Agradecemos o seu interesse.

Aproveite o conteúdo.

Segurança no Edge

White paper

A Nova Era da Internet

A cada dia que passa, a interconectividade global está maior e mais acelerada. Graças à adoção de IoT, e agora à transmissão de dados 5G, milhares de outros dispositivos habilitados para internet estão sendo adicionados aos sistemas de rede todos os dias.

A Nova Era da Internet

Como consequência disso, a demanda dos consumidores por experiências na internet nunca foi tão alta, e isso certamente contribuiu para o cenário em que vivemos, onde as conexões com latência quase zero e a tolerância a falhas se tornaram, mais do que um desejo, uma exigência.

A transformação digital fez, então, com que muitas empresas levassem seu conteúdo, seu workload e suas aplicações para o edge, a fim de aproximar os dados dos usuários finais e reduzir a latência. Essa mudança para cloud e edge computing abriu novas fronteiras, e é justamente por isso que é crucial que as plataformas de segurança modernas sejam implementadas no edge, pois, estando mais próximas dos usuários finais e dos dispositivos, elas podem entregar a melhor experiência possível para os seus clientes.

O Problema com a Segurança Legada

Historicamente, a segurança de rede funcionava de forma muito semelhante à segurança física. As empresas construíam redes privadas hospedadas em locais centrais, cercando-as com hardware de firewall de rede física com vários gateways como as únicas formas de entrar ou sair da rede.

Como os funcionários trabalhavam nos mesmos locais físicos onde essas redes eram cuidadosamente definidas ou ligadas a eles através de VPNs, uma vez admitidos na rede, nenhuma outra restrição ou monitoramento era considerado necessário. Esse modelo de segurança baseado no perímetro era relativamente simples e foi o padrão adotado por um bom tempo.

Hoje, a inovação digital e os novos modelos de negócios mudaram drasticamente o cenário de aplicações e redes.

Funcionários e terceirizados acessam redes e aplicações do mundo inteiro e em múltiplos dispositivos, sejam eles pessoais ou fornecidos pela empresa.

Os clientes interagem com aplicações e conteúdo digital com alta demanda de experiências, e os dispositivos de IoT otimizam tudo, desde fábricas e transportes até a vida doméstica – tudo isso exigindo, sem sombra de dúvidas, latência de rede próxima de zero e, acima de tudo, segurança.

O Problema com a Segurança Legada

Além dessas demandas, que estão em constante mudança, a natureza dos ataques digitais também passou por transformações desde a era da segurança de perímetro.

Os ataques DDoS estão constantemente aumentando – não somente em frequência, mas também em tamanho e complexidade, alavancando diferentes tipos de dispositivos e visando diferentes partes da rede como alvo. Para piorar a situação, os invasores estão sempre desenvolvendo formas de atacar APIs, o tecido conjuntivo dos microsserviços modernos.

De acordo com a Radware, cerca de 55% das organizações vivenciam um ataque DDoS contra suas APIs, pelo menos mensalmente.

Outra tendência crescente diz respeito aos agentes mal-intencionados, que se aproveitam das vulnerabilidades¹ das aplicações web para roubar dados pessoais e corporativos. Com mais de 76% das aplicações modernas tendo pelo menos uma vulnerabilidade de segurança, os invasores estão constantemente testando alvos de alto valor para tais suscetibilidades.

Considerando então esse cenário, da mesma forma que as aplicações e os serviços inovadores são implementados no edge via contêineres e funções serverless, a segurança moderna também precisa evoluir.

O Edge para Segurança e Desempenho

Uma das principais características do edge é que ele oferece possibilidades de segurança imediatas e mais robustas, já que oferece métodos para mitigar ameaças muito mais perto do ponto de ataque, longe dos servidores de origem e dos data centers.

Além disso, por possuir uma combinação de DNS inteligente, load balancing e computação serverless, o edge deu início a uma nova era de tolerância a falhas e de recursos de alto desempenho e baixa latência.

Usando pontos de presença globalmente distribuídos e ambientes inteligentes definidos por software, as empresas líderes podem aproveitar as redes edge para oferecer aos consumidores, funcionários, e até mesmo a dispositivos IoT, experiências seguras e de alto desempenho.

O Edge para Segurança e Desempenho

Segurança

Como resposta às vulnerabilidades da segurança de perímetro, muitas empresas estão adotando metodologias zero trust em suas redes, aplicações e infraestrutura.

Uma das peças fundamentais do conjunto de ferramentas de zero trust envolve o uso de microperímetros seguros, que potencializam a virtualização de rede definida por software com controles granulares configurados centralmente.

