Este blog faz parte da série contínua “I & O Perspectives”, que apresenta insights de especialistas do setor sobre o impacto das ameaças atuais, da rede e de outras tendências de segurança cibernética.
Ao assumir uma nova função na equipe de engenharia da plataforma Netskope, estou ansioso para explorar como a visão da nossa empresa molda a evolução da segurança de redes empresariais. Este primeiro artigo de uma série é uma prova da minha introspecção técnica, apresentando os antecedentes, os desafios e as necessidades que levaram ao SASE — Security Access Service Edge.
Ao longo do último quarto de século, as empresas gradualmente reconheceram a Internet como um meio confiável de transportar aplicações. O trabalho remoto acelerou ainda mais essa mudança, transformando o espaço de trabalho em um ambiente sem fronteiras. Juntamente com o aumento dos aplicativos SaaS corporativos, isso levou a uma nova era de conectividade.
No entanto, nesta nova era, a internet se tornou um vetor crítico para ameaças cibernéticas. À medida que as organizações dependem mais da Internet para se conectar, elas enfrentam uma maior exposição a ameaças sofisticadas, incluindo violações de dados, malware e ataques de phishing. O SASE surgiu como uma resposta às limitações dos modelos tradicionais de rede e segurança.
Com tudo isso em mente, vamos fazer uma viagem pela história recente das WANs para entender a direção que a segurança e a rede estão tomando.
Evolução da rede de área ampla moldando nosso presente e futuro
Em 2000, antes do estouro da bolha da Internet, a Cisco Systems tinha a maior capitalização de mercado em todo o mundo, permanecendo como líder inquestionável no setor de redes corporativas. Os produtos de segurança da Internet foram insignificantes nas declarações de receita da Cisco, contribuindo com apenas uma pequena fração de suas vendas. No geral, a cibersegurança ainda era um setor relativamente pequeno. As redes corporativas e a Internet costumavam existir como dois silos distintos, uma separação que inerentemente fornecia segurança sem a necessidade de criptografia.
Os backbones da rede de longa distância (WAN), que, por definição, eram executados em infraestrutura física privada, dependiam de linhas e protocolos ponto a ponto dedicados legados, como frame relay e ATM.
Além disso, as aplicações em nuvem não eram tão essenciais para as corporações. Além do e-mail, as comunicações eletrônicas e os recursos de TI eram principalmente privados.
Alguns pioneiros começaram a usar mais túneis IPsec de site a site para backup de WAN e descarregar tráfego de baixa prioridade pela Internet. Lembro-me de demonstrar essa implementação para uma grande corporação em 2002, mas não foi além de uma prova de conceito. Naquela época, a Internet de melhor esforço não era considerada elegível para transportar tráfego corporativo confidencial. Hoje, isso evoluiu com qualidade de serviço inteligente e orquestração em uma interface gráfica, representando a parte SD-WAN do SASE.
A rede privada virtual (VPN) Multiprotocol Label Switching (MPLS), uma solução genuína voltada para IP, foi a estrela em ascensão.
MPLS e VRF: aprimorando o roteamento IP e o isolamento de rede
O MPLS é um conjunto de protocolos de comutação central projetados para acelerar o roteamento IP. Ele combina as vantagens do IP e do caixa eletrônico.
Operadores e fornecedores de rede desenvolveram a aplicação VPN do MPLS para fornecer isolamento de rede na camada 3. Em uma rede MPLS-VPN, cada VPN é um contexto de roteamento privado. Os clientes compram um ou vários contextos de VPN para segregar seus ambientes de roteamento de WAN na mesma infraestrutura física.
O tráfego via MPLS-VPN geralmente não é criptografado e a rede é confiável. Na maioria dos casos, essas instâncias de VPN naturalmente se tornaram extensões de longo prazo das VLANs da rede local. Máquinas com o mesmo perfil de uso ficariam nos mesmos segmentos de LAN e VPNs.
O impacto dos SLAs na diferenciação do MPLS-VPN dos serviços de Internet
Para empresas (ou pelo menos seus departamentos jurídicos), a principal métrica de qualidade eram os SLAs e as penalidades que os acompanham. Em outras palavras, como as penalidades podem ser prejudiciais o suficiente para os prestadores de serviços cuidarem e igualarem uma qualidade de serviço decente?
Nas redes MPLS-VPN, a entrega de pacotes, os atrasos de ida e volta e a disponibilidade do serviço estão sujeitos aos SLAs. Por outro lado, a maioria dos serviços de Internet oferece apenas SLAs de tempo de restauração ou disponibilidade. Esses itens contratuais têm sido o principal argumento para as empresas de telecomunicações diferenciarem o MPLS-VPN do IPsec pela Internet.
Os SLAs não se aplicam quando o link é interrompido devido a um evento de força maior: desastres naturais, atos de guerra, ações governamentais e pandemias, entre outros. Por exemplo, se uma escavadeira cortar um cabo de fibra e mesmo que não seja considerada um evento de força maior, não faz diferença se o serviço é internet ou MPLS-VPN. Há apenas uma pequena chance de o provedor restaurar o link dentro do prazo do SLA.
Construindo redes resilientes e capazes: cumprindo os SLAs em meio a restrições complexas
Para apoiar os SLAs, a resiliência e o gerenciamen