SASE

Arquitetura de Acesso Remoto Centrada em Confiança: Integrando Negócio, SASE/SSE e Modelos de Implantação

Diego DiasLeave a comment

A rápida evolução dos modelos de trabalho distribuído e a adoção massiva de infraestruturas cloud-native demandaram uma reestruturação nas arquiteturas de acesso remoto. O paradigma tradicional, baseado na segurança de perímetro, demonstrou ser insuficiente para combater ameaças modernas, levando à consolidação do conceito de Zero Trust (Confiança Zero). Para arquitetos de rede, a construção de um acesso remoto resiliente e seguro exige uma compreensão dos objetivos de negócio, a fim de alinhar as capacidades técnicas dos modelos Secure Access Service Edge (SASE), SD-WAN e Security Service Edge (SSE) com as estratégias de implantação Greenfield e Brownfield.

Identificação de Fluxos de Trabalho Corporativos

A arquitetura Zero Trust permite definir a confiança necessária para que usuários e dispositivos acessem diferentes aplicações, utilizando os princípios de Zero Trust (que demanda uma estratégia bem definida no acesso aos recursos computacionais seja local ou em cloud). Em sua fase de implementação para o acesso remoto as aplicações, é necessário converter esses conceitos em fluxos de trabalho de negócios.

  • Colaborador local utilizando um dispositivo confiável para acessar uma aplicação privada no data center local.
  • Colaborador local utilizando um dispositivo confiável para acessar uma aplicação privada na nuvem ou SaaS.
  • Prestador de serviço local (terceiro) utilizando um dispositivo não confiável para acessar aplicações privadas.
  • Visitantes locais com acesso não confiável utilizando apenas a Internet.
  • Colaboradores remotos utilizando dispositivos confiáveis para acessar aplicações privadas no data center.
  • Colaboradores remotos utilizando dispositivos confiáveis para acessar aplicações em SaaS.

A Relação Causal entre Estratégia de Negócio e Arquitetura de Acesso

A formulação de uma arquitetura de acesso remoto eficaz transcende a mera seleção de produtos; ela deve ser holisticamente guiada pelos pilares de Pessoas, Processos e Tecnologia. O objetivo principal é garantir o acesso apenas necessário (least-privilege access) para um dado serviço.

Do ponto de vista estratégico, a arquitetura deve inicialmente estabelecer um nível dinâmico de confiança para os solicitantes de acesso. Isso requer:

  1. Definição de Confiança do Usuário: Envolve a autenticação contínua da identidade, que se apoia em técnicas robustas de verificação, como a autenticação multifator (MFA). A estratégia de Zero Trust exige a Verificação Explícita (Explicit Verification), onde nenhuma entidade é automaticamente confiada.
  2. Definição de Confiança do Dispositivo: Implica assegurar que um dispositivo esteja em um estado saudável (healthy state) e autorizado.

A partir da verificação bem-sucedida, as políticas de acesso são definidas com base no princípio de acesso de privilégio mínimo, frequentemente incorporando conceitos de Just-in-Time (JIT) e Just-Enough Access (JEA), limitando o acesso a recursos críticos apenas quando estritamente necessário.

SASE e SSE: A Convergência de Rede e Segurança

A complexidade crescente da rede, impulsionada pelo uso de multinuvem e trabalho remoto, estimulou o desenvolvimento de modelos unificados.

O SASE (Secure Access Service Edge) é uma estrutura de segurança baseada em nuvem que integra serviços de rede, como Software-Defined Wide Area Network (SD-WAN), com serviços de segurança, incluindo firewalls e controle de acesso baseado em identidade e o SSE. O SASE visa simplificar a entrega de serviços de rede e segurança a todos os endpoints, independentemente de sua localização geográfica.

O SSE (Security Service Edge) é um subconjunto fundamental do SASE, focando estritamente nos componentes de segurança, abstraindo a funcionalidade de conectividade da WAN. Os principais componentes do SSE incluem Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e o acesso remoto, que é tipicamente implementado via Zero Trust Network Access (ZTNA). O SSE tornou-se o método mais adotado pelo mercado para a implementação de arquiteturas Zero Trust  devido à sua simplicidade e flexibilidade nativas da nuvem, garantindo a verificação contínua da segurança, mesmo para acesso remoto a aplicações SaaS.

O SSE oferece suporte direto para diversos casos de uso de acesso remoto, incluindo:

  1. ZTNA Baseado em Cliente ( Client-Based ): Projetado para dispositivos corporativos gerenciados , requer a instalação de um módulo ZTA no endpoint . Este módulo intercepta e direciona o tráfego para a corretora SSE na nuvem, garantindo que a postura do dispositivo seja constantemente avaliada antes de conceder acesso a aplicações privadas.
  2. ZTNA Sem Cliente (Clientless): Utilizado para dispositivos não gerenciados (como parceiros ou convidados). O acesso é realizado via navegador (browser-based), onde o SSE atua como um reverse proxy após autenticação e autorização, eliminando a necessidade de clientes VPN tradicionais.
  3. ZTNA Baseado em VPN (VPN-Based): Permite a migração de concentradores VPN legados para a nuvem SSE, mantendo a conectividade VPN obrigatória, enquanto aplica cadeias de serviços de segurança e políticas de dados consistentes.

