A Cooperativa Brasileira Ailos tem uma estratégia de transformação digital que visa expandir os serviços financeiros que promovem o crescimento econômico para pessoas físicas, empresas e centros urbanos. A meta é atingir 2 milhões de clientes até 2025. Reconhecida por sua inovação, a Ailos foi pioneira em transferências instantâneas e gratuitas que antecederam o PIX, o sistema de pagamento instantâneo do Banco Central do Brasil. A organização protege seus ativos digitais com os Serviços de Nuvem Distribuída F5.
Fundada há 20 anos em Santa Catarina, Brasil, a Cooperativa Ailos atende 1,6 milhão de clientes em todo o país. Em cidades como Presidente Getúlio, 90% da população é cliente da Ailos. Reconhecendo seu papel nesse ecossistema, os líderes da Ailos vêm reformulando processos e aplicativos para aprimorar a experiência de atendimento ao cliente. Eles também se concentraram na construção de infraestrutura escalável para dar suporte à futura expansão dos negócios da Cooperativa.
Como parte dessa jornada, o ambiente bancário principal do Ailos depende de um aplicativo monolítico legado que coexiste com aplicativos modernos baseados em nuvem na AWS e no Azure. A Cooperativa também conta com o MuleSoft, uma plataforma nativa da nuvem que facilita a publicação de APIs. Os clientes acessam esses aplicativos e serviços por meio do site e do aplicativo móvel da Ailos.
Os processos de desenvolvimento, publicação e consumo de aplicativos e APIs da Ailos Cooperative seguem as melhores práticas do DevSecOps. Enquanto a equipe da Ailos projeta os aplicativos, o desenvolvimento ocorre em colaboração com parceiros terceirizados e deve atender aos requisitos altamente ágeis do setor de serviços financeiros. Para garantir a integridade dos dados, a empresa precisava de uma solução multinuvem que fornecesse visibilidade e controle consolidados para todas as suas APIs e aplicativos, independentemente de onde fossem implantados.
Além disso, a segurança de dados críticos que residem no local e na nuvem requer uma plataforma integrada que possa atender à infraestrutura distribuída da organização. A latência foi um fator fundamental na seleção de uma solução. Por exemplo, se um empresário de Santa Catarina viajasse para a Alemanha, a plataforma Ailos na Europa precisaria apresentar desempenho comparável ao experimentado no Brasil.
Por fim, os gerentes da Ailos concentraram seus futuros investimentos em tecnologia em SaaS e software para reduzir despesas de capital. Eles pretendiam tratar todos os recursos, incluindo a segurança digital, como software para aumentar a flexibilidade e a eficiência do gerenciamento. Ao adotar uma plataforma de segurança e desempenho baseada em software capaz de fornecer insights em todo o espectro de aplicativos legados e APIs modernas, a Ailos pretendia otimizar o gerenciamento de seu ambiente em crescimento e eliminar gradualmente tarefas manuais de gerenciamento que exigem muita mão de obra em várias plataformas. A Ailos iniciou uma RFP no início de 2023 para encontrar a solução certa para atingir essas metas ambiciosas.
Durante anos, a Cooperativa Ailos confiou no F5 BIG-IP Local Traffic Manager (LTM) e no F5 BIG-IP Application Security Manager (ASM) para garantir o desempenho e a segurança de seu aplicativo principal. No entanto, o surgimento de aplicativos modernos e a proliferação de APIs geraram a necessidade de adotar um modelo de segurança que priorize a nuvem. Depois de conduzir diversas avaliações de prova de conceito (POC) com diversos fornecedores, os líderes da Ailos optaram por implantar o F5 Distributed Cloud Services para proteger 200 aplicativos e milhares de APIs.
Os serviços implantados pela Ailos incluem F5 Distributed Cloud Network Connect, Distributed Cloud DNS Load Balancer e Distributed Cloud App Stack. Essa infraestrutura é implantada em um modelo SaaS híbrido. Para aplicativos voltados ao público, o Distributed Cloud Network Connect fornece entrega de serviços baseada em SaaS entre as nuvens públicas AWS, Azure e MuleSoft pela rede global F5 para os sites Regionais Edge gerenciados pela F5, garantindo suporte contínuo para processos que dependem das nuvens públicas Ailos.
Enquanto isso, nos data centers locais, a Ailos optou por implantar um pacote de software F5 Customer Edge (CE) para dar suporte ao aplicativo local da empresa, removendo qualquer dependência dos sites Regionais Edge para entrega de serviços e, ao mesmo tempo, garantindo que o aplicativo não seja anunciado publicamente na Internet. O CE funciona de forma automatizada, semelhante a um mini-PoP dentro dos data centers da Ailos. O gerenciamento do ciclo de vida dessas instâncias é feito a partir do console central do SaaS. Juntos, esses modelos de implantação fornecem uma abordagem híbrida para proteger e melhorar o desempenho de todo o catálogo de APIs e aplicativos Ailos.
A infraestrutura de nuvem global da F5 garante desempenho e segurança para clientes da Ailos em todo o mundo. Seja acessando o núcleo bancário Ailos de Santa Catarina ou Berlim, os clientes interagem por meio do site ou aplicativo da empresa. O acesso é rigorosamente filtrado e verificado por várias instâncias de Distributed Cloud Services, que usam IA e machine learning (ML) para análises comportamentais precisas, garantindo desempenho ideal e protegendo a experiência digital. Posteriormente, o tráfego é roteado para uma nuvem privada ou pública da Ailos, onde aplicativos e APIs são processados para atender às necessidades do cliente. A solução F5 Distributed Cloud Web Application and API Protection (WAAP) desempenha um papel crucial na identificação e na prevenção de possíveis ataques a aplicativos e APIs da Ailos.
