9 minute read
Segurança
Zero Trust Network Access
Os últimos 20 meses têm sido de grandes mudanças para as áreas de TI e segurança da informação, a reboque de todos os impactos decorrentes da pandemia. Ao contrário do que às vezes parece, a necessidade do trabalho e relacionamento remoto com clientes e fornecedores não criou exatamente nada, mas acelerou em muito tendências que estavam sendo adotadas aos poucos pelas empresas com redes e data centers tradicionais, diferentemente das novas empresas “techs” (fintechs, etc.), que já nasceram no modelo que convencionamos chamar de nuvem.
Entre as tecnologias aceleradas está o Zero Trust, uma estratégia que inverte a maneira como autenticamos e autorizamos os usuários. O método de autenticar e autorizar um usuário sempre esteve baseado em alguns poucos elementos, começando pelo usuário e senha. Uma vez autenticado, o usuário, na verdade o IP por ele utilizado, tem acesso total à rede. É também a essência do acesso de VPN, que estende à rede por completo a quem estiver remoto. A base desse modelo é a de confiança total. As fraquezas foram aos poucos aparecendo e tecnologias complementares, como 2FA para fortalecer a autenticação e o NAC para restringir o acesso, surgiram sem, no entanto, alterar o modelo básico de confiança.
A inversão do Zero Trust é o fato da confiança ser zero, ou seja, o acesso à rede não significa direito de acesso a nada mais. Um efeito imediato é o impedimento do movimento lateral de um intruso, seja humano ou software. Durante um ataque, o invasor tenta obter um acesso qualquer para desde aquele ponto acessar o restante dos ativos conectados em rede. Esse acesso nem precisa ser um computador, poderia ser uma câmera de vídeo. A cada acesso interno, o usuário ou dispositivo qualquer na rede necessita de outra autenticação para uma nova verificação do direito de acesso. Mas, e mais importante, é que o conceito de autenticação também muda. Não é mais simplesmente usuário e senha (com ou sem 2FA), e passa a incluir elementos como localização, horário, sistema operacional, perfil do usuário, entre outros. A autenticação, por assim dizer, passa a ser decidida pelo contexto daquele acesso, no qual conhecer o nome de usuário e senha é apenas um dos fatores.
A implementação completa de Zero Trust engloba mais do que usuários em seus computadores ou dispositivos móveis. Uma câmera de vídeo pode ser usada como ponta de lança para um ataque, e, portanto, o conceito precisa ser estendido para esses dispositivos e demais sensores conectados à rede IP. Seu nível de acesso, sua confiança, precisa ser a mínima possível. A terceira área de implementação está nas aplicações. O atual estágio de aplicação distribuída se baseia em um modelo colaborativo horizontal, diferente do antigo vertical. Pequenas aplicações estão se comunicando todo o tempo, não necessariamente no mesmo data center, e uma aplicação não pode ter o direito de comunicar-se livremente. Nessa linha de restrição do acesso em rede, o Zero Trust acabou por assimilar a tecnologia de microsegmentação, que se torna mais eficiente quando combinado com as premissas de zero confiança.
O conceito acabou por derivar uma nova tecnologia, a do ZTNA - Zero Trust Network Access. Ela se refere ao acesso remoto a dados e aplicações usando os conceitos básicos de confiança zero. Um deles é o contexto do usuário para autenticação. Não à rede, mas a uma aplicação ou serviço. É um reflexo do desaparecimento do perímetro e, de certa forma, o torna herdeiro do projeto Jericho, de 2003, que buscou a “desperimetrização” da rede, através da conexão direta de dispositivos à Internet. Em outras palavras, eliminar firewalls e qualquer equipamento de segurança que configure um perímetro, e garantir a segurança dos diversos dispositivos, aqui incluindo computadores, através da criptografia de rede e controle de acesso baseado em perfil.
No ZTNA, o perfil e contexto do usuário são avaliados por uma camada de software que irá autorizar o acesso a uma determinada aplicação ou serviço, e somente a eles. Localização geográfica, por exemplo, poderá ser usada para bloquear o acesso ou gerar um alarme. Difere da VPN que dá, por definição, acesso a toda uma rede. É por isso que o ZTNA é visto como o seu substituto, embora eu o veja como um complemento. As tecnologias por trás das arquiteturas de rede demoram a migrar, e às vezes nunca migram, como o IPv6 está para comprovar. É improvável pensar que as VPNs serão simplesmente substituídas, principalmente se levarmos em conta sistemas legados, leia-se antigos, incompatíveis. É por isso que julgo exagerada a previsão do Gartner de que em 2023, 60% das empresas irão começar a substituir
Esta seção aborda aspectos tecnológicos da área de segurança da informação. Os leitores podem enviar suas dúvidas para a Redação de RTI, e-mail: inforti@arandanet.com.br.
suas VPNs por ZTNA. O mundo não é binário, e a realidade de TI é muito mais complicada.
O grande problema é achar que ZTNA, assim como SASE e outras tendências, são serviços ou aplicações. Não o são! Eles são conceitos, quase filosóficos. Transformar toda uma rede para um conceito de Zero Trust, e posteriormente Zero Trust Network Access, é uma jornada que inclui a reeducação desde usuários a desenvolvedores. Pode parecer fácil para uma “tech”, mas certamente não será para uma empresa tradicional que teve que permitir contrariada otrabalho remoto de seus funcionários devido à pandemia. É uma mudança cultural antes de tudo, e que veio para ficar.
