É hora de abandonar as VPNs

Apontadas por muito tempo como a solução para acesso remoto a aplicações corporativas, redes privadas não garantem mais acesso seguro a aplicações.

6:08 pm - 14 de abril de 2022

Por muito tempo as VPNs (Virtual Private Networks) foram consideradas a melhor opção para acessar remotamente aplicações corporativas. Mesmo com algum nível de vulnerabilidade, elas se mostravam mais seguras do que a internet e por isso seu uso corporativo se popularizou.

Com o tempo, a evolução das ameaças cibernéticas e o desenvolvimento de novas alternativas, como as redes definidas por software, a efetividade das VPNs começa a ser questionada mais duramente. “Isso se tornou mais evidente durante a pandemia, quando o uso de redes privadas explodiu, aumentando sua exposição e chamando a atenção de cibercriminosos”, explica o CMO da Exbiz, Marcio Montagnani.

O executivo lembra que já há algum tempo o Gartner vem recomendando a troca de dispositivos VPN pelo que ele chama de Perímetro Definido por Software, que deve estar presente em 60% das empresas até 2023. Isso porque o novo modelo vai permitir a adoção efetiva da abordagem Zero Trust, que parte da premissa de que todo acesso pode ser suspeito e, por isso, utiliza medidas adicionais de segurança, como autenticação multifator e segmentação de rede.

Montagnani lembra que a troca é baseada em uma série de vulnerabilidades já identificadas em redes VPN, tais como:

Alto risco – as VPNs expõem as redes a ameaças como DDoS, ataques de sniffing e spoofing. Depois que ela é violada por apenas um dispositivo, o cibercriminoso pode derrubar a rede inteira.

Baixa escalabilidade – como foram implantadas para atender a um pequeno volume de acessos remotos, as VPNs se tornam gargalos quando o número de acessos cresce, principalmente quando se trata de aplicativos cliente-servidor que consomem muita banda.

Acesso com dispositivos não gerenciados – na maioria das vezes, a área de TI não tem conhecimento sobre a saúde dos dispositivos que acessam e rede e que podem ser utilizados para obter dados confidenciais dos usuários e da empresa.

Não detectam violações – as VPNs não foram projetadas para detectar ou tomar ações corretivas e monitorar seu tráfego certamente vai representar um desafio a mais para as áreas de TI.

Compromete a privacidade – a conexão a uma VPN leva todo o tráfego para um data center, incluindo o tráfego pessoal, que também fica exposto.

Definindo o acesso

Montagnani reforça a constatação do Gartner e afirma que o melhor meio de implementar o Zero Trust e ampliar a segurança de acessos remotos é a implantação de soluções definidas por software. O executivo cita o exemplo da EAA (Enterprise Application Access), desenvolvido pela Akamai, uma arquitetura de nuvem exclusiva que fecha todas as portas do firewall de entrada, ao mesmo tempo que garante que somente usuários e dispositivos autorizados tenham acesso às aplicações internas de que necessitam, e não a toda a rede.

“Com ela, ninguém consegue acessar as aplicações diretamente, porque elas estão escondidas da Internet e da exposição pública”, explica. Isso acontece porque o EAA integra proteção ao caminho de dados, login único, acesso a identidades, segurança das aplicações, além de controle e visibilidade de gerenciamento em um único serviço. Além disso, os recursos de postura do dispositivo permitem que os sinais de segurança e inteligência contra ameaças aprimorem o acesso contextual às aplicações corporativas.

“Por estar em nuvem, ele pode ser implantado em minutos por meio de um portal unificado com um único ponto de controle, em qualquer ambiente de rede, e por uma fração do custo das soluções tradicionais”, ressalta, lembrando que o resultado é um modelo de entrega de acesso seguro que possibilita um modelo de CAPEX (Despesas de Capital) igual a zero e baixo OPEX (Despesas Operacionais) para cargas de trabalho essenciais implantadas em qualquer ambiente.

Isso reduzindo a complexidade técnica, já que um conector do EAA se conecta ao servidor de aplicações e, em seguida, disca para o serviço Enterprise Application Access na porta TCP 443, normalmente aberta para comunicação de saída na maioria dos firewalls das empresas, sem a necessidade de qualquer hardware ou software adicionais. Para isso, o serviço é arquitetado com base em três componentes principais:

Borda de dados – fornece o plano de dados entre o usuário e a aplicação, bem como os componentes de segurança de dados, desempenho de aplicações e otimização;

Borda de gerenciamento – baseada em uma arquitetura segura e multilocatário, fornece recursos de gerenciamento,  de geração de logs, de relatórios e configuração. Além da nuvem de dados multilocatários, é possível selecionar uma nuvem de dados dedicada de único locatário que pode ser configurada para processar apenas o tráfego de um único usuário.

Conectores do Enterprise – os usuários se conectam ao serviço de login único do EAA por meio de uma URL inserida em seus navegadores, onde eles fornecem suas credenciais para obter acesso às aplicações. Também é possível integrar o EAA aos produtos de SSO já existentes. A solução ainda captura informações como identidade do usuário e sinais contextuais, bem como postura do dispositivo, o que significa vulnerabilidade do dispositivo e sinais de inteligência contra ameaças, para criar perfis de risco sólidos que ajudam na tomada de decisões de acesso seguro.

Tudo isso implementado na seguinte arquitetura: ​

Exbiz

“É sempre bom lembrar que estamos falando de uma tecnologia desenvolvida há mais de 20 anos e que passou por poucas alterações nesse período. O uso de soluções de rede definidas por software, como a EAA, cobre esse gap, trazendo mais segurança e permitindo que as empresas adotem de fato o conceito Zero Trust. Não é apenas uma alternativa, mas uma nova abordagem”, conclui o executivo.