Este blog faz parte da série contínua “I & O Perspectives”, que apresenta insights de especialistas do setor sobre o impacto das ameaças atuais, da rede e de outras tendências de segurança cibernética.
Na primeira parte desta série de blogs, observamos o início de um modelo baseado na Internet em que as redes corporativas não têm mais fronteiras, a casa é o escritório, as aplicações estão na nuvem.
Essa mudança de paradigma torna a conectividade onipresente. Mas os riscos de segurança aumentaram dramaticamente. Para que o SASE seja dimensionado e proteja todos os usuários, é necessária uma plataforma sólida. Na Netskope, criamos o NewEdge, uma plataforma criada especificamente para fornecer SSE e SD-WAN altamente disponíveis e rápidos. Vamos dar uma olhada nas tecnologias e designs que tornaram isso possível:
Internet versus MPLS-VPN
Diante das redes MPLS-VPN inflexíveis, mas compatíveis com SLA, está o desprezado gigante contorcionista, a internet.
Os provedores de conteúdo e nuvem têm sido muito ativos na criação de uma Internet na qual possam confiar. Na verdade, eles precisam de uma rede aberta e de alta qualidade para direcionar tráfego para as telas de seus clientes. Eles investem em cabos submarinos e operam uma infraestrutura de transporte que substitui algumas empresas de telecomunicações e redes de tráfego. Eles também patrocinaram massivamente iniciativas de interconexão, como instalações de troca de internet. As interconexões são essenciais e têm sido um assunto delicado. Por um lado, os ISPs investem maciçamente em suas infraestruturas de acesso. Por outro lado, os provedores de conteúdo precisam de acesso limpo a esses olhos (os consumidores). No meio, os provedores de tráfego público tentam ganhar dinheiro conectando as duas pontas. Como resultado, os interesses às vezes são conflitantes.
Houve algumas disputas em que alguns sentiram que não recebiam o suficiente pelo valor que estavam trazendo. Em maio de 2024, por exemplo, a Cogent removeu parte de sua conectividade com a Tata, já que os dois provedores de tráfego público não conseguiram encontrar um acordo para uma estratégia de interconexão equilibrada. Isso impactou as redes que dependiam fortemente desses provedores sem caminhos alternativos decentes.
Do lado da tecnologia, a óptica, os chips de encaminhamento e as melhorias no protocolo permitiram que a Internet atingisse níveis de largura de banda com orçamentos baixos. A generalização da telemetria habilitada por hardware ajudou imensamente na otimização de redes de alta largura de banda, como backbones da Internet.
Em 2012, em um empreendimento anterior, desenvolvemos um software de otimização de roteamento da Internet. Graças a bilhões de medições de desempenho, obtivemos a firme confirmação de que a Internet precisava de melhorias para maior disponibilidade e desempenho, principalmente em algumas áreas geográficas específicas ou sob condições de rede específicas. Assim como a Netskope, a maioria dos provedores de conteúdo e de nuvem desenvolveu sua própria estrutura de engenharia de tráfego BGP para aumentar a disponibilidade e o desempenho.
Graças às altas larguras de banda, colaborações entre pares e roteamento inteligente, os longos debates sobre qualidade de serviço, engenharia de tráfego e SLAs desapareceram.
A Netskope investiu centenas de milhões em sua plataforma, a NewEdge, e na estrutura de conectividade subjacente. Com a computação completa e todos os serviços de segurança disponíveis em mais de 75 regiões e mais de 100 centros, o NewEdge garante zero desvantagens de desempenho. Os usuários do Netskope se beneficiam da proximidade geográfica e da conectividade aprimorada de última milha por meio de vários caminhos de trânsito e peering denso.
SDN — Redes definidas por software (ou não)
Com o MPLS-VPN, a empresa de telecomunicações configura explicitamente o contexto de cada cliente e controla todas as configurações no backbone. Por outro lado, em uma estrutura SDN adequada, o cliente tem controle de configuração.
Houve tentativas de fornecer aos clientes UIs e APIs de autoatendimento para operar suas configurações e automatizar as configurações de redes principais. Além de controlar rigorosamente, não interferir com outros clientes e respeitar projetos restritos, isso também significa restringir as opções de configuração e implantações sofisticadas que somente os engenheiros de telecomunicações podem realizar manualmente. Finalmente, com backbones privados, o SDN permanece limitado pela infraestrutura subjacente.
Construir túneis como sobreposições na Internet, por exemplo, SD-WANs IPsec, é uma tarefa de configuração somente sob o controle do cliente, fornecendo mais autonomia e flexibilidade. Contanto que você tenha bastante largura de banda na Internet, tudo é possível. O SD-WAN também se beneficia da inovação e dos esforços em modelos de orquestração, ergonomia e interfaces gráficas modernas, tornando a experiência de configuração leve e fácil.