Assim, estando no edge, é possível controlar o acesso em todo o cenário de rede de uma organização – de data centers a edge nodes – isolando aplicações e workloads individuais e protegendo-os separadamente.

Além disso, ao fazer isso no edge por meio de uma plataforma, as equipes podem isolar a infraestrutura de aplicações de forma consistente, estejam seus servidores de origem localizados em cloud, on-prem ou no edge da rede.

Outro benefício que a segurança no edge proporciona quando implementada como plataforma é uma visão unificada das ameaças em todo o edge. Diferentemente das soluções legadas on-prem, que não compartilham informações, é possível obter insights sobre as ameaças existentes em todo o edge, que podem ser aproveitados em tempo real para atualizar as regras de segurança de toda a rede.

Isso significa que, para uma organização que possui muitas aplicações e serviços de alto valor espalhados pelo mundo, um ataque a um deles não é uma ameaça para nenhum outro.

Outro benefício imediato do uso de uma plataforma no edge é a redução do atraso do alerta para as equipes DevSecOps, que muitas vezes é resultado de falha na comunicação acerca de soluções específicas. Assim, ter uma camada de segurança no edge com visibilidade e controle centralizados diminui o risco de falhas de segurança e configurações errôneas, uma das principais causas de violações de dados bem sucedidas em 2020².

Camada de Segurança

Aplicar um patch virtual em uma ameaça emergente ou em uma vulnerabilidade detectada também é muito mais fácil no edge. A segurança da camada de rede pode ser configurada para filtrar o tráfego com base em vários protocolos (IP/CIDR, ASN), em listas baseadas em localização ou até mesmo em conjuntos de regras personalizadas. Além disso, os Web Applications Firewalls (WAFs) no edge protegem contra ataques na camada de aplicações (HTTP/S), inclusive as OWASP Top 10 ameaças.

Um porém é que nem todos os WAFs são iguais nos quesitos segurança e desempenho, e alguns ainda dependem de assinaturas e comparam requisições de entrada com longas listas de padrões de ataque conhecidos. A desvantagem desses WAFs é que, além de serem menos eficientes do que as técnicas de detecção baseadas em regras, os métodos baseados em assinaturas não oferecem prevenção contra ameaças zero-day.

Além disso, plataformas que incluem funções serverless permitem que desenvolvedores e equipes SecOps levem facilmente a segurança, e até mesmo novos recursos, para o edge sem mexer no código ou se preocupar com servidores. As funções podem ser usadas para adicionar regras de validação ou lógica de negócio no edge, onde é mais eficiente e reduz a complexidade do backend.

Isso proporciona um tempo valioso para que as equipes de desenvolvimento possam trabalhar em funcionalidades mais interessantes e geradoras de receita, enquanto outras atualizações podem ser simplesmente implementadas no edge. Não há, portanto, a necessidade de encaixar tais mudanças em cronogramas de desenvolvimento que já estão fechados ou de se preocupar com modificações de ambiente.

Assim, ao implementar patches virtuais por todo o edge, as empresas podem reduzir o atrito entre as equipes de desenvolvimento e de segurança, permitindo que os desenvolvedores se concentrem na inovação, sem a pressão para atualizar o código legado das aplicações.

Desempenho

Desempenho

Quando a segurança é integrada à malha de rede, você pode ter certeza de que vai ter uma conectividade de baixa latência e alta segurança para usuários, dispositivos e serviços, já que as proteções são edge-native.

Mais especificamente, o edge é o lugar perfeito para mitigar os ataques DDoS, que continuam a aumentar em frequência, tamanho e complexidade.

Um exemplo disso ocorreu em junho de 2020, quando, conforme a BBC, a Amazon sofreu um ataque que atingiu o pico de 2.3 Tbps, pouquíssimo tempo depois de o Google revelar que havia sido alvo de um ataque ainda maior, de 2.5 Tbps³. Desse modo, ao utilizar algoritmos sofisticados e roteamento avançado, as plataformas distribuídas globalmente podem oferecer capacidade de mitigação DDoS quase ilimitada, garantindo pouco ou nenhum impacto no tráfego legítimo do site.

O edge também é o melhor lugar para interromper outras requisições automatizadas indesejadas. Acredita-se que, hoje, cerca de 40% de todo o tráfego da internet pode ser atribuído a bots e cerca de 20-25% a bots⁴ maliciosos ou "indesejados".

Devido a esse alto volume de tráfego, não faz sentido então colocar sua solução de gerenciamento de bot no servidor de origem, depois de todo esse tráfego ter passado por seus load balancers e outras infraestruturas de rede.

