Tentar proteger o ambiente empresarial cada vez no dia de hoje não é uma tarefa fácil. Os funcionários usam seus próprios dispositivos para acessar aplicativos críticos de negócios implantados em ambientes multinuvem e ativos corporativos locais em casa, no escritório e em trânsito. Muitas organizações estão gerenciando ecossistemas complexos que são cada vez mais difíceis de defender. E o problema é agravado quando as organizações tentam contar com uma série de ferramentas de segurança rígidas e desatualizadas.
Para dar suporte ao trabalho de qualquer lugar, as organizações usam SD-WAN e ferramentas que suportam o modelo de segurança de rede de zero-trust (confiança zero), particularmente o Zero Trust Network Access (ZTNA), que é usado para proteger o acesso a aplicativos. Em alto nível, a confiança zero baseia-se no princípio de que um usuário ou dispositivo só pode ser confiável após a confirmação explícita de sua identidade e status. Ele se concentra em usuários, dispositivos e recursos específicos que estão sendo acessados, utilizando segmentação e zonas de controle. Cada solicitação de acesso deve ser autorizada e verificada continuamente. Mesmo depois de receberem acesso, os usuários e dispositivos só podem acessar os recursos necessários para fazer seu trabalho e nada mais além disso.
A necessidade de proteger o acesso 24/7 e de praticamente qualquer lugar significa que a ZTNA se tornou crucial para quase todas as estratégias de segurança. Uma implementação abrangente de confiança zero precisa cobrir tudo e todos, não importa onde eles estejam localizados. E com as arquiteturas de TI híbridas, o ZTNA provavelmente não irá sair do mercado tão cedo, é fundamental uma abordagem de segurança cibernética que ofereça suporte tanto na nuvem quanto localmente.
Como funciona o ZTNA
Ao contrário de uma VPN, que pressupõe que qualquer coisa que passe pelos controles de perímetro da rede usando uma conexão criptografada pode ser confiável, a ZTNA adota a abordagem oposta: nenhum usuário ou dispositivo pode ser confiável para acessar qualquer coisa até que se prove o contrário. Em alto nível, a ZTNA tem três etapas. O primeiro é um agente do cliente no dispositivo do funcionário. O segundo é um mecanismo de política que determina se a pessoa tem permissão de acesso e o que ela pode acessar. A política de acesso ao aplicativo ZTNA e o processo de verificação são os mesmos, quer os usuários estejam dentro ou fora da rede.
A parte final é a parte de execução, que precisa acontecer o mais próximo possível da aplicação. Depois que um usuário fornece as credenciais de acesso apropriadas, ele recebe o que é conhecido como acesso menos privilegiado, o que significa que a pessoa pode acessar apenas os aplicativos necessários para realizar seu trabalho e nada mais. A ZTNA opera em termos de identidade em vez de garantir um lugar na rede, o que permite que as políticas sigam aplicativos e outras transações de ponta a ponta.
ZTNA não é apenas para acesso à nuvem
A implementação do ZTNA de muitos fornecedores é limitada a aplicativos baseados em nuvem, mas o ZTNA somente em nuvem não funciona para as organizações que possuem uma combinação de nuvem híbrida e aplicativos locais.
Do ponto de vista de TI, configurar o ZTNA baseado em cliente oferece melhor visibilidade e controle de dispositivos, e você pode executar firewall de aplicativos dentro do agente. Portanto, se um problema de segurança for detectado, um arquivo poderá ser enviado para a sandbox ou a quarentena poderá ser solicitada.
Há também um aspecto de desempenho. Alguns fornecedores fazem a aplicação de sua nuvem, o que pode funcionar para determinados aplicativos SaaS, mas não é ótimo se você estiver acessando recursos em um data center. Nesse caso, o tráfego precisa voltar ao data center para fazer a aplicação ou é local com computação de borda.
Uma abordagem melhor é ter a imposição integrada ao firewall, que é distribuído por toda a rede por meio de dispositivos ou máquinas virtuais. Este design oferece vantagens significativas do ponto de vista da eficiência.
Todos os firewalls não são criados iguais
Alguns fornecedores proclamaram que os firewalls ou mesmo toda a rede estão “mortos”. Ou eles dirão que você não pode colocar muito no firewall porque isso prejudicará o desempenho. Mas depende inteiramente do firewall. Um FortiGate pode executar a segurança Next Generation Firewall (NGFW), ZTNA, um controlador de ponto de acesso, controladores 5G e SD-WAN, o que significa que você tem um dispositivo, não cinco, e ainda oferece melhor desempenho do que as ofertas concorrentes.
Os firewalls legados baseados em CPUs genéricas disponíveis comercialmente não podem lidar com vários aplicativos, mas os NGFWs Fortinet FortiGate podem executar o ZTNA de maneira rápida e eficiente. A ZTNA pode ficar em um FortiGate em uma filial e executar a imposição de proxy lá. Como exemplo dessa arquitetura de filial, alguns varejistas agora estão colocando computação de ponta em seus pontos de venda.
As redes estão muito vivas, mesmo em ambientes centrados na nuvem. A segurança deve ser perfeitamente convergente com a rede subjacente para permitir proteções que possam se adaptar dinamicamente a uma rede em constante mudança. Nesse ambiente, o firewall de rede se torna a base de uma plataforma convergente de segurança e rede.
Para fornecer desempenho excepcional para funções de segurança e rede, a Fortinet usa ASICs personalizados que oferecem uma média de 15 vezes mais desempenho pelo mesmo preço de soluções concorrentes. A mesma base de código de engenharia que permite esses processadores de segurança física (SPUs) também permite a entrega de chips virtuais (vSPUs) que fornecem aceleração semelhante em implantações de nuvem privada e pública.
Convergência de rede e segurança
Para se adaptar às mudanças na força de trabalho e no cenário de ameaças, as organizações precisam de rede e segurança convergentes consistentes que estejam disponíveis no local e na nuvem. Tentar fundir outra solução pontual em uma situação de rede já complexa é, na melhor das hipóteses, confuso. Mas o Fortinet ZTNA fornece acesso a aplicativos e verificação contínua de usuários com aplicação disponível em todos os lugares usando o NGFW que você já pode ter. Hoje, os usuários precisam de acesso a todos os seus aplicativos, não importa onde o aplicativo ou o usuário estejam localizados. A ZTNA deve estar em todos os lugares com tudo protegido por meio de políticas e controles consistentes em todos os ambientes operacionais, incluindo locais e na nuvem.
REFERÊNCIAS:
https://www.fortinet.com/blog/business-and-technology/why-ztna-in-the-cloud-isnt-enough
https://www.fortinet.com/products/sd-wan.html?utm_source=blog&utm_campaign=sd-wan-web