Segurança no Edge
White paper
A Nova Era da Internet
A cada dia que passa, a interconectividade global está maior e mais acelerada. Graças à adoção de IoT, e agora à transmissão de dados 5G, milhares de outros dispositivos habilitados para internet estão sendo adicionados aos sistemas de rede todos os dias.
Como consequência disso, a demanda dos consumidores por experiências na internet nunca foi tão alta, e isso certamente contribuiu para o cenário em que vivemos, onde as conexões com latência quase zero e a tolerância a falhas se tornaram, mais do que um desejo, uma exigência.
A transformação digital fez, então, com que muitas empresas levassem seu conteúdo, seu workload e suas aplicações para o edge, a fim de aproximar os dados dos usuários finais e reduzir a latência. Essa mudança para cloud e edge computing abriu novas fronteiras, e é justamente por isso que é crucial que as plataformas de segurança modernas sejam implementadas no edge, pois, estando mais próximas dos usuários finais e dos dispositivos, elas podem entregar a melhor experiência possível para os seus clientes.
O Problema com a Segurança Legada
Historicamente, a segurança de rede funcionava de forma muito semelhante à segurança física. As empresas construíam redes privadas hospedadas em locais centrais, cercando-as com hardware de firewall de rede física com vários gateways como as únicas formas de entrar ou sair da rede.
Como os funcionários trabalhavam nos mesmos locais físicos onde essas redes eram cuidadosamente definidas ou ligadas a eles através de VPNs, uma vez admitidos na rede, nenhuma outra restrição ou monitoramento era considerado necessário. Esse modelo de segurança baseado no perímetro era relativamente simples e foi o padrão adotado por um bom tempo.
Hoje, a inovação digital e os novos modelos de negócios mudaram drasticamente o cenário de aplicações e redes.
Funcionários e terceirizados acessam redes e aplicações do mundo inteiro e em múltiplos dispositivos, sejam eles pessoais ou fornecidos pela empresa.
Os clientes interagem com aplicações e conteúdo digital com alta demanda de experiências, e os dispositivos de IoT otimizam tudo, desde fábricas e transportes até a vida doméstica – tudo isso exigindo, sem sombra de dúvidas, latência de rede próxima de zero e, acima de tudo, segurança.
Além dessas demandas, que estão em constante mudança, a natureza dos ataques digitais também passou por transformações desde a era da segurança de perímetro.
Os ataques DDoS estão constantemente aumentando – não somente em frequência, mas também em tamanho e complexidade, alavancando diferentes tipos de dispositivos e visando diferentes partes da rede como alvo. Para piorar a situação, os invasores estão sempre desenvolvendo formas de atacar APIs, o tecido conjuntivo dos microsserviços modernos.
De acordo com a Radware, cerca de 55% das organizações vivenciam um ataque DDoS contra suas APIs, pelo menos mensalmente.
Outra tendência crescente diz respeito aos agentes mal-intencionados, que se aproveitam das vulnerabilidades¹ das aplicações web para roubar dados pessoais e corporativos. Com mais de 76% das aplicações modernas tendo pelo menos uma vulnerabilidade de segurança, os invasores estão constantemente testando alvos de alto valor para tais suscetibilidades.
Considerando então esse cenário, da mesma forma que as aplicações e os serviços inovadores são implementados no edge via contêineres e funções serverless, a segurança moderna também precisa evoluir.
O Edge para Segurança e Desempenho
Uma das principais características do edge é que ele oferece possibilidades de segurança imediatas e mais robustas, já que oferece métodos para mitigar ameaças muito mais perto do ponto de ataque, longe dos servidores de origem e dos data centers.
Além disso, por possuir uma combinação de DNS inteligente, load balancing e computação serverless, o edge deu início a uma nova era de tolerância a falhas e de recursos de alto desempenho e baixa latência.
Usando pontos de presença globalmente distribuídos e ambientes inteligentes definidos por software, as empresas líderes podem aproveitar as redes edge para oferecer aos consumidores, funcionários, e até mesmo a dispositivos IoT, experiências seguras e de alto desempenho.
Segurança
Como resposta às vulnerabilidades da segurança de perímetro, muitas empresas estão adotando metodologias zero trust em suas redes, aplicações e infraestrutura.
Uma das peças fundamentais do conjunto de ferramentas de zero trust envolve o uso de microperímetros seguros, que potencializam a virtualização de rede definida por software com controles granulares configurados centralmente.
Assim, estando no edge, é possível controlar o acesso em todo o cenário de rede de uma organização – de data centers a edge nodes – isolando aplicações e workloads individuais e protegendo-os separadamente.
Além disso, ao fazer isso no edge por meio de uma plataforma, as equipes podem isolar a infraestrutura de aplicações de forma consistente, estejam seus servidores de origem localizados em cloud, on-prem ou no edge da rede.
