Um novo framework para segurança de rede
Mantendo a rede distribuída moderna conectada
A internet foi criada como uma rede massiva, distribuída. Por causa disso, ela é naturalmente resiliente, o que permite que computadores, servidores e outros dispositivos se conectem e encaminhem dados conforme o necessário. Quando um dispositivo (ou grupo de dispositivos) falha ou se desconecta da internet, normalmente isso tem um impacto insignificante na forma como o restante da rede funciona.
Mas apesar de sua resiliência inata, a internet não foi criada de um jeito que garante conexões rápidas ou disponíveis. Ela também não tinha um framework de segurança, e estava mal equipada para proteger dispositivos contra espionagem de dados, atividade maliciosa e outros ataques cibernéticos.
A infraestrutura de rede tradicional tinha o padrão de um modelo do tipo "castelo e fosso", em que os aplicativos e dados ficavam em data centers locais centralizados (os "castelos"), e eram defendidos contra ameaças externas com uma complexa configuração de firewalls de hardware, dispositivos DDoS e outros métodos de segurança (o "fosso"). Para ter acesso ao castelo, os usuários autorizados usavam as VPNs, que funcionavam como uma ponte levadiça sobre o fosso.
Com essa abordagem, as organizações protegeram suas redes em um nível básico, mas longe da perfeição. Vários obstáculos precisaram ser superados:
Complexidade de configuração e manutenção: dispositivos de segurança locais se mostraram caros para configurar e manter atualizados contra ameaças emergentes, o que forçou as equipes de segurança a brincar de pique-pega enquanto os invasores encontravam novas maneiras de explorar vulnerabilidades em sistemas existentes.
Contrapartidas de performance: colaboradores que precisavam se conectar remotamente a redes privadas muitas vezes usavam a VPN, apesar do desempenho lento experimentado devido à distância geográfica entre os servidores e à superlotação.
Vulnerabilidades de segurança: qualquer pessoa que violasse o perímetro de rede ganhava acesso irrestrito aos recursos corporativos, tornando a ameaça de violação de dados internas e externas difícil de evitar.
Para muitas empresas, simplificar e fortalecer a infraestrutura de rede antiga era uma tarefa necessária, mas assustadora. E com a transformação digital, ficou ainda mais difícil.
A nuvem traz mais flexibilidade, e mais problemas
A transformação do cenário técnico tornou a segurança de rede uma tarefa cada vez mais árdua. Provedores de SaaS e nuvem pública permitiram que organizações movessem aplicativos e dados dos data centers locais, enquanto smartphones e outros dispositivos móveis permitiam que os colaboradores cada vez mais se conectassem a redes a partir de locais remotos.
A adoção de serviços baseados em nuvem ajudou a descentralizar os data centers locais, dando às organizações mais flexibilidade e agilidade do que nunca. No entanto, isso também significava que recursos corporativos confidenciais não ficavam mais em um "castelo", mas espalhados em diversos locais. Isso dificultou a definição de um perímetro de segurança unificado.
Proteger esse tipo de ambiente híbrido se provou mais difícil do que o esperado. As organizações tiveram que adotar soluções de segurança diferentes para aplicativos e dados locais e de nuvem e, ao mesmo tempo, garantir que os colaboradores pudessem acessar recursos de forma prática e segura de qualquer lugar.
Como resultado as organizações foram forçadas a configurar e manter um complexo mosaico de soluções de segurança de ponto único, a maioria das quais não eram projetadas para fácil integração. Isso criou uma série de outros desafios para as equipes de segurança:
Esgotamento dos recursos internos: proteger um ambiente híbrido muitas vezes é trabalhoso e demorado para as equipes internas. Como o equipamento local não protege aplicativos e serviços baseados em nuvem, as empresas precisam separar os sistemas de segurança para proteger todas as ferramentas e recursos internos, o que gera mais custos, mais tempo e mais trabalho.
Vários fornecedores: a segurança de rede baseada em nuvem tem diversas partes móveis — de firewalls em nuvem a gateways da web seguros (SWG, na sigla em inglês), agentes de segurança de acesso à nuvem (CASB, na sigla em inglês) e muito mais —, e encontrar um fornecedor que ofereça todos os serviços de segurança pode ser um desafio. Para a maioria das empresas, comprar serviços de vários fornecedores é uma parte necessária de proteger um ambiente híbrido, embora isso possa gerar mais custos e complexidade.
Lacunas de segurança: ao trabalhar com vários provedores de segurança, pode ser difícil garantir que todas as partes da rede estão totalmente protegidas — sem lacunas de segurança —, especialmente por que não há um "painel de controle único" para monitorar e manter a infraestrutura de segurança da rede. E a natureza do trabalho remoto é que os colaboradores muitas vezes usem dispositivos pessoais para se conectar a redes corporativas, o que cria mais riscos de segurança.
