1 de junho de 2022
Por Michael Schneider - Diretor Sénior, Gestão de Produtos, Skyhigh Security
"É bom ter funcionalidades, mas no final do dia, tudo o que nos interessa no que diz respeito à nossa segurança na Web e na nuvem é a arquitetura." - nunca disse nenhum cliente.
A verdade é que ninguém gosta de falar de arquitetura quando compra a melhor e mais recente tecnologia de segurança cibernética, e a maioria das organizações tem-se contentado em continuar a encaixar novas ferramentas e capacidades de segurança nas suas arquitecturas tradicionais existentes. No entanto, os projectos de transformação digital, incluindo a migração para a nuvem e o acesso móvel omnipresente, revelaram fissuras na arquitetura e muitas empresas viram a barragem rebentar com a explosão da procura de acesso remoto nos últimos meses. Como resultado, as organizações estão a chegar à conclusão de que a transformação digital exige uma transformação correspondente da arquitetura da rede e da segurança.
A estrutura do Secure Access Service Edge (SASE) fornece às organizações um modelo para alcançar essa transformação, reunindo tecnologia de rede e segurança em um único serviço fornecido na nuvem que garante acesso rápido, seguro, confiável e econômico a recursos da Web e da nuvem. Neste blogue, focamo-nos nos escritórios remotos e na combinação das capacidades SD-WAN e Next-Generation Secure Web Gateway que o Skyhigh SSE pode permitir para a transformação digital.
A Nuvem e o Dilema Arquitetónico
No passado, as organizações estavam largamente concentradas num número limitado de localizações. As aplicações e os dados estavam alojados em servidores num centro de dados central na rede local - normalmente na sede ou perto dela. Os utilizadores trabalhavam normalmente no escritório, pelo que também estavam localizados no escritório e acediam aos recursos da empresa na mesma rede. À volta desta rede existia um perímetro de controlos de segurança que podia inspecionar todo o tráfego que entrava ou saía da organização, mantendo os recursos de confiança seguros e os maus da fita afastados. Os utilizadores remotos e as filiais estavam logicamente ligados a esta rede central através de tecnologias como VPN, MPLS e linhas alugadas, para que o perímetro seguro da rede pudesse ser mantido.
Embora esta abordagem tenha sido suficiente durante anos, a transformação digital criou grandes desafios. As aplicações e o armazenamento de dados migraram para a nuvem, pelo que já não residem na rede empresarial. A lógica ditaria que a abordagem ideal seria que os utilizadores e escritórios remotos tivessem acesso direto aos recursos da nuvem sem terem de passar pela rede empresarial. Mas isto resultaria no facto de o perímetro de segurança de TI da organização ser completamente contornado, o que significaria a perda de visibilidade e controlo da segurança, levando a riscos inaceitáveis de segurança e conformidade.
Os arquitectos de redes e de segurança de todo o mundo enfrentam o mesmo dilema: Qual é a melhor forma de permitir a transformação digital sem grandes compromissos? As organizações têm geralmente seguido uma das quatro abordagens arquitectónicas seguintes, com base na sua vontade de adotar novas tecnologias e reuni-las.
Vamos discutir estas quatro opções aqui e avaliá-las com base em quatro factores: segurança, velocidade, latência e custo. Os resultados mostrarão que existe apenas uma forma de obter acesso rápido, seguro e económico aos recursos da Web e da nuvem.
Abordagem 1: STATUS QUO
Devido ao risco de perder a visibilidade e o controlo da segurança, muitas organizações recusaram-se a permitir a rearquitectura "direta para a nuvem". Assim, mesmo quando as ligações à Internet de alta velocidade podem ligar os utilizadores diretamente aos recursos da nuvem e da Web, esta abordagem exige que todo o tráfego continue a ser empurrado através de ligações MPLS mais lentas de volta à rede empresarial e, em seguida, volte a sair através de um único tubo de Internet agregado para aceder aos recursos da Web e da nuvem. Embora, teoricamente, isto mantenha a visibilidade e o controlo da segurança, tem um custo elevado.
Para começar, a experiência do utilizador é muito prejudicada pelo fraco desempenho. A largura de banda sofre com a lenta ligação MPLS de volta ao escritório da empresa, bem como através da congestionada ligação à Internet da empresa. Além disso, os saltos de rede adicionais e o aumento da contenção da rede conduzem a uma latência elevada - esta situação foi drasticamente amplificada nos últimos meses, uma vez que a quantidade de tráfego remoto que passa pela rede da empresa explodiu muito para além das expectativas originais do projeto. Estes factores nem sequer têm em conta o potencial impacto das interrupções de serviço provocadas pela introdução de um ponto único de falha na arquitetura da rede.
