Este blog faz parte da série contínua “I & O Perspectives”, que apresenta insights de especialistas do setor sobre o impacto das ameaças atuais, da rede e de outras tendências de segurança cibernética.
Ao assumir uma nova função na equipe de engenharia da plataforma Netskope, estou ansioso para explorar como a visão da nossa empresa molda a evolução da segurança de redes empresariais. Este primeiro artigo de uma série é uma prova da minha introspecção técnica, apresentando os antecedentes, os desafios e as necessidades que levaram ao SASE — Security Access Service Edge.
Ao longo do último quarto de século, as empresas gradualmente reconheceram a Internet como um meio confiável de transportar aplicações. O trabalho remoto acelerou ainda mais essa mudança, transformando o espaço de trabalho em um ambiente sem fronteiras. Juntamente com o aumento dos aplicativos SaaS corporativos, isso levou a uma nova era de conectividade.
No entanto, nesta nova era, a internet se tornou um vetor crítico para ameaças cibernéticas. À medida que as organizações dependem mais da Internet para se conectar, elas enfrentam uma maior exposição a ameaças sofisticadas, incluindo violações de dados, malware e ataques de phishing. O SASE surgiu como uma resposta às limitações dos modelos tradicionais de rede e segurança.
Com tudo isso em mente, vamos fazer uma viagem pela história recente das WANs para entender a direção que a segurança e a rede estão tomando.
Evolução da rede de área ampla moldando nosso presente e futuro
Em 2000, antes do estouro da bolha da Internet, a Cisco Systems tinha a maior capitalização de mercado em todo o mundo, permanecendo como líder inquestionável no setor de redes corporativas. Os produtos de segurança da Internet foram insignificantes nas declarações de receita da Cisco, contribuindo com apenas uma pequena fração de suas vendas. No geral, a cibersegurança ainda era um setor relativamente pequeno. As redes corporativas e a Internet costumavam existir como dois silos distintos, uma separação que inerentemente fornecia segurança sem a necessidade de criptografia.
Os backbones da rede de longa distância (WAN), que, por definição, eram executados em infraestrutura física privada, dependiam de linhas e protocolos ponto a ponto dedicados legados, como frame relay e ATM.
Além disso, as aplicações em nuvem não eram tão essenciais para as corporações. Além do e-mail, as comunicações eletrônicas e os recursos de TI eram principalmente privados.
Alguns pioneiros começaram a usar mais túneis IPsec de site a site para backup de WAN e descarregar tráfego de baixa prioridade pela Internet. Lembro-me de demonstrar essa implementação para uma grande corporação em 2002, mas não foi além de uma prova de conceito. Naquela época, a Internet de melhor esforço não era considerada elegível para transportar tráfego corporativo confidencial. Hoje, isso evoluiu com qualidade de serviço inteligente e orquestração em uma interface gráfica, representando a parte SD-WAN do SASE.
A rede privada virtual (VPN) Multiprotocol Label Switching (MPLS), uma solução genuína voltada para IP, foi a estrela em ascensão.
MPLS e VRF: aprimorando o roteamento IP e o isolamento de rede
O MPLS é um conjunto de protocolos de comutação central projetados para acelerar o roteamento IP. Ele combina as vantagens do IP e do caixa eletrônico.
Operadores e fornecedores de rede desenvolveram a aplicação VPN do MPLS para fornecer isolamento de rede na camada 3. Em uma rede MPLS-VPN, cada VPN é um contexto de roteamento privado. Os clientes compram um ou vários contextos de VPN para segregar seus ambientes de roteamento de WAN na mesma infraestrutura física.
O tráfego via MPLS-VPN geralmente não é criptografado e a rede é confiável. Na maioria dos casos, essas instâncias de VPN naturalmente se tornaram extensões de longo prazo das VLANs da rede local. Máquinas com o mesmo perfil de uso ficariam nos mesmos segmentos de LAN e VPNs.
O impacto dos SLAs na diferenciação do MPLS-VPN dos serviços de Internet
Para empresas (ou pelo menos seus departamentos jurídicos), a principal métrica de qualidade eram os SLAs e as penalidades que os acompanham. Em outras palavras, como as penalidades podem ser prejudiciais o suficiente para os prestadores de serviços cuidarem e igualarem uma qualidade de serviço decente?
Nas redes MPLS-VPN, a entrega de pacotes, os atrasos de ida e volta e a disponibilidade do serviço estão sujeitos aos SLAs. Por outro lado, a maioria dos serviços de Internet oferece apenas SLAs de tempo de restauração ou disponibilidade. Esses itens contratuais têm sido o principal argumento para as empresas de telecomunicações diferenciarem o MPLS-VPN do IPsec pela Internet.
Os SLAs não se aplicam quando o link é interrompido devido a um evento de força maior: desastres naturais, atos de guerra, ações governamentais e pandemias, entre outros. Por exemplo, se uma escavadeira cortar um cabo de fibra e mesmo que não seja considerada um evento de força maior, não faz diferença se o serviço é internet ou MPLS-VPN. Há apenas uma pequena chance de o provedor restaurar o link dentro do prazo do SLA.
Construindo redes resilientes e capazes: cumprindo os SLAs em meio a restrições complexas
Para apoiar os SLAs, a resiliência e o gerenciamento de capacidade sempre foram temas predominantes ao projetar redes de comunicação. Esses atributos são fundamentais para garantir que a rede seja extensa, redundante, rápida e ágil o suficiente para atender às expectativas do cliente em qualquer condição de rede. No entanto, conseguir isso envolve navegar por um conjunto complexo de restrições, como:
- Várias rotas disponíveis entre dois pontos.