Para proteger contra ataques automatizados a APIs vulneráveis, as proteções das camadas de rede podem reduzir as requisições maliciosas através de algumas técnicas, como rate o limiting.

Ao limitar o número de requisições que um usuário, um dispositivo ou uma rede faz durante um determinado período de tempo, o tráfego ruim para os servidores de origem pode ser significativamente reduzido, mantendo o bom desempenho das aplicações e a integridade da origem forte. O rate limiting também pode ser usado para evitar account takeover (ATO) e outros ataques de brute force. Por exemplo, é possível usar técnicas de rate limiting para impedir que golpistas testem rapidamente os cartões de crédito e as credenciais de login que compraram na dark web.

Considerações Finais

Considerações finais

Ficou claro, portanto, que a melhor solução para as empresas é usufruir de todas as vantagens que uma rede focada em segurança oferece para proteger toda a sua arquitetura, desde a rede até a camada de aplicações.

Como nem todas as plataformas edge são iguais em termos de segurança ou de desempenho, ao selecionar um provedor que aparentemente oferece segurança robusta sem sacrificar o desempenho, verifique se ele:

  1. oferece edge computing integrado, que combina segurança com outros benefícios da plataforma, tais como entrega de conteúdo e edge functions serverless – e não apenas um conjunto de soluções pontuais;

  2. utiliza técnicas inovadoras de detecção de segurança, que ao mesmo tempo protegem contra ataques zero-day e preservam a eficiência, a fim de manter baixa a latência.

A solução da Azion

A Solução da Azion

Na Azion, determinamos que, para lidar de forma segura e eficiente com milhões de conexões last-mile distribuídas para workloads, aplicações e conteúdo em tempo real, precisávamos construir uma plataforma distribuída de edge computing a partir do zero.

É por isso que a rede distribuída de servidores junto ao software inteligente da Azion, que possui edge nodes de última geração em todo o mundo, oferece controles de rede e de segurança sem afetar o desempenho.

Aplicações

Ao ter a segurança como prioridade, a Azion facilita o gerenciamento das aplicações para as empresas modernas, onde quer que elas estejam – ou seja, a Azion simplifica o gerenciamento do ciclo de vida das aplicações com provisionamento zero-touch por meio de uma plataforma de edge controlada por API e gerenciada em cloud.

Confira outros benefícios únicos e alguns dos casos de uso possibilitados pela Plataforma de Edge Computing da Azion:

Azion Edge Firewall

Azion Edge Firewall

Proteja aplicações, workloads e dados de acessos não autorizados no edge.

  • Prevenção avançada contra ameaças com Web Application Firewall (WAF), DDoS e Network Layer Protections, e gerenciamento de bots integrados.

  • Proteção programável, modular e extensível da rede até a camada de aplicação.

  • Proteção de aplicações vulneráveis contra as ameaças OWASP Top 10 e os ataques zero-day.

  • Conjuntos de regras personalizadas para compliance com o PCI-DSS ou outros requisitos do setor.

Azion Edge Functions

Azion Edge Functions

Implemente segurança personalizada, processada o mais próximo possível dos usuários finais.

  • Controle do acesso a seus sites, aplicações e APIs.

  • Criação de protocolos de autenticação e autorização para funcionários e dispositivos.

  • Aplicação de patches virtuais às aplicações legadas, eliminando o atrito entre as equipes de desenvolvimento e de segurança.

Azion Edge Application

Azion Edge Application

Construa o modelo zero trust em sua aplicação, aproveitando a arquitetura serverless.

  • Acréscimo ou substituição de recursos em sua aplicação, seja monólito antigo ou microsserviço moderno, rodando on-prem ou no edge.

  • Realização de validações e verificações de regras de negócios no edge, diminuindo a complexidade do backend.

Azion Data Streaming

Azion Data Streaming

Construído com a finalidade de transmitir grandes quantidades de insights sobre aplicações e serviços em tempo real.

  • Correlação de insights para traçar múltiplas perspectivas: dos usuários, da origem, do cloud ou do edge.

  • Bloqueio automatizado de ataques com base em dados em tempo real para eliminar phishing, scraping de preços e negação de ataques de inventário.

  • Compatibilidade com uma variedade de SIEMs e de serviços de dados.

Azion Edge Orchestrator

Azion Edge Orchestrator

Gerenciamento remoto e centralizado de recursos de edge por meio de um serviço criado para provisionamento zero-touch.

  • Orquestração automatizada das regras e das políticas de segurança para reduzir a probabilidade de falhas de segurança e configurações incorretas.

  • Automação da resposta a incidentes em todos os componentes da rede e das aplicações.

Começar é fácil!