Para além do fraco desempenho, existe um custo financeiro tangivelmente mais elevado associado a esta abordagem. Várias linhas MPLS que ligam as filiais ao centro de dados da empresa são consideravelmente mais caras do que a conetividade pública à Internet. Além disso, para acomodar o encaminhamento de TODO o tráfego de utilizadores, as organizações precisam de aumentar drasticamente o investimento na sua rede central e na capacidade da infraestrutura do perímetro de segurança, bem como na largura de banda do tubo de Internet partilhado.
Portanto, precisamos encontrar uma resposta de longo prazo para os desafios de velocidade, latência e custo. Essas considerações são o que levou muitos arquitetos de rede a prosseguir com a implantação da SD-WAN.
Abordagem 2a: IR DIRECTAMENTE PARA A NUVEM COM SD-WAN
O primeiro passo para fornecer uma arquitetura pronta para a nuvem é remover o estrangulamento resultante de forçar todo o tráfego a ser encaminhado através de linhas MPLS lentas para a rede central e depois de volta para a nuvem. A tecnologia SD-WAN pode ajudar nesse sentido. Ao implementar equipamento SD-WAN na extremidade da rede da sucursal, podem ser criadas políticas de tráfego optimizadas que encaminham o tráfego diretamente para os recursos da Web e da nuvem, utilizando ligações à Internet rápidas e económicas, ao mesmo tempo que utilizam a mesma ligação à Internet para enviar apenas o tráfego ligado ao centro de dados diretamente de volta à rede empresarial através de um conjunto dinâmico de túneis VPN. A otimização da WAN e a QoS, bem como várias outras funções de segurança e de rede de extremidade, como a filtragem de firewall, que são mais adequadas para serem executadas na extremidade da rede, proporcionam a experiência de utilizador mais rápida e fiável, minimizando a carga de tráfego na rede central.
Ao empregar a SD-WAN, os arquitectos de rede podem obter poupanças substanciais em termos de custos, eliminando as dispendiosas ligações MPLS de volta ao centro de dados empresarial. Além disso, os utilizadores não estão limitados pela largura de banda muito mais lenta dessas linhas MPLS.
No entanto, há grandes desvantagens nesse modelo. Embora as soluções SD-WAN apresentem uma série de fortes capacidades de controlo de fluxo que podem ser distribuídas por cada local remoto - incluindo firewall, proteção de DNS e ofuscação de dados - não têm as mesmas capacidades robustas de proteção de dados e ameaças que as organizações integraram na segurança do perímetro da sua rede. Por isso, os arquitectos continuam a precisar de fazer o backhaul de todo o tráfego através da Internet de volta ao centro de dados, mesmo que esse tráfego se destine, em última análise, a voltar para a Internet! Assim, embora a velocidade e a relação custo-benefício dessa conexão tenham melhorado muito em comparação com o modelo antigo, a necessidade de continuar a fazer o backhaul do tráfego apresenta os mesmos desafios de latência e congestionamento.
Abordagem 2b: Skyhigh Security Service Edge
Assim, se os caminhos de tráfego precisam de voltar ao centro de dados da empresa para que as organizações mantenham a visibilidade e o controlo da segurança, mas a maioria dos recursos a que os utilizadores acedem estão na nuvem, não faria sentido situar os controlos de segurança na nuvem num caminho de tráfego mais direto e seguro? Entre no Skyhigh Security Service Edge.
Skyhigh SecurityO Next-Gen Secure Web Gateway da Skyhigh fornece uma borda segura em hiperescala, nativa da nuvem, extremamente rápida e 99,999% fiável. Ao fazer convergir as tecnologias SWG, CASB, DLP e Remote Browser Isolation , o Skyhigh SSE garante que os utilizadores e escritórios remotos usufruem dos níveis mais sofisticados de proteção contra ameaças, dados e aplicações na nuvem, bem como de capacidades únicas de gestão proactiva de riscos que excedem mesmo o que é possível numa estrutura de segurança tradicional no local.