- Cada link tem seu próprio gerenciamento de capacidade.
- As rotas de backup devem ser restauradas com rapidez suficiente para preservar as sessões em andamento (por exemplo, uma chamada telefônica) sem que os usuários percebam quando uma rota é interrompida.
- Com o IP, nem todos os aplicativos (como voz) têm largura de banda reservada. A rede pode restringir aplicativos de baixa prioridade durante eventos de congestionamento, mas não excessivamente.
As abordagens em backbones privados, como o MPLS e a rede compartilhada da Internet, são naturalmente profundamente diferentes. A Internet sempre foi considerada o “melhor esforço”, enquanto o MPLS-VPN garante a qualidade do serviço. No entanto, os usuários esperam que a Internet ofereça um serviço decente na maioria das condições de rede. A concorrência entre os provedores de serviços de Internet impulsionou melhorias na qualidade. Técnicas e kits de ferramentas para gerenciar a capacidade da Internet avançaram significativamente
Muitos esforços também foram investidos para enriquecer o arsenal de técnicas de engenharia de tráfego em protocolos IP e ambientes MPLS, incluindo gerenciamento de capacidade on-line, reservas de largura de banda, prioridades de aplicativos, políticas de caminhos de ponta a ponta, redirecionamento rápido e muito mais.
A boa notícia é que o MPLS, como tecnologia de base, agora é a operadora subjacente para tudo, desde redes móveis até a Internet, e alguns desses esforços também beneficiam a Internet, não apenas o MPLS-VPN.
A ascensão da Internet: da necessidade doméstica à espinha dorsal corporativa
Para os consumidores, a Internet rapidamente começou a fornecer casos de uso tão valiosos que logo se tornou essencial assinar um serviço de Internet em casa. Alguns desses exemplos incluem e-mail pessoal, compras on-line, mecanismos de pesquisa, conteúdo enciclopédico, mídias sociais e mensagens instantâneas.
Por volta de 2008, a Internet conquistou o espaço móvel com o smartphone fácil de usar, seu ecossistema e dados celulares de alta velocidade. Os smartphones acessaram esses casos de uso onipresentes, causando um crescimento sísmico no volume de fluxos de dados e no número de usuários.
Juntamente com o crescimento dos volumes de tráfego, que foi multiplicado pelo crescimento dos serviços de vídeo na Internet (veja a Figura 1), o número de usuários da Internet aumentou dramaticamente.
O uso da Internet na empresa também se acelerou. Além dos aplicativos amigáveis ao consumidor, o acesso aos aplicativos SaaS, começando com o Salesforce, tornou-se um tópico importante para os departamentos de TI. As soluções SaaS ofereciam alternativas escalonáveis e econômicas para o software tradicional no local, reduzindo a necessidade de extensa infraestrutura e manutenção de TI.
Alguns CIOs até decidiram reduzir o tráfego dos usuários e implantar conectividade privada e cara, como o Secure Cloud Direct Interconnect (SDCI), para alcançar serviços disponíveis principalmente na Internet pública (gratuita). Por muito tempo, nunca pudemos resolver totalmente o conflito entre a onipresença da Internet e a qualidade garantida do serviço prestado por backbones privados.
Adotando o trabalho remoto: A mudança para o SASE
A inovação estava pressionando por mudanças. A pandemia marcou uma mudança dramática. Trabalhadores remotos se tornaram a norma. Eles puderam se beneficiar das aplicações comerciais de suas casas, como se estivessem nas áreas privadas e ocultas dos locais corporativos e das redes WAN. Aplicações em nuvem e, particularmente, de reuniões virtuais, como o Microsoft O365/Teams, seriam afetados em uma configuração centralizada com uma ou poucas conexões de WAN para a Internet. Os usuários exigem que o tráfego da Internet siga o caminho mais curto possível.
Os players da Internet continuaram fornecendo uma grande largura de banda para lidar com o ritmo e absorver a carga adicional. A Internet lidou muito bem com a carga que subitamente passou dos terminais do prédio de escritórios para os locais residenciais.
Naturalmente, a estação de trabalho do usuário se transformou na única barreira remanescente à privacidade dos dados da empresa. Propriedade intelectual, dados comerciais secretos e qualquer informação a ser protegida devem ser acessados por meio do dispositivo do funcionário e dos serviços em nuvem, que podem estar em qualquer lugar.
No entanto, os CIOs não podiam sacrificar a qualidade e a segurança do serviço. Preservar a produtividade e garantir a privacidade e a proteção de dados são essenciais. A remoção do “perímetro” corporativo levou à disseminação e ao crescimento de ataques sofisticados, ransomware, violações involuntárias de confidencialidade e ameaças internas. Esse cenário de ameaças exige um modelo de segurança onipresente e granular para proteger usuários e dados em todos os lugares, passando das defesas tradicionais, do castelo e do fosso, para uma camada de segurança global e sempre ativa. Logicamente, isso deu origem ao SASE.
Na próxima parte desta série do blog, exploraremos o paradigma da conectividade SASE e como a Netskope oferece conectividade de alto nível nesse novo cenário.
Fique ligado nas próximas edições da nossa série I & O Perspective. Junte-se a nós na SASE Week 2024 para explorar o que há de mais recente em SASE e Zero Trust e saiba como aprimorar a estratégia de segurança e transformação de rede da sua organização. Não perca a mesa redonda "SASE for Networkers Roundtable" em 25 de setembro, na qual os clientes compartilharão suas jornadas de transformação digital em direção à SASE