Processos compartilhados para tecnologias de segurança em nível de pacote
As tecnologias de rede e segurança no nível do pacote, como firewalls de inspeção com estado, IPSEC e balanceamento de carga, impõem demandas computacionais menores em termos do número de ciclos de CPU necessários para cada pacote.
Além disso, o processamento por pacote é altamente consistente, simplificando a previsão de desempenho.
No cenário atual, as funções de segurança (por exemplo, FWaaS) são fornecidas como serviços por provedores de serviços que implantam essas funções na nuvem/pontos de presença (PoPs).
Para atender a vários locatários, as implementações da tecnologia de segurança subjacente utilizam um modelo de locação de roteamento e encaminhamento virtual (VRF).
Nesse modelo, o tráfego de vários locatários atravessa o mesmo dispositivo de segurança ou contêiner/processo, resolvendo com eficácia os desafios relacionados à sobreposição de endereços IP entre os locatários.
O tráfego do locatário é identificado por meio de interfaces de túnel ou outros mecanismos, e configurações específicas adaptadas a cada locatário, como políticas de segurança específicas do locatário, são aplicadas de acordo.
Para atenuar qualquer problema potencial de “vizinho barulhento”, a limitação da taxa de pacotes é aplicada no ingresso por locatário.
Essa estratégia garante que o desempenho da segurança de cada locatário individual não seja afetado pelas atividades de outros locatários potencialmente problemáticos.
Dado o processamento consistente por pacote, a limitação de taxa se mostra eficaz para garantir um tratamento de processamento equitativo para todos os locatários.
Outra preocupação importante para as organizações é o possível vazamento de dados confidenciais resultante da exploração de vulnerabilidades em processos ou contêineres compartilhados por pacotes mal-intencionados de outros locatários.
Um argumento frequentemente apresentado pelos provedores de serviços de segurança é que o processamento por pacote é simples, reduzindo a probabilidade de vulnerabilidades e a exploração correspondente.
De fato, é verdade que as tecnologias de segurança em nível de pacote são mais simples, e esse argumento tem alguma validade.
Os dois desafios mencionados anteriormente, ou seja, o problema do “vizinho barulhento” e as “vulnerabilidades de recursos compartilhados”, podem não representar problemas significativos para as tecnologias de segurança em nível de pacote que utilizam processos compartilhados.
No entanto, acreditamos que esses desafios podem ser mais pronunciados e substanciais para as tecnologias de segurança SASE (Secure Access Service Edge) ou SSE (Secure Service Edge).
Distinguindo a segurança SASE/SSE das tecnologias e desafios de segurança em nível de pacote
As tecnologias de segurança SASE/SSE (Secure Access Service Edge/Secure Service Edge) transcendem a segurança tradicional em nível de pacote, oferecendo um conjunto abrangente de recursos:
- Funções de segurança abrangentes: O SASE/SSE engloba uma ampla gama de funções de segurança, incluindo IDPS (Intrusion Detection and Prevention), DNS Security, SWG (Secure Web Gateway), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) com firewall de reputação de IP/URL/Domínio/Arquivo, controle de acesso com atributos profundos no nível do tráfego, como URI, cabeçalhos de solicitação, cabeçalhos de resposta, antimalware e DLP (Data Leak Prevention).
O Zero Trust Networking (ZTN) no SASE/SSE é fundamental, garantindo o acesso somente mediante autenticação e autorização do usuário, com controle granular sobre os recursos do aplicativo, considerando a identidade e o contexto do dispositivo. - Inspeção profunda de conteúdo: O núcleo da segurança SASE/SSE está na inspeção profunda de conteúdo.
Utilizando proxies que gerenciam conexões de clientes, iniciam conexões de servidores, descriptografam fluxos, extraem dados relevantes do tráfego, executam funções de segurança e impedem a transmissão de conteúdo malicioso.
Agora, vamos nos aprofundar nas diferenças de execução entre o SASE/SSE e as tecnologias de segurança em nível de pacote:
- Mudança do processamento por pacote para o processamento baseado em sessão: No contexto do SASE/SSE, a execução da segurança não opera mais no nível por pacote, mas sim no nível dos fluxos de sessão de tráfego.
Ao contrário das tecnologias por pacote, há uma variabilidade no número de ciclos de computação usados no processamento de segurança SASE/SSE entre os locatários, pelos seguintes motivos:- As funções de segurança aplicadas ao fluxo de tráfego podem variar entre os locatários.
- Mesmo quando funções de segurança semelhantes são aplicadas, a natureza dos dados que estão sendo trocados pode exigir um processamento mais intenso.
Por exemplo, considere os cenários que envolvem o Anti-Malware e o DLP, que exigem a extração de texto de vários tipos de arquivos, a descompactação de arquivos transferidos, a separação de coleções de arquivos e muito mais.
Alguns locatários podem transferir arquivos compactados, o que resulta em processamento extensivo, afetando a taxa de transferência e a latência de outros locatários.
O ruído gerado por um determinado locatário, seja devido a uma infecção ou a um alto tráfego comercial durante um evento significativo, pode afetar o desempenho do tráfego de outros locatários.
- Processamento de segurança complexo: O processamento de segurança do SASE/SSE é intrincado por natureza, muitas vezes incorporando várias bibliotecas, inclusive componentes de terceiros e de código aberto.
Eles abrangem funções como clientes OIDC (OpenID Connect), clientes Kerberos, clientes SAMLv2 para autenticação, mecanismos de políticas complexas para aplicação, SDKs de provedores de inteligência contra ameaças, extração de dados, decodificação JSON/XML, decodificação base64, mecanismos de descompressão de dados e extração de texto por meio de projetos de código aberto como o Tika, entre outros para segurança no nível de dados, como antimalware e DLP.