Em um modelo ZTNA, o acesso a aplicativos e recursos é fornecido com base na verificação rigorosa da postura do dispositivo e de outros fatores contextuais, independentemente da localização do usuário ou da conexão de rede.

Estratégias de Implementação ZTNA em Greenfield e Brownfield

A adoção do ZTNA através do SSE requer estratégias distintas, dependendo do estágio de maturidade da infraestrutura existente.

1. Implementação Greenfield (Início do Zero)

Em um ambiente Greenfield, a infraestrutura é construída do zero, permitindo uma implementação limpa e alinhada com o princípio Assume Breach. A estratégia se concentra em integrar a filosofia Zero Trust em todas as fases do ciclo de vida da rede.

A abordagem técnica envolve as seguintes etapas sequenciais:

  • Definição de Objetivos: Formular uma visão clara de ZT, garantindo o alinhamento com os objetivos de negócio (e.g., fortalecimento da segurança e conformidade) e obtendo o apoio executivo necessário.
  • Definição do Roteiro (Roadmap): Desenvolver um plano abrangente que delineie marcos, cronogramas e o orçamento essencial para tecnologia e treinamento.
  • Desenvolvimento da Arquitetura e Projeto: Criar uma arquitetura de alto nível que incorpore nativamente a segmentação e a gestão de identidade (IAM). Isso inclui o desenho do layout de rede, estabelecendo zonas para diferentes tipos de ativos e dados, sendo a macrosegmentação a separação inicial e a microsegmentação (baseada em identidades ou SGTs) a base para o controle granular entre segmentos.

2. Implementação Brownfield (Infraestrutura Existente)

Em um ambiente Brownfield, o desafio reside na integração do ZTNA em sistemas legados e operacionais que foram concebidos sem os princípios de Zero Trust. A estratégia aqui é mais adaptável e faseada (phased and adaptable strategies) para mitigar interrupções operacionais.

A transição deve ser executada metodologicamente:

  • Avaliação e Priorização: Realizar uma avaliação abrangente do ambiente de segurança atual, incluindo controles de acesso e privilégios de usuário.
  • Foco no Risco Elevado: Identificar as áreas de maior risco, como aplicações críticas ou dados sensíveis, para iniciar a implementação do ZTNA.
  • Transição Gradual e Adaptável: O objetivo é a transição gradual para o ZT, identificando vulnerabilidades e reforçando a segurança sem comprometer as operações em curso. Isso pode envolver o uso inicial de microsegmentação em modo de monitoramento antes da imposição total (enforcement) para entender os fluxos de tráfego e evitar a interrupção de sistemas legados.

Em ambos os cenários, a manutenção de políticas consistentes e a automação da resposta a ameaças (Automated Response and Orchestration) são importantes para o sucesso da arquitetura de acesso remoto. Ao assumir a premissa de violação presumida (Assume Breach), e ao aplicar continuamente políticas granulares por meio de SASE/SSE, as organizações podem evoluir de um modelo focado em perímetro para uma postura de segurança dinâmica e resiliente.

Concluindo…

A mudança para modelos de acesso baseados em SASE e SSE não é apenas uma tendência tecnológica, mas uma necessidade operacional ditada pela dispersão de usuários, dados e aplicações. A arquitetura de acesso remoto, embasada na tríade Explicit Verification, Least-Privilege Access e Assume Breach, e implementada através de estratégias de microsegmentação (base de ZTNA), garante que o acesso, seja ele em uma implantação Greenfield ou uma transição Brownfield, seja sempre autenticado, autorizado e continuamente monitorado. A capacidade de aplicar políticas de forma uniforme, independentemente da localização do usuário ou do recurso, transforma a arquitetura de acesso remoto em um componente habilitador de segurança, e não apenas um mecanismo de conectividade.

Referência

Zero Trust in Resilient Cloud and Network Architectures – Josh Halley, Dhrumil Prajapati, Ariel Leza, Vinay Saini – Cisco Press 2025

https://arubanetworking.hpe.com/techdocs/VSG/docs/125-remote-worker-design/esp-rw-000-design/

Arquitetura Aruba Microbranch

Diego DiasLeave a comment

A arquitetura Microbranch da Aruba foi projetada para fornecer a ambientes de pequenas filiais a segurança, escalabilidade e facilidade de gerenciamento que as grandes redes corporativas possuem, mas de forma mais simples e econômica. A arquitetura pode ser bastante útil para escritórios remoto, talvez apenas uma sala ou um pequeno grupo de funcionários trabalhando em casa, conectando-se a Internet e a matrix.