Tão importante quanto as capacidades avançadas de segurança é o facto de o Skyhigh SSE ser construído sobre uma base rápida, fiável e escalável. Graças a uma rede global de Pontos de Presença (POP) e relações de peering únicas, o Skyhigh SSE pode estender um edge seguro em hiperescala onde quer que os utilizadores precisem. Apesar de um aumento de 240% no tráfego durante a primavera de 2020, o Skyhigh Security conseguiu manter uma disponibilidade de 99,999% e cumpriu todos os requisitos de latência estipulados nos nossos SLAs. As organizações puderam contar com a nossa infraestrutura nos momentos mais difíceis, e podem continuar a fazê-lo no futuro.
Ao subscrever uma ligação pública à Internet acessível no local da sucursal e ligar-se ao Skyhigh SSE, os clientes podem obter muitos dos benefícios desejados. As suas capacidades abrangentes de proteção de dados, ameaças e aplicações na nuvem satisfazem amplamente os requisitos de segurança. E para a maioria do tráfego de utilizadores que se destina à Web ou à cloud, a ligação direta à Internet garante um acesso rápido e de baixa latência.
No entanto, sem implantar o SD-WAN em conjunto com o Skyhigh SSE, as organizações ainda precisam ter esses links MPLS lentos e caros para manter a conetividade com seus aplicativos e recursos legados do data center. Portanto, os clientes não conseguirão economizar nos custos, e essas conexões com os recursos do data center sofrerão os mesmos desafios de velocidade e latência. E é aí que finalmente chegamos à arquitetura ideal de segurança na nuvem, unindo o Skyhigh SSE à SD-WAN.
Abordagem 3: Skyhigh Security SSE + SD-WAN = SASE
Ao reunir Skyhigh SSE com SD-WAN em uma solução perfeitamente integrada, as organizações podem fornecer SASE e construir uma arquitetura de segurança de rede adequada para a era da nuvem. Skyhigh Security torna possível para os clientes convergir facilmente Skyhigh SSE com praticamente qualquer solução SD-WAN através de suporte nativo robusto para conetividade SD-WAN, alavancando protocolos padrão da indústria Dynamic IPSec e GRE. Através desta integração, os clientes beneficiam de uma gama completa de capacidades essenciais da SASE, com a SD-WAN a fornecer a funcionalidade de rede integrada e a SSE a fornecer as capacidades de segurança. Skyhigh Security tem apoiado os seus parceiros de canal na entrega bem sucedida de projectos SWG conjuntos SD-WAN-cloud com muitos dos principais fornecedores de SD-WAN no mercado, e tem forjado alianças estreitas com os líderes da indústria através do seu programa de parceiros de integração.
Então, como é que uma solução combinada UCE-SD-WAN satisfaz os quatro requisitos de arquitetura? A segurança é claramente abordada pelas capacidades de proteção contra ameaças, dados e aplicações na nuvem da Skyhigh Security, bem como pelas capacidades de firewall distribuída fornecidas pela SD-WAN. Ao usar uma única conexão rápida com a Internet, a SD-WAN é capaz de rotear o tráfego de forma inteligente e eficiente diretamente para os recursos da nuvem ou de volta para o data center corporativo. Com o Skyhigh SSE fornecendo segurança diretamente na nuvem, a SD-WAN pode encaminhar o tráfego vinculado à Web e à nuvem diretamente, sem nenhuma latência excessiva. A economia de custos vem da remoção das caras linhas MPLS e, como a maior parte do tráfego não precisa mais passar pelo data center corporativo, economias adicionais podem ser obtidas com a redução da largura de banda da rede central e da capacidade da infraestrutura.
Crie hoje uma arquitetura de segurança de rede pronta para a nuvem
A transformação digital representa a próxima grande revolução tecnológica, e a capacidade das organizações de migrarem para a nuvem e capacitarem suas forças de trabalho distribuídas com acesso rápido, seguro, simples e confiável provavelmente determinará o sucesso delas na nova era. A SASE representa a melhor forma de conseguir uma arquitetura direta para a nuvem que não compromete a visibilidade e o controlo da segurança, o desempenho, a complexidade ou o custo. Ao integrar perfeitamente nossa solução Skyhigh SSE com SD-WAN, nunca foi tão fácil para as organizações fornecerem SASE para escritórios remotos. Como resultado, os utilizadores irão beneficiar de uma maior produtividade, o pessoal de TI irá usufruir de uma maior eficiência operacional e as empresas irão usufruir de uma poupança de custos excecional como resultado de uma infraestrutura consolidada e de um tráfego de rede optimizado.
Voltar aos blogues