Escalabilidade do NGFW para a modernização do datacenter

Um modelo baseado em rede para ajustar a escala da segurança de rede com o objetivo de resolver operações complexas e exigentes do datacenter

Resumo

Para permitir o crescimento dos negócios digitais, nunca foram tão grandes as expectativas das organizações de TI em liderar e fornecer valor, grande capacidade de resposta e segurança. Os serviços inovadores mais os crescentes requisitos de dados e capacidade obrigam os líderes de TI a enfrentar novos desafios operacionais por meio da modernização do datacenter. Isso significa que a escalabilidade do processamento de firewall, adaptada ao aumento do tráfego de ameaças, também é necessária, pois a equipe de TI é continuamente desafiada a balancear desempenho e segurança de rede. Entretanto, uma abordagem de escalabilidade tradicional que potencialize uma implantação de firewall de alta disponibilidade (HA) (1+1) não é uma solução sustentável para atender às exigências de desempenho atuais.

Esse resumo executivo explora os limites das abordagens de escalabilidade atuais, identifica os requisitos necessários para superá-los e recomenda uma alternativa viável.

Crescimento nas demandas de análises de ameaças

As demandas para uma inspeção de firewall mais rápida aumentaram devido ao crescimento de tráfego criptografado que requer uma análise mais detalhada. Para evitar o acesso a dados não autorizados e garantir a privacidade do usuário, as organizações usam cada vez mais o tráfego criptografado com SSL/TLS e HTTPS para estabelecer uma comunicação segura na Internet. Cerca de 15 a 25% do tráfego total da Internet1 e 35% do tráfego empresarial2 são criptografados com SSL/TLS. Os analistas de pesquisas de ameaças da SonicWall observaram que o total de ataques de HTTPS alcançou quase 65%.3 Além disso, a cada mês de 2015, foi observada uma média de 53% de aumento em relação ao mês correspondente em 2014.

A ironia do tráfego criptografado é que os criminosos também o utilizam para ocultar malware. Metade de todos os ataques de entrada e saída será criptografada e ofuscada por SSL/TLS até 2017.1

Todavia, somente 20% das empresas implantaram firewalls de próxima geração (NGFWs) que podem inspecionar o tráfego SSL/TLS de entrada e saída.1 Um recente ataque proeminente distribuiu malware oculto em HTTPS em uma taxa de 27.000 usuários acessados por hora e a maioria dos firewalls não conseguiu enxergá-lo.4

É evidente que os firewalls de hoje em dia precisam fazer uma varredura no tráfego criptografado e realizar outras funções de inspeção profunda de pacotes (DPI). Entretanto, descriptografar, analisar e criptografar o tráfego novamente acaba por prejudicar o desempenho do firewall.

O impacto no desempenho

As organizações enfrentam dificuldades na capacidade de processamento de escalabilidade para manter o desempenho, ao mesmo tempo que devem atender requisitos de processamento de segurança cada vez mais exigentes. As redes modernas podem incorporar conexões Ethernet em uma faixa de 1 a 40 Gbit/s, ou até mesmo conexões superiores, tanto para o tráfego de entrada como o de saída. Entretanto, a camada de segurança de rede pode criar um grande gargalo ao mesmo tempo. Os ciclos de processamento necessários para a realização de DPI de SSL/TLS e outras funções de segurança de rede prejudicam significativamente o desempenho da taxa de transferência, mais do que 81%, de acordo com um relatório de 2013 da NSS Labs.2

Por exemplo, uma implantação de segurança de rede pode incluir um firewall ativo e um par de firewalls de backup. Se a unidade ativa tiver uma capacidade de processamento de 10 Gbit/s e todos os serviços de segurança estiverem ativados, o desempenho da taxa de transferência de DPI poderá cair para 5 Gbit/s. Se a inspeção de SSL/TLS estiver ativada, ele cairá para 2 Gbit/s.

O motivo pelo qual a abordagem de escalabilidade atual é insustentável

Muitas organizações ajustaram a escala de suas arquiteturas de segurança de rede simplesmente ao implantar um par de firewalls baseados em chassis maiores em uma abordagem 1+1 na tentativa de criar uma capacidade de processamento cada vez maior. Entretanto, essa abordagem é insustentável. Ajustar a escala do hardware dessa forma resulta em plataformas cada vez maiores que consomem mais energia, utilizam mais espaço no rack e são mais caras para adquirir e operar.

Além disso, essa abordagem 1+1 falha no fornecimento da resiliência e da segurança necessárias para as organizações. Nas implantações típicas 1+1 de alta disponibilidade (HA), a falha em um dispositivo resulta na migração de 100% do tráfego para o dispositivo de backup (provavelmente sem uma sincronização de estado para o tráfego de DPI), o que requer diversas reinicializações de conexões de dados e acaba por afetar a eficácia. Uma falha em ambos os dispositivos desativa toda uma rede e interrompe completamente os negócios.

Exploração de alternativas viáveis

Há outros fatores que devem ser considerados. Por exemplo, como você aprimoraria o desempenho ao separar as funções de forma eficaz entre múltiplos firewalls distintos? Ou então, e se você já possui um par de firewalls de próxima geração, mas deseja adicionar usuários, aumentar a largura de banda ou implantar serviços de DPI? Como você adicionaria a funcionalidade de DPI ou DPI-SSL para firewalls legados que não fornecem esses serviços atualmente sem fazer substituições em grande escala com os mais novos firewalls de próxima geração? Substituir esses firewalls de forma física também aumenta os riscos devido às alterações de configuração necessárias e à migração da política, além das regras NAT para um firewall com monitoramento de estado.

Infelizmente, ao utilizar a abordagem atual, não é possível resolver todos esses problemas em uma única plataforma. Isso significa que você deverá segmentar sua rede, adicionar mais plataformas ou substituir seus investimentos em plataformas atuais por plataformas maiores, mais caras e com desempenho superior. Mesmo assim, você está limitado pelo fato de que qualquer firewall individual eventualmente alcançará essa capacidade máxima e solicitará outro ciclo de atualização.

Na realidade, você precisa de um blueprint para implantar uma arquitetura de camada de segurança com escalabilidade e baseada em rede que ofereça redundância N+1 em vez de 1+1, sem depender de protocolos de organização por clusters ou HA complexa.

Conclusão

Uma abordagem de escalabilidade 1+1 para o desempenho do firewall não é a melhor opção para o datacenter moderno. A equipe de TI precisa de uma abordagem melhor: um modelo baseado em rede para ajustar a escala de um firewall de próxima geração (NGFW) com o intuito de abordar ou ultrapassar soluções existentes ou futuras de segurança de rede empresarial, ao mesmo tempo que oferece um desempenho melhor, resiliência aprimorada e menor custo total de propriedade (TCO).

A SonicWall oferece uma abordagem melhor. Leia o nosso resumo da solução, Uma abordagem altamente escalável para a segurança de rede.

1D'Hoinne, J & Hils, A. (9 de dezembro de 2013). Security Leaders Must Address Threats From Rising SSL Traffic.
2Pirc, J. (2014). SSL Performance Problems.
3 "Relatório anual de ameaças da SonicWall" de 2016
4Goldman, J. (6 de janeiro de 2014). Malicious Yahoo Ads Infected 27,000 Users Per Hour.