A importância estratégica das APIs dentro do ecossistema digital da Ailos também levou à implementação do Distributed Cloud API Security com recursos de descoberta de API. Esta plataforma nativa da nuvem opera 24 horas por dia, 7 dias por semana, fornecendo insights abrangentes sobre APIs publicadas e consumidas em todo o mundo. Um recurso importante é sua capacidade de identificar APIs ocultas (APIs não compatíveis e, muitas vezes, não documentadas ou sem suporte em uso), ao mesmo tempo em que distingue APIs legítimas essenciais para o negócio. Os controles automatizados impedem que os desenvolvedores do Ailos acessem APIs de terceiros que podem comprometer a segurança.
Como parte da migração para Serviços de Nuvem Distribuída, a Ailos reformulou suas políticas de segurança para estabelecer um gerenciamento sustentável para suas redes, aplicativos e APIs distribuídos. Essa transição ajudará a Ailos a eventualmente desativar seu aplicativo monolítico e depender exclusivamente de sistemas baseados em nuvem.
A introdução do F5 Distributed Cloud Services marcou o início de uma nova era para a Ailos, simplificando o gerenciamento de ambientes heterogêneos e distribuídos por meio de uma única plataforma. A solução fornece insights sobre aplicativos e APIs em toda a infraestrutura de rede, desde ambientes locais que hospedam o núcleo bancário original até as nuvens públicas AWS, Azure e MuleSoft.
“Começamos com uma análise dos riscos atuais e futuros do nosso ambiente e, a partir daí, buscamos uma solução que apoiasse a expansão do nosso negócio”, afirma Sidnei Fernando da Silveira, CISO da Ailos. “Concluímos que uma solução integrada e com baixa complexidade administrativa era essencial. O F5 Distributed Cloud Services surgiu como uma solução confiável, aumentando a produtividade da nossa equipe e fornecendo visibilidade abrangente de diferentes ambientes, tudo gerenciado a partir de uma única plataforma.”
Análise de Daniel Devegili, analista de segurança da informação da Ailos, indica redução de 75% no tempo gasto no gerenciamento dos diversos ambientes da empresa. Ele diz: “Antes de adotar o F5 Distributed Cloud Services, tínhamos que operar quatro plataformas diferentes e, posteriormente, executar ações manuais para correlacionar os dados gerados por cada painel para ter uma visão holística do ambiente.”
Uma das principais preocupações era fortalecer a segurança das APIs de serviços financeiros da Ailos, que enfrentam ameaças crescentes. “Foi feita uma realocação de orçamento para incluir no RFP tecnologias dinâmicas e automatizadas para identificação e bloqueio de APIs maliciosas”, disse Silveira.
“Com o F5 Distributed Cloud API Security, a equipe de segurança cibernética da Ailos alcançou 100% de visibilidade das APIs”, diz Devegili. Vários tipos de ataque, incluindo ataques DDoS, são focados em APIs. A solução F5 atua de forma preditiva para identificar essas ameaças, distinguindo até mesmo APIs ocultas das legítimas. O bloqueio automatizado simplifica o trabalho dos desenvolvedores do Ailos, que agora podem consumir APIs pré-verificadas pela F5.
Além disso, os gerentes da Ailos agora têm visibilidade diária dos ambientes locais e de nuvem pública, bem como dos aplicativos e APIs associados. Por meio de um único painel, eles podem conduzir análises granulares e otimizar os recursos do aplicativo. Essa abordagem simplificada permite que a equipe se concentre na inovação e no aprimoramento de serviços financeiros digitais seguros.
A Ailos também pode comparar os ganhos da migração para o F5 Distributed Cloud Services da solução anterior baseada em hardware da Cooperativa. Devegili diz: “Agora a empresa avançou além da visibilidade para a observabilidade, na qual dados de diversas plataformas são cruzados no F5 Distributed Cloud Services, gerando um diagnóstico preciso e granular do que está acontecendo com as APIs da empresa.”
A dependência da empresa em páginas da web e aplicativos para transações financeiras faz do desenvolvimento de software o cerne de seus negócios. É por isso que Silveira considera estabelecer um pipeline de desenvolvimento alinhado às melhores práticas de DevSecOps uma das principais frentes de batalha de segurança cibernética de sua empresa. “Hoje, 60% dos nossos esforços estão focados nessa área. As questões de proteção de infraestrutura são bem abordadas, respondendo, portanto, por 40% do nosso foco.”
O Distributed Cloud WAAP foi implantado como parte de uma estratégia mais ampla focada em aumentar a conscientização dos desenvolvedores sobre a segurança de aplicativos e APIs. A automação resultante garante que os desenvolvedores terão acesso apenas aos componentes de software que já foram verificados, verificados e autorizados para uso no pipeline de desenvolvimento da empresa pela Distributed Cloud API Security.
De acordo com Devegili, o resultado dessa estratégia acelerou a publicação segura do aplicativo Ailos e da API. Ele diz: “Conseguimos um ganho de 120% na velocidade do processo de publicação de aplicativos e APIs”.