Trustv6: Confiança na rede

05/12/2023

Por Jeffry Handal, Principal SE, Cisco Systems

Introdução

O que o IPv6, Zero Trust Architecture (ZTA) e QUIC têm em comum? Que todos eles estão tendo uma forte presença no setor para resolver problemas em 2023! O protocolo IPv6 tem sido motivo de preocupação e pessimismo, mas nos últimos anos, finalmente deixou sua marca, representando mais de 50% do tráfego global em algumas partes do mundo [1]. A confiança zero ou Zero Trust tem estado em alvoroço no mercado, levando-nos a pensar sobre a segurança até o ponto de se tornar um fato que preocupa todo mundo. E o QUIC é aquele tráfego misterioso que vimos aumentar e diminuir nas nossas redes, mas que agora está chegando para salvar o dia com implementações práticas.

Este artigo nos levará um pouco ao passado. Em seguida, abordaremos brevemente a filosofia da confiança zero e forçaremos você a pensar sobre ela desde uma nova perspectiva, baseada nos princípios de abundância e certeza, com observância de um ponto de vista muito prático.

Lembranças***

No início da minha carreira, o foco das tecnologias da informação era garantir a conectividade básica. A tecnologia, os padrões e os serviços disponíveis não eram tão sólidos como são hoje. A segurança era um investimento de tempo opcional e, francamente, muitas soluções no mercado não a ofereciam. À medida que a tecnologia amadureceu, os padrões também amadureceram. Mudamos para um mundo onde a conectividade é mais confiável, tanto assim que agora podemos nos dar ao luxo de mudar para protocolos como o QUIC, que são baseados em UDP. Isso nos liberou para investir mais tempo em outras formas de otimizar nossas redes, como a segurança. No entanto, não é por acaso que a segurança subiu rapidamente para o topo da lista. Falaremos mais sobre isso depois.

Na escola, somos ensinados a resolver um problema usando uma série de restrições e suposições. O mundo tal como o percebemos parece imitar este comportamento no sentido de que existem restrições, e estas nem sempre são limitadas pela tecnologia, mas sim pelo que gostamos de chamar de “camada 8”, quer dizer, o elemento humano. O objetivo deste experimento mental é pensar da maneira oposta. Por que devemos sempre começar pelas limitações e os inibidores? E se projetássemos com abundância em nosso conjunto de suposições, em vez de restrições? Isso iria desencadear a criatividade humana, permitiria descobrir novas


formas de resolver problemas e nos libertaria para pensar de modo diferente. Esta é precisamente a promessa que o IPv6 oferece. É um recurso enraizado na abundância. Como tal, o problema da confiança zero deveria seguir um caminho diferente.

Mas chega de falar do passado. Vamos começar a explorar como o IPv6 e a segurança vão de mãos dadas para nos ajudar a criar ambientes produtivos para as pessoas que atendemos.

Decodificando a arquitetura da confiança zero

Todos nós já ouvimos dizer que a segurança é como uma cebola, pois tem camadas. Você já parou para refletir sobre o que isso significa em termos práticos? Se ainda não o fez, considere o seguinte: trata-se de reduzir os riscos e de saber em cada camada quais são as consequências. Por exemplo, considere o firewall SD-WAN perimetral como a camada externa da cebola. Ajuda a mitigar os riscos do mundo exterior: a Internet em geral. Uma camada interna poderia ser o firewall do host de seu


sistema operacional; ajuda a limitar o acesso desde a Internet em geral e o domínio de sua rede interna.

A confiança zero não é um conceito novo; é definido por muitos de diversas formas. No entanto, uma coisa deve ficar clara: não é um produto! Em termos simples, é uma mentalidade. Um modo de pensar que significa que todos temos a responsabilidade (incluindo os usuários) de garantir um uso eficiente e seguro dos recursos da empresa para impulsionar a produtividade.