O AOS-10 (arquitetura com Aruba Central) suporta a implantação de um único Access Point, como um AP Microbranch, para locais remotos, como escritórios domésticos, pequenos escritórios de filial etc. O AOS-10 permite que os Access Point nesses locais remotos sejam configurados e gerenciados pelo Aruba Central, permitindo que os Access Point formem um túnel IPsec para o cluster de Gateway , suportando modo de split tunnel e roteamento baseado em políticas SD-WAN para maior segurança e melhor experiência do usuário.

A solução Microbranch estende o framework Zero Trust para orquestrar túneis e direcionar o tráfego de usuários remotos específicos para uma solução SSE (Security Service Edge), seja com o HPE Aruba Networking SSE ou outras soluções SSE de terceiros.

As políticas de inspeção de segurança na nuvem podem ser configuradas diretamente através do Aruba Central para simplificar as operações. Uma vez configuradas, as capacidades do microbranch automaticamente tunelam o tráfego para a solução SSE via IPsec para o POP mais disponível, permitindo que a equipe de TI suporte múltiplos locais de trabalho remoto sem a necessidade de implantar dispositivos adicionais ou agentes de endpoint.

Gateways na arquitetura AOS-10

Com a gestão dos APs sendo efetuada pelo Aruba Central, solução em Cloud na modalidade SaaS, as controladoras wireless que eram elementos importantes na arquitetura on-prem AOS-8, tornam-se na versão AOS-10 elementos importantes para atendimento a elementos de SD-WAN, SSE e tunelamento de tráfego Wi-Fi para atendimento a requisitos de segurança.

Modos de operação

Microbranch suporta três modelos operacionais de SSID:

  • SSIDs de Camada 3 Roteados: Otimiza padrões de tráfego, permitindo acesso a recursos corporativos internos.
  • SSIDs de Camada 3 NATeados: Fornece acesso a serviços de Internet, mas não permitem acesso à rede corporativa interna.
  • SSIDs de Camada 2 Tunelados: Encaminha todo o tráfego para o VPNC (VPN Concentrator) do data center, incluindo o tráfego de Internet. Observe que tunelar tráfego de Camada 2 pode introduzir padrões de tráfego sub-otimizaos.

O serviço de orquestração de túneis WLAN do AOS-10 em implantações Microbranch automatiza a formação de túneis IPsec entre os APs de um site remoto e o cluster Gateway da rede WLAN. A solução suporta a configuração de túneis IPsec em APs para o seguinte cenário de implantação:

Túnel Completo (Full Tunnel): Nesse modo, o AP e o cluster Gateway são gerenciados pelo HPE Aruba Networking Central. Os túneis IPsec entre o AP e o cluster Gateway em um data center são orquestrados pelo serviço de orquestração de túneis. O servidor DHCP no data center atribui endereços IP aos clientes. As regras de firewall e as políticas de modelagem de tráfego são aplicadas a partir do AP, do cluster Gateway ou de ambos.

Túnel Dividido (Split Tunnel): Nesse modo, os administradores podem configurar uma política de túnel dividido nas regras de acesso e aplicá-la ao papel do usuário no SSID WLAN. Com base nas ACLs configuradas para um SSID, o tráfego do cliente para o domínio corporativo é tunelado para o Gateway no data center e o tráfego para o domínio não corporativo é encaminhado para a Internet.

Modo Local (NAT Camada 3): Nesse modo, um pool DHCP estático local é usado para a atribuição de endereço IP do cliente. O NAT de origem é aplicado tanto ao tráfego corporativo quanto ao de Internet.

Referências

https://www.arubanetworks.com/techdocs/VSG/docs/080-sd-branch-deploy/esp-sd-branch-deploy-095-Microbranch-intro/

https://www.arubanetworks.com/techdocs/central/2.5.8/content/aos10x/cfg/aps/microbranch.htm

Vídeo: HARDENING GUIDE – EQUIPAMENTOS HP E ARUBA (Oficial)

Diego DiasLeave a comment

No vídeo compartilhamos como encontrar os documentos oficiais dos fabricantes HP e Aruba para configurações de hardening para as soluções de Switches baseados no Comware, ArubaOS, ArubaOS-CX, solução de controladora (Mobility Controller e Mobility Conductor), IAPs, SD-Branch, ClearPass, etc.

SD-WAN – QUAIS SÃO OS DESAFIOS DA WAN QUE A TECNOLOGIA VEM SOLUCIONAR?

Diego DiasLeave a comment

SD-WAN é a sigla para se referir ao termo “Software-Defined Wide Area Network”. Trata-se de uma abordagem onde as definições de tráfego são controladas por software de forma a se criar uma rede overlay para permitir a conectividade no âmbito de redes WAN.

Podendo ser composta de links dedicados, Internet de banda larga e serviços sem fio, a tecnologia SD-WAN permite gerenciar aplicativos de maneira eficiente, em particular aqueles na nuvem.

O tráfego é encaminhado de maneira automática e dinâmica pelo caminho WAN mais adequado e eficiente com base nas condições de rede, demandas das aplicações, requisitos de QoS e custo de circuito.