Levando zero trust para filiais

Nos últimos cinco anos, a indústria de tecnologia passou por uma transformação significativa. Entre as inúmeras mudanças na forma como as organizações abordam a tecnologia para obter vantagens competitivas, três mudanças principais tiveram impactos profundos:

1. Migração de aplicativos de data centers tradicionais para a nuvem (a ascensão do SaaS)
2. Modelos de equipes de trabalho híbridas, onde os funcionários trabalham tanto em escritórios regionais quanto em locais remotos
3. Proliferação dos dispositivos de IoT/TO em fábricas e filiais

Muitas empresas estão descobrindo que as limitações na sua infra-estrutura de WAN e as falhas na segurança de rede dificultam a sua capacidade de lidar com estas três mudanças.

As SD-WANs tradicionais expandem a superfície de ataque e permitem a movimentação lateral de ameaças. Elas conectam vários sites por meio de VPNs site a site ou roteamentos de sobreposição, estabelecendo uma confiança implícita que concede acesso irrestrito a recursos comerciais essenciais, mesmo para entidades comprometidas. Além disso, as políticas de segmentação não granulares permitem que as ameaças se desloquem facilmente dentro da rede. Com o crescente número de ameaças e a adoção dos dispositivos de IoT/TO, que muitas vezes são invisíveis para a rede, as organizações precisam garantir que sua infraestrutura de WAN siga os princípios do zero trust.

A infraestrutura de WAN tradicional consiste em vários produtos específicos, como roteadores, firewalls e VPNs, que podem representar desafios de gerenciamento substanciais. Consequentemente, as organizações que estão transformando suas filiais precisam de uma solução que siga um modelo de “pouco na filial, muito na nuvem” para reduzir as complexidades de gerenciamento.

A SD-WAN zero trust da Zscaler conecta com segurança filiais, fábricas e data centers sem a complexidade das VPNs, garantindo acesso zero trust para usuários, dispositivos de IoT/TO e servidores. Usando a SD-WAN zero trust, as empresas podem construir uma filial que elimina dispositivos desnecessários com uma ferramenta simples e pronta para uso que pode ser implantada usando apenas uma conexão com a internet.

Figura1: SD-WAN tradicional vs. SD-WAN zero trust
 

A SD-WAN zero trust elimina riscos comerciais

Ao contrário das SD-WANs tradicionais que estendem a rede para locais remotos, nuvens e terceiros, a SD-WAN zero trust conecta usuários, dispositivos de IoT/TO e aplicativos a recursos aos quais eles têm direito de acesso, sem usar roteamentos de sobreposição. Isso cria uma rede zero trust que elimina a superfície de ataque e evita a movimentação lateral de ameaças. Como todo o tráfego passa pela Zscaler Zero Trust Exchange, não há endereços IP ou portas de VPN expostos publicamente que os hackers possam comprometer.

Um relatório recente da Zscaler ThreatLabz revelou um aumento de 400% nos ataques de malware baseados em IoT e TO desde 2022, ressaltando a necessidade de as organizações terem maior visibilidade e segurança sobre os dispositivos de IoT/TO implantados em suas redes. Muitas vezes esquecidos e invisíveis, os dispositivos de IoT/TO não são abordados adequadamente quando os administradores projetam políticas de segurança para usuários de filiais, mas, como mostra o relatório da ThreatLabz, esses dispositivos representam um vetor de ameaça significativo.

A SD-WAN zero trust fornece visibilidade completa dos dispositivos, dando às organizações uma visão detalhada de todos os seus dispositivos de IoT/TO, bem como informações sobre os aplicativos com os quais eles se comunicam. Além disso, os administradores não precisam mais de políticas separadas para usuários e dispositivos, uma vez que as mesmas políticas podem ser aplicadas de forma consistente a ambos.