Outro plano de segurança que gosto de referenciar é o Cisco SAFE, um modelo de segurança para as redes das empresas [2]. Este divide as camadas de segurança em elementos com os quais podemos nos identificar facilmente e adaptá-los aos nossos próprios ambientes. O objetivo do modelo é compreender a nossa operação, envolver todas as partes interessadas e descobrir as capacidades que temos para reduzir esse risco. No contexto da confiança zero, fornece um modelo poderoso que identifica lacunas e cria alvos nos quais podemos focar. O objetivo é desenvolver um caminho alcançável em direção a um modus operandi de confiança zero.

Trustv6

A Internet foi fundada com base no princípio da conectividade ponta a ponta. Conforme mencionado anteriormente, primeiro nos concentramos na conectividade. Depois, a tecnologia amadureceu e tornou-se estável; estabeleceu a expectativa de confiabilidade. Isto, por sua vez, permitiu que a comunidade da Internet mudasse o foco e desenvolvesse novos protocolos e princípios como o assunto deste artigo. A confiança zero promete a capacidade de trabalhar com segurança em qualquer lugar e a qualquer hora. No entanto, se a sua mentalidade de confiança zero se baseia na prevalência do IPv4, simplesmente estraga a promessa declarada anteriormente. O que acontece com os usuários de redes só IPv6? Eles não têm acesso?

As conexões IPv4 colocam os pacotes em uma posição menos que desejável, uma vez que podem ser manipulados, por exemplo, durante a função NAT. Pior ainda, consideremos o mecanismo CGNAT (Carrier-Grade NAT). Você sabe quem está por trás dessas conexões? Isso torna difícil resolver um problema. Agora, vamos dar uma olhada no IPv6. A conectividade IPv6 abre um mundo conectado de ponta a ponta, o que muda bastante a equação e adiciona um nível de simplicidade. Isso não significa que usemos o IPv6 como identidade, mas para aumentar o nível de “confiança” no que vemos acontecer. Vamos analisar isso mais um pouco. Confio mais nos pacotes que vêm diretamente da entidade que tenta estabelecer uma conexão com meus aplicativos que nos pacotes que foram manipulados em nós intermediários ao longo do caminho (por exemplo, mecanismos NAT44, serviços para decifrar SSL). Isso não quer dizer que a confiança é estabelecida.  Em vez disso, consideremos o potencial de redução do risco mediante esta forma de comunicação direta. No final das contas, o resultado seguro de uma arquitetura de confiança zero não é eliminar o risco, mas sim reduzi-lo. O IPv6 está servindo como um alicerce para chegarmos mais perto.

Conselhos práticos

Nas seções anteriores, apresentamos as bases para calibrar uma nova forma de pensar. Agora, vamos transformar isso em algo prático que possamos levar para nossas organizações. À medida que você mude sua perspectiva para uma abordagem de confiança zero, considere os seguintes pontos:

Experiência do usuário: Enquanto procuramos a utopia de operações seguras e eficientes, não esqueçamos os nossos usuários e a sua produtividade. Eles são a razão de estarmos aqui. Não se trata de ter a melhor segurança ou as ferramentas mais caras. Trata-se de fazer com que o usuário certo acesse os recursos adequados com segurança, sem se sentir frustrado, e ao mesmo tempo manter a governança de segurança da empresa. Meça e estabeleça expectativas adequadas. Encontre o equilíbrio certo entre segurança e desempenho. E não esqueçamos que muitos estudos mostram que o IPv6 tende a funcionar melhor.

Confie no seu modelo: Há muitas formas de pensar sobre confiança zero, muitos a definiram (por exemplo, NIST, Gartner, {insira o nome da sua empresa favorita aqui}), mas percebemos que não existe uma resposta certa. Existe apenas a resposta que faz sentido para sua organização. Você deve adaptar as melhores práticas e tecnologias do setor aos hábitos de seus usuários, as políticas da empresa e as ferramentas (por exemplo, aplicativos) de uma forma que faça sentido. Lembre-se que, no final do dia, trata-se de manter as luzes acesas para que sua entidade possa cumprir sua missão. Não se apegue ao IPv4, a uma ferramenta de segurança ou ao pensamento da velha escola. Evolua, fique curioso e aprenda algo novo. Isso tornará o trabalho mais divertido.