A relação de problemas solucionados pelo ZTNA é grande. Primeiro, tende a ser mais barato e rápido que a VPN, propiciando uma melhor experiência para o usuário final. Para aplicações modernas em nuvem, então, é um casamento perfeito. Resolve também o desafio do acesso de terceiros, prestadores de serviço em geral, sobre os quais a empresa não tem controle do computador utilizado, não podendo exigir a instalação de agentes de segurança. Mas a mudança mais profunda é a de mover o usuário para o centro da segurança, um autêntico “user centric security”, ou seja, a segurança centrada no usuário.
Marcelo Bezerra é gerente técnico de segurança para América Latina da Cisco. Com formação nas áreas de administração e marketing, Bezerra atua há mais de 15 anos em redes e segurança de sistemas. E-mail: marcelo.alonso.bezerra@gmail.com.
Wi-Fi 6E e o 5G serão concorrentes?
Os últimos avanços tecnológicos têm viabilizado o aumento da capacidade e a qualidade da transmissão de dados entre dispositivos, proporcionando um ambiente favorável para a evolução e até mesmo a criação de aparelhos e aplicações que se beneficiam da Internet mais veloz e com baixa latência. É um cenário que, a princípio, remete ao 5G, mas por outro lado, é preciso destacar a chegada do Wi-Fi 6E, que garante uma revolução para a capacidade de transmissão do Wi-Fi e também traz mudanças significativas para o setor de telecomunicações.
Ambas as tecnologias possuem as mesmas bases e têm a premissa de oferecer ao consumidor mais velocidade e baixa latência, contando com taxas de dados mais altas para disponibilizar suporte a novas aplicações e aumento na capacidade da rede com a possibilidade de conectar mais usuários e dispositivos. Diante desse cenário, o 5G e o Wi-Fi 6E serão concorrentes?
A sexta geração do Wi-Fi (padrão IEEE 802.1ax) foi publicada em 2019, porém a grande novidade foi a decisão da Anatel, no início de 2021, de destinar integralmente os 1200 MHz da faixa de 6 GHz para aplicações não licenciadas, viabilizando o Wi-Fi 6E. Na apresentação do relator da matéria, conselheiro Emmanoel Campelo, foi pontuado que “o uso não licenciado fomenta a competição, o surgimento de novos modelos de negócios e coloca em condições de igualdade empresas de pequeno e grande porte”. Já o conselheiro Moisés Moreira destacou que a decisão da Anatel será importante para ensejar a ampliação de aplicações de realidade aumentada e realidade virtual (AR e VR).
Durante todo o processo da Anatel para a deliberação dos requisitos técnicos para uso dessa faixa, a Abrint defendeu que o Wi-Fi 6E tivesse os 1200 MHz da faixa de 6 GHz para aliviar a demanda dos provedores regionais, que já enfrentam dificuldades tecnológicas para atender as residências dos usuários. Os provedores oferecem velocidades altíssimas para os clientes por meio da fibra óptica; no entanto, o Wi-Fi na versão mais atual disponível não tem tanta capacidade, impactando, assim, na qualidade do serviço de Internet oferecido ao usuário.
Com maior largura de banda que os padrões atualmente disponíveis, o Wi-Fi 6E possibilitará o provimento de Internet fixa com mais velocidade, ponto extremamente importante para os provedores regionais, que têm sido os responsáveis por levar conexão para localidades que muitas vezes não dispõem de cobertura de Internet móvel. De acordo com dados divulgados em 2021 pelo IBGE – Instituto Brasileiro de Geografia e Estatística, em 2019, 39,8 milhões de brasileiros não tinham acesso à Internet.
Em virtude da chegada do 5G, a partir de 2022 nas capitais e no decorrer dos próximos anos nas demais localidades do país, a Internet móvel oferecida para os usuários terá qualidade muito superior ao 4G, sendo mais veloz, ágil e estável, assim possibilitando a IoT - Internet das Coisas. Diante desse avanço, não faria sentido não ter Internet de alta qualidade também por meio das redes fixas, pois o objetivo é que o usuário, ao acessar determinados locais, não perceba a transição da conexão por meio do 5G para a rede Wi-Fi 6E.
A combinação entre a rede móvel e o Wi-Fi ainda está longe de ser desfeita por diversos motivos, a começar pelo modelo de negócios das operadoras de serviço móvel, que já consideram a necessidade de escoamento do impacto do tráfego por meio das redes fixas, ação conhecida como offload. Ademais, o Wi-Fi 6E permanece como uma alternativa de menor custo para implantação local em comparação com o 5G.
As duas vertentes de Internet possibilitarão uma revolução digital em diversos setores, como agricultura, educação, medicina, indústria e comércio. Destaca-se que os benefícios de ambas as tecnologias são complementares, e não é esperado que haja concorrência para culminar em substituição, principalmente considerando a extensão continental do Brasil, com diferentes particularidades em cada região, somado ao cenário de carência digital de algumas localidades distantes dos centros urbanos.
A tendência é que a rede 5G seja mais utilizada para cobertura de grandes áreas e o Wi-Fi 6E seja direcionado para uso interno ou local. As duas opções se colocam como complementares para o mercado, possibilitando que os usuários tenham oferta de conectividade de qualidade em ambientes com particularidades completamente diferentes, como por exemplo escritórios, residências, carros e parques.
Portanto, o cenário ideal é que o consumidor final tenha a possibilidade de realizar a contratação da Internet fixa e móvel a depender do ambiente, custos e de acordo com suas necessidades como usuário. O Wi-Fi 6E e o 5G representam, neste momento, as alternativas tecnológicas mais modernas no mercado, cada uma com sua importância e função para a sociedade. De forma complementar, vão viabilizar o mais importante: o aumento da conectividade no país.
Gabriely da Conceição dos Santos é analista de relacionamento institucional, regulatório e comunicação na Abrint, com experiência em relações governamentais por meio da assessoria a empresas multinacionais.
