Para a nuvem! É mais fácil do que pensa

15 de julho de 2022

Por Michael Schneider - Diretor Sénior, Gestão de Produtos, Skyhigh Security

Em conversas com clientes, potenciais clientes e clientes novos e existentes que estão a executar aplicações Secure Web Gateway (SWG), surge um tópico crítico sobre o custo absoluto da migração para a nuvem: para além do preço do produto, os clientes também devem ter em conta o custo da migração. Isto é fundamental no caso de estarem a fazer uma substituição no caso de o seu fornecedor atual não oferecer o SWG de escolha para a nuvem ou não conseguir levá-los facilmente para a nuvem.

Depois de falarmos com um potencial cliente com 25.000 utilizadores, descobrimos que eles consideraram um custo de ~$1.000.000 USD para substituir o seu SWG atual. Esse dinheiro é gasto na alteração do encaminhamento da rede, na reconfiguração de servidores, na reescrita de ficheiros PAC (Proxy Auto-Configuration), na reconfiguração de firewalls, etc.

Este orçamento de substituição de SWG deve ser considerado no preço global do projeto, para além do preço do novo SWG, mas é frequentemente esquecido. Em suma, é fundamental que qualquer novo fornecedor seja capaz de substituir rapidamente a solução atual e entrar na nuvem sem demora, uma vez que estes são os principais factores de custo.

Para manter os custos e os esforços sob controlo, os clientes devem procurar um fornecedor que não lhes exija grandes alterações ao seu esquema atual, enquanto os leva para uma implementação nativa da nuvem. Ir para a nuvem sem interromper nada e sem aplicar grandes mudanças pode parecer difícil, mas é possível! Deixe-nos detalhar como nós, em Skyhigh Security , podemos ajudar a tornar a mudança dos clientes para a nuvem mais fácil e mais rápida, ao mesmo tempo que minimizamos os enormes custos gerais que outros fornecedores podem introduzir.

O SWG no local

Os clientes que executam SWG no local tiram frequentemente partido de determinadas capacidades de infraestrutura de um SWG, como o tratamento de protocolos mais antigos, SOCKS, ou o proxy de outro tráfego como o Protocolo de Controlo de Transmissão (TCP). Muitas vezes, o SWG realiza optimizações locais de cache ou largura de banda, balanceamento de carga ou failover de ligação ISP. Embora seja possível substituí-los por uma solução de nuvem em alguns casos, isso geralmente requer uma nova arquitetura do design da rede. Em projectos de transformação maiores, isto é normalmente tido em consideração, ao passo que em projectos apenas de SWG é frequentemente uma circunstância indesejável. Os clientes que procuram o seu SWG para a infraestrutura e não para a segurança terão dificuldade em adotar rapidamente um SWGaaS e terão de fazer compromissos difíceis ou planear investimentos adicionais.

Como é que o Skyhigh Security pode ajudar

Em Skyhigh Security , compreendemos as preocupações e necessidades dos nossos clientes quando se trata de implementar um SWG, independentemente da sua implementação no local ou na nuvem. Temos vindo a desenvolver SWGs desde 1999; com a nossa experiência, aliada ao compromisso de ouvir os clientes e potenciais clientes, criámos uma arquitetura que o levará rapidamente para a nuvem, evitando os enormes custos de substituição incorridos ao mudar de fornecedor. Todas as nossas suites Security Service Edge (SSE) estão licenciadas para uma implementação híbrida. Isso significa que tem o direito de utilizar dispositivos virtuais, com dispositivos de hardware como opção, e o serviço de nuvem.

Para clientes existentes

Os clientes SWG locais existentes podem estender a sua política local para a nuvem com o clique de um botão, bem como executar a mesma política na nuvem e nos seus dispositivos; os seus sites remotos ou utilizadores móveis podem agora ligar-se à nuvem e continuar a ser protegidos da mesma forma, em vez de fazer o backhaul do tráfego para hubs centrais ou dispositivos proxy dedicados. Em locais maiores, onde o SWG faz sentido devido a razões de infraestrutura, o SWG local é mantido e gere as políticas para os restantes SWGs e para os que estão na nuvem. Criámos opções flexíveis e simplificámos o processo para facilitar aos nossos clientes a concretização das suas iniciativas de transformação da cloud. Com a mudança de locais remotos para a nuvem, as poupanças em ligações MPLS ou VPN dispendiosas são realizadas instantaneamente.

Além disso, o restante espaço ocupado pelo aparelho pode ser drasticamente reduzido executando apenas partes relevantes da política no aparelho; por exemplo, uma lista global de permissões ou bloqueios, filtragem de URL ou algum cache, regras de otimização de largura de banda ou autenticação em um diretório local. A maior parte da filtragem é realizada na nuvem que contém o tráfego encaminhado do aparelho, ao mesmo tempo que autentica o utilizador local em relação ao serviço de nuvem. Com essa etapa, o espaço ocupado pelo equipamento pode ser drasticamente reduzido. Se hoje são necessários dez appliances, esse número pode ser reduzido para dois, incluindo um nó de failover. Esse modelo de transição para a nuvem não exige nenhuma alteração no layout da rede e mantém a rede intacta.

Para novos clientes

Os novos clientes que pretendam substituir o seu proxy existente e que pretendam manter os proxies no local podem seguir a mesma abordagem, substituindo adicionalmente os seus proxies no local pelo SWG de Skyhigh Security. Se for bem feito, os nomes DNS do proxy podem ser mantidos e uma transição suave pode ser mantida, pois não há interrupção do fluxo de tráfego, não há necessidade de reescrever PACs e o tráfego é tratado pelos novos proxies e redireccionado com segurança para o serviço de nuvem onde a política é aplicada.

Esta variante de implementação é uma utilização elegante de proxies locais e do serviço de nuvem. Reduz o custo de migração e permite uma migração rápida para a nuvem simplesmente usando o serviço de nuvem como mecanismo de política e usando dispositivos como "redirecionadores" para a nuvem.

O objetivo

O objetivo final é a utilização de uma implementação nativa na nuvem em vez de soluções locais. Mas, como mencionado anteriormente, em muitos casos, o caminho para lá chegar pode ser acidentado pela abordagem de rasgar e substituir, ou pode ser facilitado pela eliminação progressiva do equipamento local com uma solução sinérgica optimizada para permitir a transformação, minimizando as perturbações.

Ao substituir um SWG local, os fornecedores dir-lhe-ão que os SWGs locais não são necessários. Isto é verdade, mas a questão fundamental é: pode suportar os procedimentos de remoção e substituição que estes fornecedores lhe impõem?

Saiba mais sobre Skyhigh Security's e Skyhigh Security's Secure Web Gateway e Security Service EdgeAlém disso, reveja o workshop "Mudar para a nuvem é mais fácil do que pensa".