Um novo modelo para proteger a infraestrutura de rede voltada para o público
Implementação de defesa em profundidade com segurança baseada em nuvem
Os invasores estão cada vez mais visando a infraestrutura de rede voltada para o público. No início de 2024, os ataques de negação de serviço distribuída (DDoS) baseados em DNS, que são uma ameaça antiga a essa infraestrutura, aumentaram 80% ano a ano. Os ataques DDoS com pedido de resgate também aumentaram na comparação trimestral durante um ano. No geral, houve um aumento de 20% nos ataques DDoS em relação ao ano anterior a partir de meados de 2024.
Esses ataques estão colocando em risco vários aplicativos e serviços importantes, desde aplicativos móveis voltados para o cliente e portais de parceiros até serviços de VPN e e-mail. Além de interromper as operações, os vários tipos de ataques DDoS podem resultar em violações de dados significativas.
Os firewalls de hardware tradicionais e outros aplicativos no local estão tendo dificuldades para acompanhar o ritmo. Esses sistemas têm limitações críticas que podem deixar as organizações vulneráveis, além de complicar o gerenciamento da segurança.
Para proteger a infraestrutura de rede voltada para o público, as organizações devem ir além desses sistemas legados. As empresas que adotaram estratégias de segurança modernas e baseadas em nuvem têm sido mais bem-sucedidas em impedir ataques e manter essa infraestrutura vital em funcionamento.
As limitações dos dispositivos de segurança baseados em hardware
Hoje, as organizações precisam proteger sua infraestrutura de rede voltada para o público contra uma variedade de ameaças. Os invasores podem realizar reconhecimento e varredura de portas na tentativa de encontrar vulnerabilidades que possam ser exploradas no futuro, antes que uma correção seja desenvolvida ou instalada.
Muitas organizações também enfrentam vários tipos de ataques DDoS. Ataques DDoS volumétricos, por exemplo, fornecem uma quantidade enorme de tráfego para processar. Os ataques DDoS de protocolo usam técnicas como inundações SYN para sobrecarregar o número de sessões. E os ataques DDoS na camada de aplicação usam a comunicação com protocolos da camada de aplicação para causar uma negação de serviço.
Soluções baseadas em hardware, como firewalls tradicionais, não podem defender adequadamente contra essas ameaças. Em primeiro lugar, elas têm visibilidade limitada: não conseguem ver todo o tráfego da empresa.
Em segundo lugar, elas têm capacidade finita e inelástica, o que significa que não podem escalar facilmente para ameaças volumétricas. Por exemplo, em fevereiro de 2023, a Cloudflare detectou dezenas de ataques DDoS hipervolumétricos. O maior atingiu um pico de mais de 71 milhões de solicitações por segundo, sendo, na época, o maior ataque já registrado. Os ataques tiveram como alvo um popular provedor de jogos, empresas de criptomoedas, provedores de hospedagem e plataformas de computação em nuvem. A maioria dos ataques volumétricos não são tão grandes, mas as soluções tradicionais baseadas em hardware não conseguem lidar com ataques volumétricos que tenham até mesmo uma fração desse tamanho.
Para compensar as limitações do firewall, as organizações geralmente adicionam "ajudantes de firewall". Elas podem implementar dispositivos no local para proteger aplicativos, como um firewall de aplicativos web (WAF), adicionar centros de depuração para filtrar o tráfego antes que ele chegue à organização, ou empregar a filtragem do provedor de internet para absorver o tráfego de um ataque.
Mas esses ajudantes apresentam seus próprios problemas. Elas podem degradar as experiências do usuário e aumentar a complexidade de gerenciamento. Se os ajudantes forem implementados como dispositivos físicos, eles também podem sofrer do mesmo problema importante dos firewalls de hardware: eles são incapazes de escalar adequadamente para parar grandes ataques.
Implementação de defesa em profundidade com segurança baseada em nuvem
A infraestrutura de rede voltada para o público fica melhor protegida com uma estratégia de segurança em camadas ou de defesa em profundidade. Uma dessas camadas deve filtrar o tráfego de entrada antes de atingir a infraestrutura de rede corporativa. Esse filtro não deve ser baseado em um dispositivo de hardware estático. Ele deve ser capaz de escalar dinamicamente para que possa absorver até mesmo os maiores ataques globais.
A segurança baseada em nuvem pode fornecer recursos mais elásticos e escaláveis para proteger contra essas ameaças. Especificamente, uma nuvem de conectividade, que oferece segurança nativa de nuvem e serviços de rede em uma plataforma unificada, pode fornecer a combinação certa de recursos para uma estratégia moderna em camadas.
A rede global de uma nuvem de conectividade serve como uma primeira linha de defesa para a infraestrutura de rede voltada para o público. A rede pode difundir e absorver o tráfego de ameaças, ao mesmo tempo em que proporciona às organizações melhor visibilidade sobre o que enfrentam. A Cloudflare, por exemplo, tem 321 Tbps de capacidade de rede, muito maior do que os maiores ataques DDoS já registrados.
A Cloudflare também já mitigou ataques DDoS que apresentavam taxas de pacote e solicitações HTTP extremamente altas. Por exemplo, em setembro de 2024, a Cloudflare mitigou mais de cem ataques DDoS hipervolumétricos, com muitos excedendo dois bilhões de pacotes por segundo e três terabits por segundo (Tbps). O maior ataque atingiu o pico de 3,8 Tbps.
Uma nuvem de conectividade também pode oferecer serviços de segurança adicionais, disponíveis na borda, para criar essa defesa em profundidade. Os firewalls e a filtragem de DDoS protegem contra ameaças conhecidas e emergentes, incluindo ataques volumétricos. Os serviços de segurança de aplicativos protegem aplicativos e APIs contra ataques DDoS, explorações, ataques à cadeia de suprimentos, bots e fraudes.
A capacidade de combinação dos serviços da nuvem de conectividade oferece agilidade e flexibilidade, muito necessárias. As organizações podem adicionar ou ajustar os serviços de segurança conforme necessário para se defender contra novas ameaças e expandir uma estratégia Zero Trust.
Continuar avançando com as transformações de rede e segurança
A infraestrutura de rede voltada para o público é vital para as empresas modernas, mas é vulnerável a ameaças que as soluções de hardware baseadas em dispositivos não conseguem enfrentar de forma adequada. A adoção de uma nuvem de conectividade como base para uma estratégia em camadas baseada em nuvem pode ajudar sua organização a superar as limitações das soluções tradicionais. Você pode filtrar e bloquear uma ampla gama de ameaças, protegendo com eficiência a infraestrutura de rede e atendendo aos requisitos da rede voltada para o público.
A mudança de dispositivos tradicionais para segurança baseada em nuvem para sua rede pública também pode ajudar a avançar com transformações maiores de rede e segurança. Ao migrar mais redes e segurança para a nuvem, você ganha maior flexibilidade para conectar pessoas, aplicativos e redes. E você pode incorporar mais facilmente novos recursos de segurança para se proteger contra ameaças em evolução. Em última análise, essas transformações podem ajudar a aumentar a agilidade da empresa e promover a inovação enquanto controlam a complexidade da TI.
Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.
Saiba mais sobre esse assunto
Saiba mais sobre como uma nuvem de conectividade pode proteger a infraestrutura de rede voltada para o público no artigo técnico Understanding the role of cloud-delivered network protection.
Principais conclusões
Após ler este artigo, você entenderá:
Quais são as principais ameaças à infraestrutura de rede voltada para o público
Quais são as limitações dos firewalls baseados em hardware
Por que a segurança baseada em nuvem pode proteger melhor as redes públicas