Com autenticação estrita imposta por microssegmentação, o perímetro definido por software pode oferecer suporte ao Zero Trust Network Access.
Um número crescente de organizações está traçando uma linha invisível em torno de seus recursos conectados à Internet em um esforço para manter os invasores afastados. Chamado de perímetro definido por software (SDP), ele se baseia na ideia relativamente simples de criar uma barreira virtual em torno de servidores, roteadores, impressoras e outros componentes de rede corporativa.
O objetivo do perímetro definido por software é proteger as redes por trás de um perímetro flexível baseado em software. “As vantagens incluem maior segurança e maior flexibilidade e consistência”, diz Ron Howell, principal arquiteto de SD-WAN e SASE da empresa de consultoria de negócios e TI Capgemini Americas.
Ele pode lidar com desafios de segurança que se tornaram mais complexos com o advento de aplicativos criados a partir de microsserviços que podem ser hospedados em mais de um servidor, em vez de aplicativos monolíticos tradicionais que geralmente residiam em um servidor dedicado.
“Mais recentemente, os aplicativos foram ainda mais modularizados – eles agora são compostos por vários tipos de carga de trabalho e microsserviços no data center da organização ou na nuvem pública”, diz Chad Skipper, tecnólogo de segurança global da VMware.
O que é um perímetro definido por software?
A estrutura de perímetro definido por software ofusca servidores ou nós, normalmente em uma rede interna, diz Chalan Aras, diretor administrativo de riscos cibernéticos e estratégicos da empresa de consultoria empresarial Deloitte. “O perímetro definido por software usa identidade e outros métodos de comprovação para permitir visibilidade e conectividade com nós de rede ou servidores em uma base de privilégio mínimo ou necessidade de acesso.”
Portanto, um perímetro definido por software é projetado especificamente para evitar que elementos de infraestrutura sejam visualizados externamente. Hardwares, como roteadores, servidores, impressoras e praticamente qualquer outra coisa conectada à rede corporativa que também estejam vinculadas à Internet, ficam ocultos para todos os usuários não autenticados e não autorizados, independentemente de a infraestrutura estar na nuvem ou no local.
“Isso impede que usuários ilegítimos acessem a própria rede autenticando primeiro e permitindo o acesso em segundo lugar”, diz John Henley, consultor principal de segurança cibernética da empresa de consultoria em pesquisa tecnológica ISG. “O perímetro definido por software não apenas autentica o usuário, mas também o dispositivo que está sendo usado.
Benefícios do perímetro definido por software
Quando comparado com as abordagens tradicionais de perímetro fixo, como firewalls, o perímetro definido por software oferece segurança bastante aprimorada. Como os perímetros definidos por software limitam automaticamente o acesso dos usuários autenticados a segmentos de rede estritamente definidos, o restante da rede é protegido caso uma identidade autorizada seja comprometida por um invasor. “Isso também oferece proteção contra ataques laterais, pois mesmo que um invasor obtivesse acesso, ele não seria capaz de escanear para localizar outros serviços”, diz Skipper.
O benefício central do perímetro definido por software é simples: criar um nível mais alto de proteção de rede. “O SDP tem sido fundamental na proteção das empresas contra muitos vetores de ataque diferentes, incluindo negação de serviço, força bruta, roubo de credenciais, man-in-the-middle, exploração de servidor e sequestro de sessão”, diz Henley. Outros benefícios do SDP incluem controles de acesso reforçados e simplificados, superfícies de ataque reduzidas, gerenciamento de políticas simplificado e uma experiência de usuário final geralmente aprimorada.
Como o perímetro definido por software pode ser configurado dinamicamente, ele é adequado para proteger ambientes que mudam rapidamente, como usuários corporativos acessando aplicativos ou ambientes de aplicativos com muitos microsserviços que são gerados, dimensionados ou encerrados em tempo real, diz Aras.