O modelo de "castelo e fosso" que uma vez tornou relativamente fácil configurar, proteger e manter redes corporativas já não é mais compatível com os ambientes híbridos e baseados em nuvem de hoje. Essa transição já estava acontecendo, mas em 2020 teve uma aceleração rápida e forçada. Os colaboradores estão mais distribuídos e remotos do que nunca antes e se acostumaram a acessar os recursos corporativos por meio de diversos dispositivos pessoais. As empresas cada vez mais reconhecem a necessidade de acolher colaboradores, servidores e aplicativos que existem na internet em vez de no "castelo".
Um novo framework para segurança de rede
Como os modelos de segurança de rede antigos não acompanharam o desenvolvimento das ameaças e a arquitetura de rede moderna ficou mais complexa, as organizações começaram a mudar para um novo modelo de segurança baseado em nuvem: o Serviço de acesso seguro de borda, ou SASE.
Nomeado pela primeira vez pela Gartner o 2019, o SASE combina rede de área ampla definida por software com serviços de segurança de rede básicos — incluindo gateways seguros da web (SWG, na sigla em inglês), agentes de segurança de acesso à nuvem (CASB, na sigla em inglês), firewalls de nuvem (FWaaS) e políticas de acesso de rede Zero Trust (ZTNA, na sigla em inglês) — e os disponibiliza na borda de rede.
Em vez de depender de dispositivos de hardware ineficazes ou juntar serviços de segurança isolados, o SASE oferece uma abordagem simplificada para a segurança de rede. Ele substitui o backhauling complicado pela borda da internet, permitindo que as empresas roteiem, inspecionem e protejam o tráfego em uma única passagem. O SASE eleva o conceito de segurança Zero Trust — a ideia de que cada usuário de cada aplicativo precisa ser autenticado constantemente — a outro patamar. Junto com políticas de acesso Zero Trust e proteção contra ameaças no nível da rede, o SASE elimina a necessidade de VPNs, firewalls de hardware e dispositivos de proteção contra DDoS obsoletos, o que permite às empresas consolidar os serviços de segurança de rede e oferece às equipes de segurança mais visibilidade e controle sobre as configurações de segurança de rede.
Na prática, a implementação do SASE pode variar consideravelmente entre fornecedores e organizações. No entanto, a maioria das soluções SASE compartilha várias vantagens importantes em relação às configurações de segurança de rede híbrida e local:
Consolidação de fornecedores: em vez de trabalhar com vários fornecedores e soluções pontuais, as organizações podem receber uma proteção de rede abrangente de um único provedor de SASE, eliminando custos desnecessários e configurações complexas entre serviços.
Um perímetro de segurança unificado: ao disponibilizar esses serviços na borda de rede — uma rede global de servidores e dispositivos próximos geograficamente do usuário final —, o SASE permite que empresas protejam aplicativos, dados e usuários em qualquer lugar do mundo.
Melhor visibilidade: ao consolidar os serviços de rede e segurança de rede e fornecê-los a partir de uma única plataforma baseada na nuvem, o SASE elimina as lacunas de segurança entre os serviços, proporciona às equipes de TI maior visibilidade das atividades de rede e simplifica o processo de migração para a nuvem.
O SASE promete elevar a segurança de rede para outro patamar: um em que serviços isolados de rede e segurança podem ser unidos em uma plataforma baseada em nuvem e entregue como um serviço.
Essa abordagem, quando implementada corretamente, permite que as empresas garantam que suas redes corporativas permaneçam globais, distribuídas e consistentemente conectadas — sem lapsos de segurança ou performance.
A Cloudflare apresentou o Cloudflare One para atender às necessidades das empresas hoje, uma solução de rede como serviço abrangente e baseada em nuvem que substitui uma variedade de dispositivos e tecnologias WAN por uma rede que oferece segurança, performance e controle em uma única interface do usuário. Como a rede é o denominador comum de todos os aplicativos, ao permitir o controle da rede, o Cloudflare One garante políticas consistentes, não importa se o aplicativo é novo ou antigo, executado no local ou na nuvem e disponibilizado em sua infraestrutura ou em um provedor de SaaS multilocatário. Com a enorme presença global da Cloudflare, o tráfego é protegido, roteado e filtrado em um backbone otimizado que usa inteligência da internet em tempo real para proteger contra as ameaças mais recentes e desviar o tráfego de locais ruins na internet e evitar interrupções.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Principais conclusões
Após ler este artigo, você entenderá:
As dificuldades associadas à abordagem de segurança de castelo e fosso
A complexidade que a nuvem apresenta
As principais vantagens do SASE
A promessa do SASE
Recursos relacionados
Saiba mais sobre esse assunto
Para saber mais sobre o framework mais recente para a segurança de rede, o SASE, baixe o guia sobre como proteger e simplificar sua infraestrutura de rede.