro dia em que o ligamos, instalamos em algumas caixas e, em seguida, tentamos criar uma política para impedir que um fornecedor pudesse ver outro. E assim, bloqueou o primeiro fornecedor. Isso me provou que esse produto era o que estávamos procurando", observa o líder do projeto.                                                                         

As ferramentas e a metodologia de microssegmentação da Akamai não exigem um especialista. "Ter algo simples o suficiente para que qualquer pessoa em nossa equipe possa usar foi uma grande vantagem para mim."