Segurança da Informação

O futuro da segurança de redes

Posted on by Clara Julio

Por Sergio Trede

A transformação digital vem promovendo muitas mudanças nas empresas. Do ponto de vista de redes corporativas de computadores, a mudança mais evidente é a adoção da computação em nuvem (cloud computing) de forma generalizada. As aplicações corporativas e as infraestruturas de TI estão sendo migradas para a nuvem, ou seja, as empresas vêm adotando cada vez mais os modelos de entrega de serviços em nuvem, tais como SaaS (Software as a Services, ou software como serviço), PaaS (Platform as a Service, plataforma como serviço) e IaaS (Infrastructure as a Service, infraestrutura como serviço). 

Outro fator que vem impactando as redes corporativas é a pandemia de Covid-19, que está aumentando consideravelmente o números de trabalhadores remotos (home office), uma mudança que deve permanecer após a pandemia. Temos um número cada vez maior de usuários, dispositivos, aplicativos e dados sensíveis localizados fora do ambiente da empresa. 

Com isso, o resultado é a modificação do padrão de tráfego de dados das empresas: os dados que já estavam sendo migrados para a nuvem – e hospedados fora do perímetro das redes das empresas – estão cada vez mais sendo acessados por usuários que também estão fora do perímetro da rede. 

Essa mudança, vale destacar, dificulta ainda mais o controle e a implementação das políticas de segurança de redes ou cibersegurança.

As novas empresas digitais são caracterizadas por:

  • Mais carga de processamento de dados sendo executada em infraestruturas externas (por serviços IaaS) do que nos data centers das empresas;
  • Mais aplicações sendo consumidas em infraestruturas de terceiros, via SaaS, do que nas infraestruturas das empresas;
  • Mais atividades de trabalho sendo executados remotamente, em home office ou em trânsito, do que nas redes corporativas;
  • Mais dados sensíveis localizados fora do data center corporativo, em serviços em nuvem, do que dentro das empresas;
  • Mais tráfego de usuário destinado para a nuvem pública do que para o data center da empresa;
  • Mais tráfego das filiais indo para a nuvem pública do que para o data center da empresa.

Todas essas mudanças demandam uma nova abordagem de segurança de redes nas organizações. A arquitetura de segurança tradicional, focada na rede corporativa, centralizada nos firewalls de acesso Internet e no data center da empresa, se tornou obsoleta e um inibidor da transformação dos negócios digitais. A rede física das empresas e a infraestrutura de segurança precisam evoluir para proteger um ambiente cada vez mais desprovido de um perímetro físico definido.

O futuro da segurança de redes está na nuvem

Várias tecnologias de rede e de cibersegurança surgiram nos últimos anos, cada uma com um enfoque específico. Tecnologias como SDN (Software Defined Network, ou redes definidas por software); WAN Acceleration (aceleração de redes); WAN Optimization (otimização de redes); NFV (Network Function Virtualization, virtualização de redes) e, mais recentemente, SD-WAN (Software Defined Wide Area Network, ou redes longa distância definidas por software), surgiram para promover um maior controle e uma maior visibilidade do tráfego da rede. 

Já as novas tecnologias de segurança de rede, como CASB (Cloud Access Security Broker, ou agente de segurança de acesso à nuvem); SWG (Secure Web Gateway, ou conexão web segura); ZTNA (Zero Trust Network Access, ou acesso de confiança zero, conceito de se verificar toda e qualquer conexão na rede); SDP (Software-Defined Perimeter, ou perímetro definido por software); ATP (Advanced Threat Protection, proteção avançada contra ameaças) e WAAP (Web Application and API Protection, ou proteção de aplicativo web e interfaces de aplicações), surgiram para atender aos desafios de proteger os dados em uma realidade de computação em nuvem.

Porém, para atender à nova demanda de segurança de redes de uma forma integrada, é necessário uma abordagem que faça a convergência das novas tecnologias de rede e de cibersegurança. A primeira proposta consistente neste sentido surgiu há um ano, em um estudo realizado pelo Gartner.

