HPE Aruba Networking: “É necessário rever a forma como as redes são desenhadas” (com vídeo)

Na 2.ª edição da IT Security Conference, a apresentação executiva de Paulo Rio, Network and Security Consulting da HPE Aruba Networking, focou-se em Edge to Cloud Security, explicando como é que a rede de Edge poderá ajudar a melhorar os níveis de segurança das organizações, assim como de que forma é que estas infraestruturas podem ser complementadas com serviços em cloud.

Face ao “arsenal de controlos de segurança” que as empresas têm a seu dispor, existem uma variedade de ferramentas que atuam em diferentes camadas. Em particular, Paulo Rio realça a componente de rede, que desempenha “um papel estratégico porque se situa precisamente na intersecção entre o tráfego dos endpoints e dos workloads”, situando-se numa posição privilegiada para que “as equipas de governance que definem as políticas de segurança possam fazer enforcement nesse ponto estratégico da infraestrutura”.

Um desenho adequado das infraestruturas, acompanhado pela capacitação das ferramentas e motores de segurança nesta camada, possibilitará “reduzir a superfície de ataque a que a infraestrutura está sujeita”, “conter as ameaças” e “limitar os ataques de movimento lateral”.

Redesenhar as redes

O primeiro “ingrediente” no desenho de uma infraestrutura de rede segura assenta nos atributos de segurança. No entanto, este “não pode ser visto uma maneira isolada”, considerando apenas a segurança, uma vez que, se uma organização abdicar de outros “atributos de qualidade”, “poderemos estar a comprometer o nível de segurança final da infraestrutura de rede”.

Neste sentido, Paulo Rio destaca dois pontos adicionais necessários para uma arquitetura de rede. A “capacidade avançada de gestão e desejavelmente simplicidade” é indispensável, visto que a sua ausência significa que “provavelmente as equipas de operação ficarão com o ónus de operar redes complexa”, o que poderá “comprometer o nível de segurança”.

O segundo aspeto identificado é a “a flexibilidade e agilidade que essas redes de Edge devem proporcionar às organizações”. Ao longo do tempo, as redes e os próprios negócios vão sofrendo transformações e, com isso, “as necessidades e os desafios que as organizações sentem vão sendo crescentes”.

Atualmente, as organizações enfrentam um número de “desafios constantes”, particularmente a “problemática da mobilidade” e o “crescimento de novos dispositivos a ligarem-se à rede, como é o caso de IoT”. Por outro lado, a tendência é a movimentação em parte ou total dos workloads das empresas para a cloud, afirma o profissional da HPE Aruba Networking. “Todo este processo transformativo obviamente traz desafios às organizações, mas também traz oportunidades”.

Desta forma, perante as ameaças crescentes e as transformações que as organizações vão enfrentando, Paulo Rio acredita que “é necessário rever a forma como as redes são desenhadas”.

Redesenhar as redes implica a sua divisão em três camadas: a camada de acesso, “onde os utilizadores e os workloads se ligam”; a camada intermédia, que serve de gateway e onde é feita a interface com os serviços de WAN, bem como onde residem os sistemas de routing e de firewall; e a camada cloud, onde estão “os serviços de valor acrescentados ou com maior exigências, que não têm normalmente a possibilidade de correr on prem e, por esse motivo, foram movimentados para a cloud”.

No entanto, Paulo Rio considera que, em primeiro lugar, é essencial “tornar a segurança algo omnipresente, independentemente da camada em que estejamos a falar” e “dotar as infraestruturas de capacidades de gestão, monitorização, automação, policy avançados”. Este último assenta no fenómeno de migração dos serviços para a cloud, cada vez mais adotado pelas empresas, visando “tentar tirar partido da elasticidade que os ambientes cloud oferecem”.

Com esta restruturação das redes, “todas as camadas passam a estar dotadas de capacidades e motores de segurança para fazerem a contenção das ameaças”, explica. Do ponto de vista prático, existirão “vários ambientes que desejavelmente deverão ser geridos a partir de um ponto central, com uma única política de controlo de acessos”.

Segurança Zero Trust e SASE

De acordo com Paulo Rio, existem duas abordagens relativas à adoção destas tecnologias: uma abordagem de monofabricante ou a combinação de vários fabricantes, que é a “realidade mais comum”, sendo necessária a agilidade e flexibilidade da infraestrutura. 

Relativamente à implementação de redes Zero Trust, o colaborador da HPE Aruba Networking explicou à audiência de que forma é que se pode potenciar as redes de acesso para proporcionar a microsegmentação. 

“Quando falamos em Zero Trust, falamos em acessos controlados a cada dispositivo que aceda à infraestrutura”, refere. Alguns exemplos referidos foram a microsegmentação em que o controlo é feito no ponto em que o dispositivo se liga, a centralização do tráfego de modo que esse controlo seja feito num ponto central, e a distribuição desse controlo entre os equipamentos que estão na infraestrutura.

Além disto, é essencial ter “a possibilidade de combinar várias formas de microsegmentação e eventualmente até conjugá-las”, uma vez que as necessidades variam de organização para organização.

Para oferecer a capacidade de microsegmentação a data centers, Paulo Rio aponta não só o “controlo entre hosts físicos”, mas também “a necessidade de fazer o controlo dos hosts que estão virtualizados”. O contributo da infraestrutura de edge é o facto de permitir este “controlo fino e avançado do tráfego que flui entre workloads”.

Políticas de segurança

Por fim, Paulo Rio reforçou a importância da aplicação das políticas de segurança nas infraestruturas de rede de uma organização. “É importante que as ferramentas de gestão que instrumentalizam e configuram a infraestrutura de rede tenham a capacidade de fazer e implementar políticas de segurança o mais mapeadas possível com as políticas formais que a organização definiu”, sublinha.

Estas políticas de segurança, refere, são compostas por dois grandes “building blocks”: o contexto e as condições de acesso; e, perante estas, é aplicado um conjunto de “enforcement profiles”, que são os “motores de controlo que cada equipamento possui”.

A IT Security Conference volta a 10 de outubro de 2024!