Aproveitando a multilocação
Junto com o conceito de SDN, vem a necessidade de multilocação. O MPLS-VPN trouxe a separação de roteamento, uma arquitetura padronizada e interoperável que isola vários clientes em contextos. Da mesma forma, fornecedores e colaboradores de código aberto implementaram a separação de roteamento em firewalls e sistemas operacionais. A maioria dos dispositivos SD-WAN tem técnicas proprietárias semelhantes e estende segmentos separados por meio de túneis IPsec.
Além de separar o roteamento, a multilocação fornece uma instância de serviço completa para vários clientes: interfaces de gerenciamento e APIs, aplicativos de camadas mais altas e segurança. Ele permite a abstração do hardware e dos sistemas operacionais para provisionamento instantâneo, independência geográfica e elasticidade. A implementação de uma verdadeira multilocação exige o domínio da arquitetura e da orquestração do computador para criar um sistema eficaz e seguro. Na última década, centenas de engenheiros da plataforma Netskope investiram sua energia nas especificidades dessas tecnologias para criar a estrutura do NewEdge.
A ascensão dos serviços de segurança na nuvem
Embora os serviços de segurança sejam executados em hardware dedicado nos locais remotos dos clientes e em seus data centers, a multilocação permite que eles sejam executados na nuvem. Ele vem com todas as vantagens conhecidas que soluções de nuvem bem projetadas trazem:
- Melhoramentos contínuos
- Scalability
- Redundância
- Desempenho — proximidade
- Observabilidade
- Tranquilidade (serviço gerenciado 24 horas por dia, 7 dias por semana)
SASE para os usuários corporativos
Por que a SASE está ultrapassando a segurança de perímetro?
- Em primeiro lugar, o SASE fornece os serviços que um departamento de TI do cliente não poderia criar com os melhores equipamentos dedicados, software e qualquer complexidade. De fato, a prevenção de perda de dados (DLP), a proteção contra ameaças e malware exigem modelos de nuvem com ativação de API central e computação de alto desempenho, que são pouco escaláveis em um modelo descentralizado baseado em firewall.
- Em segundo lugar, eles estão disponíveis em qualquer lugar com maior desempenho do que se estivéssemos trombando em um data center de clientes.
Se parássemos por aqui, poderíamos imaginar um mundo em que as redes locais se tornaram uma mercadoria simples. Eles isolam e segmentam os dispositivos uns dos outros em todas as camadas, e todas as suas comunicações fluem por meio da plataforma SASE. Para usuários (humanos), isso é 100% correto.
No entanto, a infraestrutura de TI também tem outros tipos de máquinas para as quais a conectividade privada e com a Internet é essencial. Como isso funciona, então?
Integração de IoT, dispositivos legados e redes não gerenciadas com SASE
No SASE, os usuários se conectam à plataforma de segurança em nuvem com um cliente integrado ao seu sistema operacional. Dentro do perímetro da empresa, alguns dispositivos não podem integrar o mesmo cliente inteligente. Às vezes, eles também operam conectividade entre si dentro da localização geográfica ou com o data center. Nesses casos, a conectividade privada é fornecida por meio de malhas IPsec pela Internet em um modelo SD-WAN, complementado pela estrutura de segurança SSE com:
- Servidores locais
- IoT industrial, médica e qualquer IoT sensível
- Casos de uso antigos, impressoras, por exemplo
- Dispositivos não gerenciados e Wi-Fi Guests
Olhando para o futuro
Com a Internet como uma rede de tráfego estável e de alto desempenho, a adoção incontestável de aplicativos SaaS e a maturidade das nuvens de segurança multilocatário, as empresas agora podem conectar os usuários de forma contínua e segura, marcando uma mudança em relação às redes corporativas tradicionais. Embora alguns casos de uso ainda exijam controle de perímetro e os firewalls de perímetro continuem sendo necessários para o roteamento do campus, o SASE, incluindo dispositivos SD-WAN, oferece a solução mais flexível para usuários corporativos, bem como para dispositivos fixos e não gerenciados.
O impulso por trás do SASE continua a crescer, marcando uma mudança fundamental na forma como os departamentos de TI conectam e protegem suas redes.
Fique ligado na minha próxima postagem no blog, onde discutiremos a arquitetura, a disponibilidade e o desempenho da Internet.
Junte-se a nós em SASE Week 2024 para explorar as últimas novidades em SASE e Zero Trust e saber como aprimorar a estratégia de segurança e transformação de rede de sua organização. Não perca a mesa redonda "SASE for Networkers: Achieving Network Security Without Performance Trade-offs" em 25 de setembro, onde os clientes compartilharão suas jornadas de transformação digital em direção ao SASE