Em setembro de 2020, o Gartner, uma das maiores empresas de pesquisa de mercado de tecnologia do mundo, divulgou um estudo sobre as soluções emergentes de segurança de redes. 

Percebendo a falta de uma solução com uma abordagem completa, que atendesse às novas demandas de segurança nas empresas digitais, o Gartner desenvolveu o conceito SASE (Secure Access Service Edge, ou serviço de acesso seguro de borda). 

Para chegar ao conceito, foi proposto um cenário de segurança em constante mudança, impulsionado pela transformação digital. Nesse sentido, o SASE foi definido como uma nova abordagem que, além de ser o resultado da convergência das novas tecnologias de controle e segurança de redes, é um serviço nativo em nuvem unificado e com abrangência global. 

Na prática, o SASE é um serviço de segurança de rede baseado em nuvem, uma evolução dos serviços FWaaS (Firewall as a Service, ou firewall como serviço). No entanto, é bem mais abrangente, trazendo o conceito da transformação arquitetônica das redes corporativas e visando fornecer um serviço holístico, ágil e adaptável ao negócio digital. 

Nas palavras do Gartner, 

(…) em essência o SASE é um novo pacote de tecnologias, incluindo SD-WAN, SWG, CASB, ZTNA e FWaaS como habilidades principais, com a capacidade de identificar dados confidenciais ou malware e a capacidade de descriptografar conteúdo em velocidade de linha, com monitoramento contínuo de sessões para níveis de risco e confiança..

Gartner, Say Hello to SASE (Secure Access Service Edge), December 2019 

Figura 1 – Convergência SASE / Fonte: The Future of Network Security Is in the Cloud

Ainda segundo o Gartner, 

“(…) as demandas do cliente por simplicidade, escalabilidade, flexibilidade, baixa latência e segurança generalizada forçam a convergência da borda WAN e dos mercados de segurança de rede, criando o serviço de acesso seguro de borda (SASE), um modelo de entrega como serviço predominantemente baseado em nuvem.

Gartner, How to Win as WAN Edge and Security Converge Into the Secure Access Service Edge, July 2019

Figura 2 – Modelo SASE / Fonte: Secure Access Service Edge (SASE)

As soluções SASE fornecerão acesso seguro “definido por software” baseado em políticas a partir de uma malha de rede adaptável, na qual os profissionais de segurança corporativa podem especificar com precisão o nível de desempenho, confiabilidade e segurança, além do custo de cada sessão de rede com base na identidade e no contexto. 

O surgimento do SASE, nesse cenário, criará uma oportunidade significativa para que os profissionais de segurança habilitem, com agilidade e confiança, os requisitos de acesso dinâmico da transformação digital. A partir daí, eles se tornam aptos a  fornecer recursos de acesso seguro a uma variedade de usuários distribuídos, locais e serviços baseados em nuvem. 

De fato, a demanda corporativa por recursos SASE baseados em nuvem e a competição e consolidação do mercado redefinirão a rede corporativa e as arquiteturas de segurança de rede.

Vale destacar: as identidades do usuário, do dispositivo e do serviço são as partes mais significativas no contexto da política de segurança. Além dessas, outras informações relevantes devem ser consideradas, como a localização de quem acessa, a hora do dia em que ocorre o acesso, a confiança do dispositivo pelo qual o acesso está sendo feito e a sensibilidade dos dados sendo acessados. 

Por sua vez, o data center corporativo ainda existe, mas não é mais o centro da arquitetura. É apenas um dos muitos serviços e recursos baseados em nuvem, que os usuários e dispositivos precisarão acessar. 

Figura 3 – Arquitetura SASE centralizada na identidade do usuário / Fonte: The Future of Network Security Is in the Cloud 

Os usuários precisam de acesso a um número cada vez maior de serviços baseados em nuvem, mas a forma como são conectados e as políticas de segurança aplicadas vão variar com base nos requisitos regulatórios, políticas corporativas e o risco do negócio. 

