Num mundo onde as fronteiras de rede tradicionais já não existem, as VPNs estão a mostrar a sua idade.
As redes privadas virtuais (VPNs) existem há mais de duas décadas, fornecendo túneis criptografados e seguros para comunicações e dados. Embora existam vários tipos de VPNs – incluindo SSL-VPNs e IPSec, para citar dois – a ideia básica é a mesma, independentemente da implementação. Com uma VPN, é criado um túnel de transporte IP seguro que visa fornecer garantia de que os dados estão seguros porque o acesso é criptografado.
O conceito de perímetro definido por software (SDP) é um pouco mais recente, entrando originalmente em cena em 2013, sob a direção inicial da Aliança Segurança de nuvem (CSA). Com o modelo SDP, em vez de apenas confiar que um túnel criptografado seja seguro porque ele usa Transport Layer Security (TLS), não há suposição de confiança – daí o uso do termo “confiança zero” por muitos fornecedores em conexão com SDP.
Em uma arquitetura SDP típica, há vários pontos onde toda e qualquer conexão é validada e inspecionada para ajudar a provar a autenticidade e limitar o risco. Normalmente, no modelo SDP existe um controlador que define as políticas pelas quais os clientes podem se conectar e obter acesso a diferentes recursos. O componente gateway ajuda a direcionar o tráfego para o centro de dados ou recursos de nuvem corretos. Finalmente, o dispositivo e os serviços utilizam um cliente SDP que se conecta e solicita acesso do controlador aos recursos. Algumas implementações de SDP não têm agente.
A premissa básica sob a qual as VPNs foram originalmente construídas e implantadas é que existe um perímetro corporativo, aparentemente protegido por dispositivos de segurança de perímetro, como IDS/IPS e firewall. Uma VPN permite que um usuário remoto ou parceiro de negócios faça um túnel através do perímetro para obter acesso ao que está dentro de uma empresa, fornecendo privilégios de acesso local, mesmo quando remoto.
A realidade da empresa moderna de TI é que o perímetro já não existe, com funcionários, prestadores de serviços e parceiros trabalhando em locais no campus, remotamente e na nuvem e em todo o mundo. Esse é o mundo em que o SDP nasceu e pretende resolver.
As VPNs hoje ainda são amplamente utilizadas e continuam úteis para certos tipos de acesso remoto e necessidades de trabalhadores móveis, mas envolvem uma certa quantidade de confiança implícita ou concedida. A rede corporativa confia que alguém que tenha as credenciais VPN corretas tenha essas credenciais e tenha acesso permitido. Agora, se esse usuário VPN for um usuário mal-intencionado ou se as credenciais forem roubadas por uma pessoa não autorizada que agora tem acesso a uma rede local - isso é um tipo de problema, e um problema que as VPNs por design realmente não resolvem tudo muito bem, se é que existe.
Um modelo SDP ou de confiança zero pode ser usado na empresa moderna sem perímetro para ajudar a proteger usuários remotos, móveis e na nuvem, bem como cargas de trabalho. O SDP não se trata apenas de ter um túnel seguro – trata-se de validação e autorização. Em vez de apenas confiar que um túnel é seguro, existem verificações para validar a postura, políticas robustas que concedem acesso, políticas de segmentação para restringir o acesso e múltiplos pontos de controle.
A crescente adoção de tecnologias de segurança de confiança zero por organizações de todos os tamanhos é uma tendência em evolução. À medida que as organizações procuram reduzir os riscos e minimizar a sua potencial superfície de ataque, ter mais pontos de controlo é muitas vezes um objetivo fundamental. Os profissionais de segurança também costumam recomendar que as organizações minimizem o número de usuários privilegiados e concedam acesso com base no princípio do menor privilégio. Em vez de simplesmente conceder acesso local completo a um usuário VPN, os administradores de sistema devem restringir o acesso com base na política e na autorização do dispositivo, que é um atributo central do modelo de confiança zero.
Uma solução de confiança zero bem arquitetada também pode oferecer o benefício potencial de menos sobrecarga, sem a necessidade de um dispositivo físico ou de agentes do lado do cliente.
Para usuários corporativos, VPNs são um conceito familiar para acesso remoto e isso não é algo que provavelmente mudará no curto prazo. Para acesso a um compartilhamento local de arquivos dentro de uma empresa, ou mesmo algo tão simples como acessar uma impressora corporativa, uma VPN continuará sendo uma opção razoável pelos próximos dois a três anos. No entanto, à medida que mais empresas migrarem para o SDP, até o simples acesso a uma impressora será coberto.
Dentro das empresas, as ameaças internas na empresa sem perímetro são tão prováveis como as externas, um modelo de confiança zero é um modelo útil para limitar os riscos internos.
Para desenvolvedores e aqueles envolvidos em DevOps, a confiança zero é uma abordagem mais elegante e controlada para conceder acesso, bem como fornecer acesso a recursos locais, na nuvem e remotos. O desenvolvimento é distribuído e simplesmente encapsular uma rede não é tão poderoso quanto o que a confiança zero pode permitir.
As VPNs não são mais a solução definitiva para proteger o acesso que antes prometiam ser.
A realidade da Internet moderna é que as ameaças vêm de qualquer lugar, com a possibilidade de qualquer dispositivo ou credencial de usuário comprometida ser usada como ponto central para violar uma rede. Uma abordagem de confiança zero pode ir além de depender apenas de criptografia e credenciais para minimizar riscos e melhorar a segurança. O SDP vai além de apenas fingir que a ficção de um perímetro rígido ainda existe.