Outro benefício que a segurança no edge proporciona quando implementada como plataforma é uma visão unificada das ameaças em todo o edge. Diferentemente das soluções legadas on-prem, que não compartilham informações, é possível obter insights sobre as ameaças existentes em todo o edge, que podem ser aproveitados em tempo real para atualizar as regras de segurança de toda a rede.
Isso significa que, para uma organização que possui muitas aplicações e serviços de alto valor espalhados pelo mundo, um ataque a um deles não é uma ameaça para nenhum outro.
Outro benefício imediato do uso de uma plataforma no edge é a redução do atraso do alerta para as equipes DevSecOps, que muitas vezes é resultado de falha na comunicação acerca de soluções específicas. Assim, ter uma camada de segurança no edge com visibilidade e controle centralizados diminui o risco de falhas de segurança e configurações errôneas, uma das principais causas de violações de dados bem sucedidas em 2020².
Aplicar um patch virtual em uma ameaça emergente ou em uma vulnerabilidade detectada também é muito mais fácil no edge. A segurança da camada de rede pode ser configurada para filtrar o tráfego com base em vários protocolos (IP/CIDR, ASN), em listas baseadas em localização ou até mesmo em conjuntos de regras personalizadas. Além disso, os Web Applications Firewalls (WAFs) no edge protegem contra ataques na camada de aplicações (HTTP/S), inclusive as OWASP Top 10 ameaças.
Um porém é que nem todos os WAFs são iguais nos quesitos segurança e desempenho, e alguns ainda dependem de assinaturas e comparam requisições de entrada com longas listas de padrões de ataque conhecidos. A desvantagem desses WAFs é que, além de serem menos eficientes do que as técnicas de detecção baseadas em regras, os métodos baseados em assinaturas não oferecem prevenção contra ameaças zero-day.
Além disso, plataformas que incluem funções serverless permitem que desenvolvedores e equipes SecOps levem facilmente a segurança, e até mesmo novos recursos, para o edge sem mexer no código ou se preocupar com servidores. As funções podem ser usadas para adicionar regras de validação ou lógica de negócio no edge, onde é mais eficiente e reduz a complexidade do backend.
Isso proporciona um tempo valioso para que as equipes de desenvolvimento possam trabalhar em funcionalidades mais interessantes e geradoras de receita, enquanto outras atualizações podem ser simplesmente implementadas no edge. Não há, portanto, a necessidade de encaixar tais mudanças em cronogramas de desenvolvimento que já estão fechados ou de se preocupar com modificações de ambiente.
Assim, ao implementar patches virtuais por todo o edge, as empresas podem reduzir o atrito entre as equipes de desenvolvimento e de segurança, permitindo que os desenvolvedores se concentrem na inovação, sem a pressão para atualizar o código legado das aplicações.
Desempenho
Quando a segurança é integrada à malha de rede, você pode ter certeza de que vai ter uma conectividade de baixa latência e alta segurança para usuários, dispositivos e serviços, já que as proteções são edge-native.
Mais especificamente, o edge é o lugar perfeito para mitigar os ataques DDoS, que continuam a aumentar em frequência, tamanho e complexidade.
Um exemplo disso ocorreu em junho de 2020, quando, conforme a BBC, a Amazon sofreu um ataque que atingiu o pico de 2.3 Tbps, pouquíssimo tempo depois de o Google revelar que havia sido alvo de um ataque ainda maior, de 2.5 Tbps³. Desse modo, ao utilizar algoritmos sofisticados e roteamento avançado, as plataformas distribuídas globalmente podem oferecer capacidade de mitigação DDoS quase ilimitada, garantindo pouco ou nenhum impacto no tráfego legítimo do site.
O edge também é o melhor lugar para interromper outras requisições automatizadas indesejadas. Acredita-se que, hoje, cerca de 40% de todo o tráfego da internet pode ser atribuído a bots e cerca de 20-25% a bots⁴ maliciosos ou "indesejados".
Devido a esse alto volume de tráfego, não faz sentido então colocar sua solução de gerenciamento de bot no servidor de origem, depois de todo esse tráfego ter passado por seus load balancers e outras infraestruturas de rede.
Para proteger contra ataques automatizados a APIs vulneráveis, as proteções das camadas de rede podem reduzir as requisições maliciosas através de algumas técnicas, como rate o limiting.
Ao limitar o número de requisições que um usuário, um dispositivo ou uma rede faz durante um determinado período de tempo, o tráfego ruim para os servidores de origem pode ser significativamente reduzido, mantendo o bom desempenho das aplicações e a integridade da origem forte. O rate limiting também pode ser usado para evitar account takeover (ATO) e outros ataques de brute force. Por exemplo, é possível usar técnicas de rate limiting para impedir que golpistas testem rapidamente os cartões de crédito e as credenciais de login que compraram na dark web.
Considerações Finais
Ficou claro, portanto, que a melhor solução para as empresas é usufruir de todas as vantagens que uma rede focada em segurança oferece para proteger toda a sua arquitetura, desde a rede até a camada de aplicações.