Nessa perspectiva, o modelo SASE fornece os serviços necessários e a aplicação de políticas sob demanda, independentemente da localização da entidade que solicita o serviço (vide lado esquerdo da figura 4) e do acesso ao recurso (vide lado direito da figura 4).

Figura 4 – Pilha SASE / Fonte: The Future of Network Security Is in the Cloud

Na prática, o resultado é a criação dinâmica de um serviço de acesso seguro, baseado em políticas de segurança, independentemente da localização das entidades que solicitam os recursos e da localização dos recursos de rede que estão sendo acessados. 

Ao invés de um perímetro de segurança concentrado em uma caixa na borda da rede corporativa ou do data center, o perímetro está agora em todos os lugares que uma empresa precisa. Trata-se, assim, de um serviço de acesso seguro baseado em políticas criadas dinamicamente.

Benefícios do SASE

O SASE permitirá que as equipes de TI forneçam um rico conjunto de serviços de segurança de rede, de maneira consistente e integrada. Dessa forma, elas poderão dar suporte às necessidades de transformação de negócios digitais e de mobilidade da força de trabalho. 

De acordo com o Gartner, a previsão é que a adoção do SASE venha a oferecer os seguintes benefícios:

  • Redução da complexidade e dos custos: ao consolidar os serviços de acesso seguro em um único provedor, o número geral de fornecedores será reduzido, bem como o número de dispositivos físicos ou virtuais e o número de agentes (software) necessários nos dispositivos. Os custos também devem diminuir a longo prazo, à medida em que mais serviços SASE sejam adotados; a economia virá da consolidação de fornecedores e pilhas de tecnologia.
  • Novos cenários de negócios digitais: os serviços SASE permitirão que as empresas façam seus aplicativos, serviços, dados e APIs (Application Programming Interface ou Interface de programação de aplicativos) acessíveis com segurança a parceiros e contratados, sem a exposição a riscos em massa de arquiteturas legadas de VPN e zonas desmilitarizadas (DMZ, demilitarized zones).
  • Melhoria no desempenho e na latência: os principais fornecedores de SASE fornecerão roteamento otimizado para latência em pontos de presença em todo o mundo. Isso é especialmente crítico para aplicativos sensíveis à latência, como VoIP, conferência na web e videocolaboração. Com base em políticas, os usuários podem ser roteados por meio das redes e backbones de alta capacidade do provedor SASE, além de seus parceiros de peering (conexão entre backbones).
  • Facilidade de uso e transparência para os usuários: implementado corretamente, o SASE reduzirá o número de agentes (software) necessários nos dispositivo terminais ou de equipamentos CPE (Customer Premises Equipment,  equipamento do prestador de serviço instalado no cliente) em uma filial, para um único agente ou dispositivo. Também reduzirá a demanda de processamento do agente no dispositivo e aplicará automaticamente a política de acesso, sem exigir a interação do usuário. Isso fornece uma experiência de acesso consistente para os usuários, independentemente de onde estejam, o que acessam e onde esses dados estão localizados.
  • Segurança aprimorada: Para os provedores SASE que oferecem inspeção de conteúdo (identificação de dados confidenciais e anti-malware), qualquer sessão de acesso pode ser inspecionada em conjunto com as políticas aplicadas. Um exemplo é a verificação de dados confidenciais no Salesforce, Facebook e aplicativos hospedados em nuvem, todos usando uma política consistente que é aplicada de forma automática, independentemente de onde o usuário ou dispositivo esteja localizado.
  • Baixa carga operacional: conforme as ameaças evoluem e novos mecanismos de inspeção são necessários, a empresa não é mais limitada pela capacidade do hardware e pela atualização do mesmo para adicionar novas funcionalidades. Com as ofertas SASE baseadas em nuvem, a atualização de políticas contra novas ameaças não requer novas implantações de hardware ou software pelo negócio, o que deve deve permitir a adoção mais rápida de novos recursos.
  • Ativação do acesso à rede de confiança zero: Um dos princípios de uma abordagem de rede de confiança zero (ZTNA) é que o acesso à rede é baseado na identidade do usuário, no dispositivo e no aplicativo, não no endereço IP ou localização física do dispositivo. Essa mudança para políticas definidas logicamente simplifica muito o gerenciamento de políticas de segurança. O SASE fornece proteção da sessão do usuário de forma contínua e consistente, seja dentro ou fora da rede corporativa. Além disso, supondo que a rede seja hostil, o SASE fornecerá criptografia de ponta a ponta para todas as sessões web, além de proteção para as APIs (WAAP). Os principais fornecedores de SASE ampliarão essa segurança até o dispositivo endpoint com proteção de rede Wi-Fi pública (cafeteria, aeroporto e assim por diante) por túnel até o POP mais próximo.
  • Maior eficácia da rede e equipe de segurança de rede: em vez das tarefas rotineiras de configuração da infraestrutura, os profissionais de segurança de rede podem se concentrar em compreender os requisitos de negócios, regulatórios e de acesso de aplicativos, mapeando tudo isso no SASE.
  • Política de centralizada com aplicação local: o SASE permite o gerenciamento centralizado de políticas de segurança baseado em nuvem, com pontos de aplicação distribuídos logicamente próximos à entidade. É incluída, ainda, a tomada de decisão local quando necessário. Um exemplo é a aplicação das políticas de segurança no equipamento CPE de uma filial, ou mesmo em agentes (software) gerenciados instalados em dispositivos locais.