Figura 2: descoberta e classificação de dispositivos de IoT

Muitas organizações têm casos de uso de comunicação entre servidor e cliente. Por exemplo, um servidor de impressão em um data center pode precisar emitir um comando de impressão para uma impressora remota em uma filial. Com a SD-WAN zero trust, as organizações não precisam se preocupar com portas de serviço expostas que um hacker poderia explorar para violar a rede. Toda a comunicação da filial passa pela Zero Trust Exchange, que une a conexão entre o servidor de impressão e a impressora remota. Estender a segurança zero trust a todas as entidades, como usuários, dispositivos de IoT/TO e servidores, aumenta a segurança geral.

A SD-WAN zero trust substitui VPNs site a site

As SD-WANs tradicionais conectam locais (por exemplo: filiais, fábricas, data centers) usando túneis VPN IPsec. Os roteamentos de sobreposição permitem que qualquer dispositivo se comunique com qualquer outro dispositivo, servidor ou aplicativo, garantindo acessibilidade entre usuários, dispositivos e aplicativos – acessibilidade que os hackers podem explorar para acessar facilmente outros recursos na rede.

Com a SD-WAN zero trust, o tráfego da filial é encaminhado diretamente para a Zero Trust Exchange, onde as políticas do Zscaler Internet Access (ZIA) ou Zscaler Private Access (ZPA) podem ser aplicadas para inspeção de segurança completa e controle de acesso baseado em identidade. A SD-WAN zero trust simplifica drasticamente a comunicação das filiais com uma sobreposição de rede zero trust que permite encaminhamento flexível e gerenciamento simples de políticas.

Figura 3: substituição de VPN site a site
 

A SD-WAN zero trust simplifica fusões e aquisições

Unir dois negócios separados em uma entidade pode proporcionar mais eficiência, maior presença no mercado e outras vantagens. No entanto, a integração de novos sistemas e domínios de roteamento no ambiente existente pode ser um processo lento e penoso que leva muitos meses para ser concluído. Com a Zscaler, todo o processo de integração de fusões e aquisições pode ser muito mais simples e rápido.

A SD-WAN zero trust se comunica apenas com a Zero Trust Exchange, eliminando a necessidade de mesclar domínios de roteamento entre sites existentes e adquiridos. Ao implantar a SD-WAN zero trust em um local adquirido, as empresas podem direcionar o tráfego para a Zero Trust Exchange, que intermedia a conexão a partir do outro lado para proteger a comunicação. Isso resulta em uma operação bem-sucedida no primeiro dia e na integração de novos sites em questão de semanas ou até dias.

Figura 4: integração de fusões e aquisições

Como tudo isso funciona?

1. Os aplicativos definidos no portal do ZPA recebem um endereço IP sintético.
2. Depois que um usuário inicia uma conexão com o novo aplicativo usando o IP sintético, a SD-WAN zero trust nessa filial envia o tráfego para a Zero Trust Exchange.
3. No local adquirido, onde o aplicativo está hospedado, o App Connector (integrado à SD-WAN zero trust) inicia uma conexão de dentro para fora com a Zero Trust Exchange.
4. A Zero Trust Exchange intermedia a conexão do usuário com o aplicativo.
    

Conclusão

As organizações precisam de uma solução de rede que as proteja das crescentes ameaças cibernéticas atuais, mas as SD-WANs tradicionais aumentam os riscos de segurança e a complexidade da rede. Em contraste, a SD-WAN zero trust traz os princípios do zero trust para as WANs, conectando com segurança usuários, dispositivos de IoT/TO e servidores. Para melhorar a segurança de filiais, fábricas e data centers, as organizações devem fazer a transição das redes planas tradicionais com confiança implícita para as redes zero trust. A adoção da SD-WAN zero trust oferece vários benefícios, como mitigação de riscos cibernéticos, redução de custos e complexidade, aumento da agilidade dos negócios e implementação de uma solução SASE de fornecedor único.

Para obter mais informações, visite a página da SD-WAN zero trust da Zscaler.