BLOG

Protegendo seu negócio sem fronteiras

Miniatura de Lori MacVittie
Lori MacVittie
Publicado em 06 de setembro de 2016

Você pode ter ouvido várias pessoas aqui na F5 dizendo: “A identidade é o novo firewall”. Isso pode soar como uma frase de efeito, mas há muita coisa envolvida nessa simples afirmação. Muita segurança e a mudança na maneira como lidamos com as atuais interrupções digitais.

o aplicativo é o perímetro

Seja a nuvem ou ameaças avançando constantemente na pilha de aplicativos, ou a dissolução de aplicativos monolíticos em APIs e microsserviços, a realidade é que essas interrupções estão tendo um efeito cascata para fora. O efeito abalou o terreno sobre o qual os data centers são construídos e está causando mudanças nada inesperadas nas arquiteturas dos data centers . Essas mudanças estão sendo fortemente impulsionadas agora pelo surgimento de um negócio sem fronteiras. Um negócio que depende de aplicativos, muitos dos quais são implantados lá (SaaS), alguns lá (IaaS) e alguns ainda aqui (no data center).

As mudanças são resultado do reconhecimento de que um negócio sem fronteiras não pode ser efetivamente protegido por arquiteturas tradicionais centradas em um firewall como ponto estratégico de controle do negócio.

Não funciona mais dessa forma porque o perímetro protegido não é mais o data center. O perímetro agora é aquela aplicação, e aquela aplicação, e aquela outra aplicação. Os firewalls tradicionais baseados em IP são ineficazes não apenas por causa de sua compreensão limitada dos aplicativos, mas também por sua natureza vinculada. Firewalls tradicionais baseados em IP, ainda uma necessidade no data center, são amplamente ineficazes em ambientes de rede altamente voláteis, como a nuvem, porque o espaço de endereço dos aplicativos que eles devem proteger costuma mudar rapidamente. A introdução de contêineres também aumentou o problema de volatilidade no controle de acesso baseado em rede para aplicativos devido à sua vida útil (geralmente muito) mais curta. Com vidas úteis medidas em minutos em vez de dias ou semanas (ou meses), a pressão sobre os firewalls tradicionais baseados em IP é incrivelmente alta.

O controle de acesso baseado em identidade a aplicativos, por outro lado, se preocupa em corresponder usuários e aplicativos, não endereços IP, e fornece uma maneira melhor de controlar o acesso a aplicativos com base no contexto em vez da configuração. Isso significa que, em vez de se concentrar em endereços IP, as solicitações de acesso dos usuários podem ser avaliadas com base no cliente, localização, dispositivo, hora do dia, velocidade da rede e aplicativo, além do endereço IP, se você realmente quiser analisá-lo. Esse acesso fornece um meio melhor de determinar quem (ou o que) deve (ou não) ter acesso a um determinado aplicativo. E é muito mais fácil fornecer esse serviço para aplicativos, independentemente de sua localização de implantação. Um serviço de controle de acesso baseado em identidade pode viajar com um aplicativo do data center para a nuvem e vice-versa, se necessário, porque seu controle é baseado na compreensão do cliente e do aplicativo e na aplicação de políticas em tempo real, independentemente da rede que transporta essas solicitações e respostas.

Uma opção de controle de acesso baseada em identidade também significa fornecer paridade entre ambientes distintos. Embora confiar no firewall tradicional baseado em IP para controlar o acesso aos aplicativos signifique usar um sistema no data center e outro na nuvem, o mesmo serviço de controle de acesso baseado em identidade pode ser implantado em ambos os ambientes, o que significa políticas consistentes que fornecem melhor conformidade com as políticas corporativas, bem como menos sobrecarga operacional em termos de gerenciamento e auditoria. Essa paridade é algo que vemos continuar em demanda para aqueles que operam em um ambiente híbrido (multi-nuvem). Em nosso State of Application Delivery 2016, quase metade (48%) dos entrevistados citou a paridade de políticas e auditorias com o ambiente local como um fator de segurança importante para a adoção da nuvem.

pwc-autenticação-avançada

Além disso, o aumento de violações de segurança causadas por credenciais roubadas ou facilmente descobertas indica que já passou da hora de ir além da autenticação básica baseada em senha e adotar meios mais inteligentes de permitir ou negar acesso. A PWC, em sua última pesquisa global de segurança , observou que 91% dos entrevistados usam “autenticação avançada”. Citando tokens e métodos de autenticação de dois fatores, eles observam que a autenticação avançada oferece benefícios significativos não apenas em termos de confiança do cliente, mas também de confiança corporativa.

O controle de acesso baseado em contexto fornece medidas semelhantes ao fornecer vários “fatores” para avaliar as solicitações. A autenticação de dois fatores pode ser implementada por essas soluções, mas as organizações também podem desenvolver medidas de autenticação que se baseiem em pistas contextuais fornecidas automaticamente para uma experiência de aplicativo ainda mais integrada.  Pode-se argumentar que na era das “coisas” agindo como clientes, uma política de autenticação mais automática baseada em “vários fatores” é necessária, já que a maioria das “coisas” não possui telefones celulares próprios e os proprietários podem não gostar de estar envolvidos nas transações frequentes necessárias para que as coisas sincronizem e “liguem para casa”.

Independentemente de qual seja a determinação da sua organização sobre autenticação e controle de acesso, é quase certo que ela não dependerá somente (se dependerá) de firewalls baseados em IP. Porque firewalls baseados em IP dependem da noção de que existe uma fronteira corporativa bem definida. E no mundo atual, nublado, móvel e quase efêmero da infraestrutura de aplicativos, essa fronteira não existe mais.