Adoção do SASE

Como podemos notar, o SASE está nos estágios iniciais de desenvolvimento. Sua evolução e sua demanda vêm sendo impulsionadas pelas necessidades de transformação dos negócios digitais, devido à adoção de SaaS e outros serviços baseados em nuvem. Tais recursos, afinal, são acessados por forças de trabalho cada vez mais distribuídas e móveis. 

Nesse contexto, as primeiras ofertas de SASE estão disponibilizadas através de fornecedores SD-WAN que adicionam recursos de segurança de rede e fornecedores de segurança baseados em nuvem, oferecendo serviços como SWG, ZTNA e CASB. 

Segundo o Gartner, ofertas SASE mais abrangentes começaram a surgir recentemente, com taxas de adoção de menos de 1%. No entanto, os próximos três anos fornecerão oportunidades significativas para que os líderes de segurança corporativa simplifiquem suas arquiteturas de segurança de rede.

Mercado do SASE

No nascimento do mercado SASE,  ainda não há um único fornecedor que ofereça todo o portfólio, embora vários fornecedores já tenham a maioria das funcionalidades necessárias. Segundo o Gartner, a expectativa é de que até o final de 2020 e início de 2021 vários fornecedores já contem com portfólios completos de SASE. 

O Gartner disponibilizou uma lista que inclui fornecedores em todas as categorias nas quais se espera competir para o fornecimento de soluções SASE em curto prazo. Confira: 

Vale lembrar que os principais provedores de IaaS (Amazon AWS, Microsoft Azure e Google GCP) ainda não estão competindo no mercado SASE. O Gartner espera que pelo menos um deles se mova para atender à maioria dos requisitos desse mercado nos próximos cinco anos. 

Sergio Trede é graduado em Engenharia de Sistema Eletrônicos pela PUC-MG e pós-graduado em Engenharia de Comunicação de Dados pela INATEL. Atua há mais de 25 anos nos segmentos de Telecomunicações e Tecnologia da Informação, em empresas como Telemar, Diveo, Alcatel-Lucent e IBM. Atualmente é Gerente de Produtos na Century Telecom.

Créditos da imagem de destaque: rawpixel.com

Clara Julio

Deixe um comentário

×