Como funciona um perímetro definido por software
Um perímetro definido por software valida usuários e aplicativos autenticando-os antes de conectá-los a partes granularmente limitadas da rede. Essa microssegmentação, criada pelo remapeamento de espaços de endereço DNS e IP, fornece aos usuários autorizados o acesso de que precisam, negando-lhes acesso a recursos que não precisam. Isso cria essencialmente redes individuais, cada uma com um número limitado de nós; portanto, se os maus atores conseguirem obter acesso, os danos que causarão poderão ser limitados.
O central para a arquitetura de perímetro definido por software é o controlador, software que facilita a conexão de usuários e dispositivos que estão buscando acesso (hosts de iniciação) com os recursos que procuram, como aplicativos e servidores (hosts de aceitação). O controlador autentica o host inicial e determina a lista de hosts aceitos com os quais ele tem permissão para se conectar. O controlador instrui todos os hosts autorizados a aceitar comunicações do host inicial e compartilha a lista com o host inicial. Os hosts iniciadores podem então criar conexões VPN diretas com os hosts aceitantes.
Exemplos de host de aceitação
Em alguns casos, o host de aceitação é um gateway que atua como um proxy entre o host inicial e vários recursos com os quais ele procura se conectar. Em outros casos, um SDP pode ser configurado entre dois servidores que precisam se comunicar como aplicativos modernos construídos em torno de microsserviços.
Conectores e proxies, termos frequentemente usados de forma intercambiável, podem ficar na frente dos servidores para bloquear o acesso a eles. Eles conectam dois domínios de rede e executam funções de rede, como roteamento, tradução de endereços de rede e balanceamento de carga para direcionar o tráfego de um usuário ou aplicativo para outro, diz Arras.
Em contextos de microsserviços, o proxy pode ser integrado à malha de microsserviços, como no caso do proxy envoy, um proxy de borda de código aberto usado em microsserviços. Em uma malha de serviço do Istio, por exemplo, o proxy envoy pode ser usado para conectar microsserviços para que os miniaplicativos possam se comunicar com segurança entre si em uma malha de serviço de código aberto que se sobrepõe de forma transparente aos aplicativos distribuídos existentes, diz Aras.
Acesso à rede de confiança zero
Por causa de sua autenticação estrita e acesso à rede fortemente restrito, o perímetro definido por software é uma parte vital do Zero Trust Network Access (ZTNA), que se baseia na premissa de que nenhum dispositivo é realmente seguro. “Não há mais perímetro seguro devido a mudanças na força de trabalho, aplicativos baseados em microsserviços que podem espalhar componentes praticamente em qualquer lugar e a natureza cada vez mais colaborativa dos processos de negócios”, diz Skipper, “Não há dispositivo seguro: sem smartphone, sem desktop – ponto final .”
O endereçamento do ZTNA requer acesso à rede rigidamente controlado e autorização limitada, e o SDP é um bom ponto de partida. “O perímetro definido por software ajuda os usuários a se autenticarem adequadamente antes que o acesso seja fornecido, e apenas para aplicativos aos quais esses usuários receberam acesso”, diz Henley.
Henley estima que existam mais de 20 fornecedores atualmente oferecendo produtos SDP, incluindo Akamai (Enterprise Application Access), Cisco (Duo Beyond), Ivanti (Ivanti Neurons for Secure Access), McAfee (MVISION Private Access), Netmotion (NetMotion SDP), Verizon (Perímetro Definido por Software da Verizon) e Versa (Cliente de Acesso Seguro Versa).
A implantação do perímetro definido por software também não isenta as empresas da responsabilidade de manter as práticas de segurança existentes. “Não importa quais tecnologias de segurança sua organização implemente, ou como eles podem ser chamados, saber quais são seus dados importantes e onde eles estão localizados é a chave para saber como protegê-los”, diz Jaworski.
Atenção
Lembre-se, também, que a implantação do perímetro definido por software não é um negócio feito uma vez e feito. “É importante que as organizações monitorem e atualizem ativamente o software parímetro definido por software conforme necessário”, aconselha Jaworski. “Além disso, testes devem ser realizados para garantir que o software não vaze e permita o acesso aos recursos protegidos.”
De qualquer forma, para garabtir a segurança do seu ngócio, vale investir em uma empresa de TI especializada.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.