Quando se trata de segurança de rede, todos estão embarcando no trem do SASE (Secure Access Service Edge).
E com um ótimo motivo: O modelo arquitetônico do SASE é ideal para dar suporte às necessidades consolidadas de rede e segurança de todos os XaaS.
Atender às necessidades arquitetônicas que priorizam a nuvem é um dos principais padrões de design de WAN e tem sido um dos principais impulsionadores da adoção da SD-WAN.
As arquiteturas de nuvem não se adaptam às regras tradicionais de design de WAN, que roteavam todo o tráfego de volta para a sede ou para o DC privado.
As soluções de SD-WAN de primeira geração permitiam mais flexibilidade ao possibilitar a quebra da Internet local, mas isso representa apenas um recurso muito básico e sem corte que não oferece uma verdadeira otimização.
Ele simplesmente passa a bola para a conectividade básica da Internet pública sem nenhuma garantia de qualquer outra melhoria além da otimização de custos, embora com a desvantagem do desempenho imprevisível.
Além disso, assim que um arquiteto de rede habilita o recurso de breakout local para a Internet pública em qualquer local, a postura de segurança deve crescer em escopo para impedir novas ameaças, dada a expansão da superfície de ataque.
No entanto, há abordagens arquitetônicas distintas para lidar com isso:
- Heavy Branch: Fornece segurança de última geração na própria filial com um firewall de próxima geração (NGFW).
O “heavy branch” oferece recursos avançados de rede e segurança que, idealmente, são integrados em um único dispositivo na borda, reduzindo assim a tradicional “proliferação de dispositivos”.
A implementação ideal da filial pesada exige um CPE de filial consolidado que aproveite a tecnologia de virtualização para fornecer recursos avançados de rede e NGFW como VNFs (funções de rede virtual). - Nuvem pesada: Esse modelo reconhece o fato de que o tráfego de aplicativos de muitas empresas foi transferido para a nuvem, então por que não encaminhar todo o tráfego da filial para um serviço de segurança na nuvem?
Isso requer apenas uma política de encaminhamento muito básica na filial, e o serviço de segurança na nuvem assume o controle a partir daí.
Uma pesquisa do ONUG, realizada em 2019, estabeleceu que mais de 65% dos arquitetos de rede ainda favoreciam um modelo de segurança de filial pesada, embora o fato de quase 30% favorecerem um modelo de segurança centrado na nuvem mostre claramente que uma mudança está em vigor.
No entanto, ao analisar o desafio emergente da arquitetura de segurança de forma binária, colocando a religião tecnológica em primeiro lugar, perde-se de vista o fato de que, embora muitos arquitetos corporativos vislumbrem uma arquitetura que prioriza a nuvem, pouquíssimos migraram para uma arquitetura somente na nuvem.
E muitas empresas sempre permanecerão com um modelo de nuvem híbrida que combina XaaS pública com elementos de nuvem privada.
Isso também exige uma abordagem híbrida para sua arquitetura de segurança de rede: uma abordagem combinada que mescla alguns elementos avançados de segurança de filial com vários elementos de segurança incorporados à nuvem.
O modelo de arquitetura SASE conclui que isso requer, de forma ideal, uma postura de segurança de “filial leve” combinada com serviços de segurança fornecidos na “nuvem pesada”.
A SASE exige funções avançadas de rede, como reconhecimento e otimização avançados de aplicativos e uma série completa de outros recursos.
Mas aqui está o problema: Até mesmo a Gartner, a fábrica de liderança de pensamento que nos trouxe o conceito de SASE, reconhece que a SASE não se tornará realmente popular por mais 3 a 5 anos.
Ouvimos o barulho inevitável de muitos fornecedores que afirmam ter SASE agora, assim como a AT&T Wireless afirma estar fornecendo 5G há mais de um ano.
Sou cliente fiel da AT&T Wireless há mais de 20 anos, mas a alegação deles é tão imprecisa quanto a dos fornecedores de SD-WAN que afirmam que já oferecem suporte à SASE.
Quando olhamos para a realidade, o simples fato é que as necessidades de segurança das empresas neste momento exigem o poder da escolha.
A capacidade de personalizar uma solução para as necessidades existentes – aqui e agora – e, ao mesmo tempo, manter a capacidade de migrar suavemente para uma arquitetura de destino SASE com o tempo, à medida que essa pilha de tecnologia prevista realmente emerge como uma solução convergente e fácil de gerenciar que as empresas podem implantar com a facilidade das soluções X-as-a-Service – uma abordagem que revolucionou a computação e o fornecimento de aplicativos, mas que ainda escapa ao mundo das redes.
As empresas precisam do poder de escolha porque têm necessidades arquitetônicas e/ou regulamentares muito específicas.
A estratégia de segurança da Aryaka sempre girou em torno de oferecer o poder de escolha:
- Modelos de arquitetura Branch-heavy ou Cloud-heavy ou uma combinação personalizável dos mesmos.
- Parcerias de tecnologia de ponta com líderes do setor de segurança.
- Oferecendo um modelo gerenciado opcional (muito popular) que proporciona simplicidade de implementação e o melhor retorno sobre o investimento em tecnologia, pois todos os recursos avançados são configurados e mantidos por especialistas de domínio da Aryaka, tornando as soluções complexas de rede e segurança tão fáceis de consumir quanto os serviços XaaS.
Agora vamos à melhor parte: hoje, estamos anunciando nossa parceria tecnológica com a Check Point.
Com a família Check Point CloudGuard, agora temos soluções líderes do setor para todas as abordagens de segurança que apresentamos acima:
- O CloudGuard Edge oferece suporte a uma abordagem de segurança que prioriza as filiais, executada como uma função de rede virtual (VNF) no CPE ANAP da Aryaka, e combina os recursos avançados de rede da Aryaka com os principais recursos de NGFW do CloudGuard Edge.
- O CloudGuard Connect oferece um modelo de implantação de segurança centrado na nuvem.
O CPE ANAP da Aryaka encaminha o tráfego para a nuvem de segurança do Check Point CloudGuard Connect por meio de políticas de encaminhamento simples.
Assim, as empresas podem combinar os melhores recursos de rede da Aryaka, que priorizam a nuvem, com a arquitetura de segurança mais adequada às suas necessidades.
Imediatamente, os clientes do mundo real aprovam a abordagem, como mostra nosso comunicado à imprensa.
Melhor ainda, essa abordagem se oferece para proporcionar uma migração perfeita dos modelos de segurança de filiais pesadas, ainda predominantes, para modelos de filiais leves/cloud pesada no futuro, à medida que as empresas embarcam na adoção de padrões de arquitetura de segurança SASE.
Estamos muito animados em colaborar com a Check Point e fornecer às empresas a abordagem fácil de consumir e personalizada para os recursos de rede e segurança de que precisam, à medida que inevitavelmente transformam suas infraestruturas de WAN para se tornarem Cloud-First.
Sobre o autor
Paul é diretor da equipe de marketing de produtos da Aryaka.
Paul tem mais de 20 anos de experiência em marketing de produtos, gerenciamento de produtos, engenharia de vendas, desenvolvimento de negócios e engenharia de software na Cisco, LiveAction, Bivio Networks e StrataCom.
Paul gosta de mergulho, motocicletas, projetos de software aberto e pintura a óleo.
Gokul é diretor da equipe de gerenciamento de produtos da Aryaka.
Ele tem mais de 12 anos de experiência em gerenciamento de produtos e engenharia de software em diversos domínios de segurança, rede, SD-WAN e virtualização de rede.