Essa complexidade aumenta a superfície de ataque para possível exploração.
Embora os provedores de SASE/SSE priorizem a resolução rápida das vulnerabilidades, pode haver um intervalo de tempo entre a exploração e a resolução.
Quando processos compartilhados são empregados para vários locatários, os invasores podem explorar vulnerabilidades e acessar informações confidenciais não apenas do locatário pretendido, mas também de todos os dados dos locatários que compartilham esse contexto de execução. - Traga sua própria função de segurança: Embora os serviços SASE/SSE ofereçam recursos de segurança abrangentes prontos para uso, eles também oferecem às organizações a flexibilidade de introduzir suas funções de segurança personalizadas usando módulos Lua ou módulos WebAssembly (WASM).
Entretanto, nesses casos, os processos compartilhados representam desafios significativos, pois podem levar à exfiltração de dados de outros locatários se não forem gerenciados com cuidado.
Abordar essa preocupação torna-se mais complexo quando são empregados processos compartilhados, e sempre pode haver maneiras possíveis de burlar esses controles.
Em resumo, a segurança SASE/SSE oferece uma estrutura de segurança abrangente que vai além da segurança no nível do pacote, mas introduz complexidades e desafios relacionados ao uso variável da computação, ao processamento complexo e aos recursos compartilhados.
Manter uma segurança robusta em tais ambientes é fundamental para proteger contra desafios de desempenho e violações de dados e de privacidade.
Busque soluções SASE/SSE que ofereçam isolamento de execução
As organizações, sem dúvida, valorizam a lógica por trás dos provedores de SASE/SSE que empregam processos compartilhados para vários locatários.
Essa abordagem utiliza de forma eficiente os recursos de computação entre os locatários, contribuindo para a sustentabilidade e a relação custo-benefício.
Os provedores de serviços podem, por sua vez, repassar essa economia de custos aos seus clientes.
No entanto, alguns segmentos do setor relutam em aceitar os riscos de segurança associados à arquitetura multitenancy e aos processos compartilhados.
Algumas organizações podem prever necessidades futuras de uma abordagem mais avessa a riscos.
Nesses casos, as organizações devem buscar serviços de SASE/SSE que ofereçam flexibilidade, fornecendo opções para processos compartilhados e processos/contêineres dedicados.
Contextos de execução dedicados com processos/contêineres dedicados para o processamento de tráfego podem abordar com eficácia os desafios descritos na seção anterior:
- Isolamento do desempenho: A obtenção de um desempenho determinístico torna-se viável sem preocupações com “locatários barulhentos”.
Com um contexto de execução dedicado, é relativamente simples alocar recursos de computação dedicados a locatários individuais.
Também é possível configurar limites de recursos de vizinhos barulhentos que usam todos os recursos nos nós de computação. - Isolamento de segurança: Um contexto de execução dedicado garante que qualquer intenção mal-intencionada ou ameaças internas que tentem explorar os serviços SASE/SSE de um locatário não levarão ao vazamento de dados para os locatários que optarem por contextos de execução dedicados.
- Sem preocupações “Traga sua própria função de segurança”: Um contexto de execução dedicado garante, sem dúvida, que os scripts Lua/módulos WASM sejam executados exclusivamente em processos dedicados.
Consequentemente, quaisquer desafios de processamento ou exfiltração de dados ficam restritos ao locatário que traz suas funções de segurança personalizadas, proporcionando tranquilidade para outros locatários nesse sentido, se os provedores de serviços habilitarem esse recurso somente para processos dedicados.
Antecipando necessidades futuras: A importância da computação confidencial
Ao olharmos para o futuro, algumas organizações estão se tornando cada vez mais conscientes da importância crescente da computação confidencial.
Essa conscientização é particularmente relevante no contexto da inspeção TLS e do gerenciamento de vários dados confidenciais, inclusive segredos e senhas, nos serviços SASE/SSE.
Uma preocupação recorrente gira em torno da possibilidade de que o pessoal com acesso à infraestrutura do servidor, incluindo a equipe do provedor de serviços, possa obter acesso não autorizado à memória de processos e contêineres.
Além disso, mesmo os invasores que conseguem explorar os sistemas operacionais do servidor podem violar a memória desses contêineres e processos.
Essa preocupação se torna mais acentuada em situações em que os serviços estão disponíveis em vários pontos de presença (POPs) em diferentes países com níveis variados de definições e implementações legais.
Os processadores modernos, como os equipados com o Intel Trust Domain Extensions (TDx), oferecem recursos avançados para execução confiável.
Essas tecnologias desempenham um papel fundamental para garantir que mesmo os administradores de infraestrutura ou invasores com privilégios elevados não consigam decifrar o conteúdo da memória, pois ele permanece criptografado com segurança pelo hardware TDx.
Os provedores de SASE/SSE que oferecem contextos de execução dedicados estão mais bem posicionados para oferecer esse recurso essencial de confidencialidade em comparação com outros.
Portanto, é altamente recomendável que as organizações considerem provedores que ofereçam a flexibilidade de processos compartilhados e contextos de execução dedicados.
Essa flexibilidade ajudará a preparar suas estratégias de mitigação de riscos para o futuro e garantirá o mais alto nível de segurança de dados em cenários em evolução.
-
Blog CTO Insights
A série de blogs Aryaka CTO Insights oferece liderança de pensamento para tópicos de rede, segurança e SASE.
Para obter as especificações dos produtos Aryaka, consulte as fichas técnicas da Aryaka.