Este blog faz parte da série contínua “I & O Perspectives”, que apresenta insights de especialistas do setor sobre o impacto das ameaças atuais, da rede e de outras tendências de segurança cibernética.
Na primeira parte desta série de blogs, observamos o início de um modelo baseado na Internet em que as redes corporativas não têm mais fronteiras, a casa é o escritório, as aplicações estão na nuvem.
Essa mudança de paradigma torna a conectividade onipresente. Mas os riscos de segurança aumentaram dramaticamente. Para que o SASE seja dimensionado e proteja todos os usuários, é necessária uma plataforma sólida. Na Netskope, criamos o NewEdge, uma plataforma criada especificamente para fornecer SSE e SD-WAN altamente disponíveis e rápidos. Vamos dar uma olhada nas tecnologias e designs que tornaram isso possível:
Internet versus MPLS-VPN
Diante das redes MPLS-VPN inflexíveis, mas compatíveis com SLA, está o desprezado gigante contorcionista, a internet.
Os provedores de conteúdo e nuvem têm sido muito ativos na criação de uma Internet na qual possam confiar. Na verdade, eles precisam de uma rede aberta e de alta qualidade para direcionar tráfego para as telas de seus clientes. Eles investem em cabos submarinos e operam uma infraestrutura de transporte que substitui algumas empresas de telecomunicações e redes de tráfego. Eles também patrocinaram massivamente iniciativas de interconexão, como instalações de troca de internet. As interconexões são essenciais e têm sido um assunto delicado. Por um lado, os ISPs investem maciçamente em suas infraestruturas de acesso. Por outro lado, os provedores de conteúdo precisam de acesso limpo a esses olhos (os consumidores). No meio, os provedores de tráfego público tentam ganhar dinheiro conectando as duas pontas. Como resultado, os interesses às vezes são conflitantes.
Houve algumas disputas em que alguns sentiram que não recebiam o suficiente pelo valor que estavam trazendo. Em maio de 2024, por exemplo, a Cogent removeu parte de sua conectividade com a Tata, já que os dois provedores de tráfego público não conseguiram encontrar um acordo para uma estratégia de interconexão equilibrada. Isso impactou as redes que dependiam fortemente desses provedores sem caminhos alternativos decentes.
Do lado da tecnologia, a óptica, os chips de encaminhamento e as melhorias no protocolo permitiram que a Internet atingisse níveis de largura de banda com orçamentos baixos. A generalização da telemetria habilitada por hardware ajudou imensamente na otimização de redes de alta largura de banda, como backbones da Internet.
Em 2012, em um empreendimento anterior, desenvolvemos um software de otimização de roteamento da Internet. Graças a bilhões de medições de desempenho, obtivemos a firme confirmação de que a Internet precisava de melhorias para maior disponibilidade e desempenho, principalmente em algumas áreas geográficas específicas ou sob condições de rede específicas. Assim como a Netskope, a maioria dos provedores de conteúdo e de nuvem desenvolveu sua própria estrutura de engenharia de tráfego BGP para aumentar a disponibilidade e o desempenho.
Graças às altas larguras de banda, colaborações entre pares e roteamento inteligente, os longos debates sobre qualidade de serviço, engenharia de tráfego e SLAs desapareceram.
A Netskope investiu centenas de milhões em sua plataforma, a NewEdge, e na estrutura de conectividade subjacente. Com a computação completa e todos os serviços de segurança disponíveis em mais de 75 regiões e mais de 100 centros, o NewEdge garante zero desvantagens de desempenho. Os usuários do Netskope se beneficiam da proximidade geográfica e da conectividade aprimorada de última milha por meio de vários caminhos de trânsito e peering denso.
SDN — Redes definidas por software (ou não)
Com o MPLS-VPN, a empresa de telecomunicações configura explicitamente o contexto de cada cliente e controla todas as configurações no backbone. Por outro lado, em uma estrutura SDN adequada, o cliente tem controle de configuração.
Houve tentativas de fornecer aos clientes UIs e APIs de autoatendimento para operar suas configurações e automatizar as configurações de redes principais. Além de controlar rigorosamente, não interferir com outros clientes e respeitar projetos restritos, isso também significa restringir as opções de configuração e implantações sofisticadas que somente os engenheiros de telecomunicações podem realizar manualmente. Finalmente, com backbones privados, o SDN permanece limitado pela infraestrutura subjacente.
Construir túneis como sobreposições na Internet, por exemplo, SD-WANs IPsec, é uma tarefa de configuração somente sob o controle do cliente, fornecendo mais autonomia e flexibilidade. Contanto que você tenha bastante largura de banda na Internet, tudo é possível. O SD-WAN também se beneficia da inovação e dos esforços em modelos de orquestração, ergonomia e interfaces gráficas modernas, tornando a experiência de configuração leve e fácil.
Aproveitando a multilocação
Junto com o conceito de SDN, vem a necessidade de multilocação. O MPLS-VPN trouxe a separação de roteamento, uma arquitetura padronizada e interoperável que isola vários clientes em contextos. Da mesma forma, fornecedores e colaboradores de código aberto implementaram a separação de roteamento em firewalls e sistemas operacionais. A maioria dos dispositivos SD-WAN tem técnicas proprietárias semelhantes e estende segmentos separados por meio de túneis IPsec.
Além de separar o roteamento, a multilocação fornece uma instância de serviço completa para vários clientes: interfaces de gerenciamento e APIs, aplicativos de camadas mais altas e segurança. Ele permite a abstração do hardware e dos sistemas operacionais para provisionamento instantâneo, independência geográfica e elasticidade. A implementação de uma verdadeira multilocação exige o domínio da arquitetura e da orquestração do computador para criar um sistema eficaz e seguro. Na última década, centenas de engenheiros da plataforma Netskope investiram sua energia nas especificidades dessas tecnologias para criar a estrutura do NewEdge.
A ascensão dos serviços de segurança na nuvem
Embora os serviços de segurança sejam executados em hardware dedicado nos locais remotos dos clientes e em seus data centers, a multilocação permite que eles sejam executados na nuvem. Ele vem com todas as vantagens conhecidas que soluções de nuvem bem projetadas trazem:
- Melhoramentos contínuos
- Scalability
- Redundância
- Desempenho — proximidade
- Observabilidade
- Tranquilidade (serviço gerenciado 24 horas por dia, 7 dias por semana)
SASE para os usuários corporativos
Por que a SASE está ultrapassando a segurança de perímetro?
- Em primeiro lugar, o SASE fornece os serviços que um departamento de TI do cliente não poderia criar com os melhores equipamentos dedicados, software e qualquer complexidade. De fato, a prevenção de perda de dados (DLP), a proteção contra ameaças e malware exigem modelos de nuvem com ativação de API central e computação de alto desempenho, que são pouco escaláveis em um modelo descentralizado baseado em firewall.
- Em segundo lugar, eles estão disponíveis em qualqu