O desafio de ponta a ponta: Assim como no jogo do telefone estragado que jogávamos quando éramos crianças, a mensagem se perderá entre o originador (por exemplo, o usuário) e seu destino final (por exemplo, o aplicativo). A comunidade da Internet tem trabalhado muito forte para nos fornecer mais ferramentas ponta a ponta (E2E). Por exemplo, ela nos deu o IPv6, Messaging Layer Security (MLS) e QUIC, entre outras coisas.  Cabe a nós implementar essas “ferramentas” para iniciar o caminho para o estabelecimento de uma boa base para a confiança zero, baseada nas vantagens que E2E nos oferece.  Dito de uma forma mais direta: administradores de redes, saiam e implementem o IPv6 nas suas redes corporativas. Os desenvolvedores de aplicativos adotam novos protocolos como o QUIC ou MLS para estabelecer comunicações com os usuários finais. A questão é: não fique parado, nossos adversários não ficam.

Segurança para todos: A segurança não é mais opcional nem apenas responsabilidade do grupo de segurança. Todos nós agora temos um pouco de responsabilidade e devemos fazer a nossa parte. Do desenvolvedor do aplicativo ao usuário, e da comunidade de código aberto aos operadores de rede, todos devemos assumir um nível de responsabilidade para desenvolver operações seguras e acessíveis que levem em conta a experiência dos nossos usuários.

A equipe diretiva ou C-suite: Há apenas alguns anos, a segurança não estava entre os cinco principais itens em que os gerentes de sistemas da informação (CIO) investiam. Hoje, isso nem sequer é questionado [3].  A segurança é um item de preocupação para todos. Acontecimentos mundiais recentes, como a guerra na Ucrânia [4], a COVID-19 e o trabalho desde casa, ou a aumento do ransomware, realmente demonstraram que não estamos preparados para enfrentar as advertências. Tudo o que nos resta fazer é reduzir o risco para permitir que as empresas avancem. Portanto, vamos aproveitar este momento para ajudar a financiar os projetos que ajudarão a organização a adotar a abordagem moderna sobre a conectividade (quer dizer, o IPv6) e a segurança (quer dizer, a mentalidade de confiança zero).

Embora possamos sentir nostalgia do passado, é hora de seguir em frente. Estamos em uma época em que temos mais poder computacional em nossas mãos do que o ônibus espacial jamais teve. Isso está nos permitindo evoluir a forma como trabalhamos, vivemos e nos divertimos. Portanto, não importa onde um aplicativo está localizado, os princípios de confiança zero deveriam ser a forma de permitir o acesso correto, no momento certo e a partir dos locais certos, principalmente quando se trata de redes só IPv6, nas que deveríamos confiar mais para a melhoria da humanidade. ☺

Referências:

[1]https://www.worldipv6launch.org/measurements/

[2]https://www.cisco.com/c/en/us/solutions/enterprise/design-zone-security/landing_safe.html

[3]https://www.cio.com/article/302803/7-hot-it-budget-investments-and-4-going-cold.html#:~:text=CIOs%20anticipate%20an%20increased%20focus,two%20that%20have%20grown%20cold.

[4]https://blog.google/threat-analysis-group/fog-of-war-how-the-ukraine-conflict-transformed-the-cyber-threat-landscape/

Subscribe
Notify of

0 Comments
Inline Feedbacks
View all comments
Suscríbete para recibir las últimas novedades en tu mail Click here to subscribe receive the latest news in your inbox. Inscreva-se aqui para receber as últimas novidades no seu e-mail