Cíber segurança
Informações sobre gateways VPN corporativos
Para que servem os gateways VPN? Esta classe de soluções tem futuro? Quais parâmetros devem ser considerados ao proteger os canais de comunicação?
Muitas organizações estão experimentando uma necessidade urgente de proteger os dados transmitidos. A transição maciça para o trabalho remoto apenas fortaleceu essa tendência. O que determina a escolha de um gateway VPN — sua funcionalidade, preço ou disponibilidade dos certificados necessários? Vamos fazer uma análise aprofundada dessas questões.
Como um gateway VPN pode ser configurado
Quanto às opções práticas para o uso de gateways criptográficos, a proteção dos canais de comunicação por vídeo, a telemedicina e o acesso seguro aos portais oficiais do estado foram recentemente solicitados. Em geral, podemos falar sobre o cenário comum quando o usuário acessa recursos específicos. Este pode ser um canal de comunicação seguro com um sistema IDM, uma plataforma de nuvem ou um único ponto de entrada por meio do qual o roteamento para outros recursos é executado.
Tecnicamente, existem dois cenários para usar gateways criptográficos: site a site e cliente a site. O cenário site a site tem dois conjuntos de requisitos. A primeira é uma rede distribuída geograficamente: por exemplo, uma dezena de filiais unidas em uma rede VPN comum. A segunda opção é um canal seguro entre dois centros de dados.
As tarefas de proteção de dados corporativos em trânsito podem ser divididas em VPN baseada em política e VPN baseada em rota. A última opção se torna relevante quando o número de nós aumenta para vários milhares de dispositivos. No caso de proteger o backbone, geralmente são usadas soluções de baixo nível e uma topologia ponto a ponto.
Falando sobre a proteção de canais altamente carregados, não se pode limitar apenas à arquitetura ponto a ponto. As soluções de arquitetura ponto-a-multiponto são muito procuradas no mercado mundial. Altamente eficaz é a proteção do canal no nível L2, pois somente essa abordagem pode garantir a ausência de atrasos.
Deve-se ter em mente que site-to-site proteção pode ser implementada nos níveis de software e hardware. Neste último caso, o cliente pode escolher a opção de implementação em função, por exemplo, das características de velocidade do canal protegido.
Devido ao aumento do número de funcionários trabalhando remotamente, cresceu também a necessidade de cenários client-to-client, ou seja, de construir uma conexão VPN diretamente entre os usuários. Esses canais são usados para comunicação rápida, videoconferência, telefonia e outras tarefas.
No entanto, não houve mudança significativa na demanda e nas soluções tecnológicas na implantação da comunicação ponto a ponto. Eles usam codificadores de fluxo que fornecem uma boa velocidade de conexão. Por outro lado, há uma demanda crescente por canais de comunicação mais eficientes entre os data centers. Em alguns casos, trata-se de conexões com largura de banda superior a 100 GB, exigindo um cluster inteiro de gateways VPN.
Por sua vez, o cenário de organização do acesso remoto durante uma pandemia tem apresentado um crescimento significativo, e é neste setor que ocorreram os principais problemas de escalabilidade. Não apenas a escala e as soluções tecnológicas mudaram, como o uso de balanceadores de carga especializados para distribuir a carga entre dezenas de milhares de conexões VPN, mas também o cronograma de implementação do projeto ficou muito mais curto.
No que diz respeito à forma como os cenários de uso do gateway de criptografia estão relacionados ao nível de conformidade exigido, deve-se notar que o modelo de ameaça é de primordial importância neste assunto. O nível de conformidade pode ser explicitamente indicado na documentação regulamentar ou determinado independentemente pela organização.
Nuances técnicas da escolha de um gateway VPN
Quanto às diferenças na criptografia dos gateways VPN e os casos em que são usados, lembre-se de que o modelo de uso do gateway determina em grande parte o nível de proteção. Existem vários meios técnicos de implementação do nível de proteção L3; no entanto, projetar uma rede L2 funcional, neste caso, é problemático, embora fundamentalmente possível. Quanto ao nível L4, ele está se tornando o padrão para acessar recursos públicos da Internet e sites corporativos.
A redundância de dados e a tolerância a falhas são critérios importantes para a escolha de um gateway VPN. Lembre-se, é necessário levar em consideração a tolerância a falhas dos equipamentos e sistemas de controle. Os parâmetros importantes também são a velocidade de mudança para um cluster de trabalho de backup em caso de emergência e a velocidade de restauração do sistema para um estado normal.
Frequentemente, o hardware não tem o tempo médio entre falhas nível declarado pelo fornecedor. Portanto, para os equipamentos utilizados no backbone, é importante não esquecer os meios básicos de tolerância a falhas, como fonte de alimentação dupla ou sistemas de refrigeração redundantes.
Soluções alternativas para proteger os canais de comunicação
Outros tópicos importantes que devem ser abordados aqui são possíveis alternativas aos gateways VPN, bem como formas de integrar soluções de proteção criptográfica dos canais de comunicação com outras ferramentas de segurança como firewalls para garantir melhor proteção contra diferentes ameaças.
Além de gateways de criptografia, dispositivos de criptografia de hardware de alto desempenho podem ser usados para proteger canais, bem como suas contrapartes virtuais, que são flexíveis o suficiente para trabalhar em quase todos os níveis do modelo OSI. Além disso, existem pequenas soluções de placa única no fator de forma do transceptor e módulos que podem ser incorporados em dispositivos IoT.
Os especialistas preveem que os gateways criptográficos individuais como dispositivos deixarão gradualmente o mercado, dando lugar a sistemas integrados. Existe outro ponto de vista: via de regra, os sistemas universais são mais baratos, mas sua eficácia é menor que as soluções especializadas. A integração bem-sucedida também pode ser realizada na nuvem no nível do provedor de serviços. Nesse caso, o provedor de serviços decide as questões de compatibilidade e o cliente recebe uma solução universal com a funcionalidade necessária.
Previsões e perspectivas de mercado
Vejo uma grande necessidade de aumentar a velocidade dos gateways de criptografia, e soluções dessa classe serão desenvolvidas para atender a essa solicitação. Processos de integração vão operar no mercado, mas o resultado desse movimento ainda não está claro. A indústria de gateway VPN será impulsionada por dispositivos IoT, tecnologias 5G e o crescimento contínuo da popularidade do trabalho remoto. Alguns novos nichos para ferramentas de proteção criptográfica podem ser sistemas de controle industrial.
Como o suporte de canais VPN seguros no nível corporativo requer um alto grau de especialização, os clientes mudarão cada vez mais o modelo de uso dessas soluções de segurança da informação, terceirizando o gerenciamento de gateways criptográficos para provedores de serviços. Uma tendência importante será um aumento na atenção ao componente UX dos gateways criptográficos, um aumento na conveniência de trabalhar com eles.
Outro ponto de vista é que o mercado de gateway de criptografia está condenado e, nos próximos cinco ou dez anos, essas soluções se transformarão em um produto de nicho. Soluções universais e equipamentos localizados irão substituí-los. No entanto, a classe de gateways TLS evoluirá.
Conclusão
Ao escolher os meios de proteção criptográfica dos canais de comunicação, é necessário levar em consideração não apenas a funcionalidade de uma determinada solução, mas também sua conformidade com os requisitos dos reguladores. Considerando várias opções de gateways VPN, vale a pena pensar nos cenários de uso, além de resolver os problemas de integração com outros sistemas de segurança da informação. Em alguns casos, um sistema especializado pode garantir melhor a segurança; no entanto, as soluções universais e multifuncionais costumam ter a melhor relação custo-benefício.
