A MAN Energy Solutions possibilita o zero trust

Quando as abordagens tradicionais de segurança falham

À medida que os negócios passam por um crescimento global, rápidas mudanças ocorrem em tecnologias como IoT em motores e sistemas de todos os tamanhos implantados ao redor do mundo, muitos deles ativos durante o transporte. Ao mesmo tempo, a grande e distribuída força de trabalho global está cada vez mais móvel e requer acesso móvel a aplicativos comerciais personalizados e aplicativos web.

As abordagens tradicionais de castelo e fosso para segurança de rede e aplicativos são incompatíveis com as implantações modernas na nuvem, que permitiram obter escala global, acesso global e a possibilidade de uma postura de segurança aprimorada à medida que as cargas de trabalho migraram para a AWS e Azure e a internet se tornou a nova rede corporativa. É desejável que esses aplicativos fiquem ocultos para a internet, com o uso de acesso autenticado apenas entre usuários e aplicativos confiáveis.

A MAN Energy Solutions descobriu que as melhorias de velocidade e agilidade proporcionadas pela implantação na nuvem estavam sendo neutralizadas por uma experiência de usuário insatisfatória associada ao acesso de aplicativos por meio de soluções de VPN corporativa legadas, com custos crescentes de dispositivos, software e rede MPLS. Além disso, queríamos obter as vantagens de segurança associadas a tornar os aplicativos invisíveis para a internet.

“Estávamos fornecendo acesso a aplicativos para uma força de trabalho móvel e distribuída utilizando uma VPN tradicional para portas de acesso detectáveis. O desempenho estava sendo prejudicado. Nossos funcionários não estavam satisfeitos com sua experiência. Nossa postura de segurança não estava atingindo seu potencial. Isso era inconsistente com o que as nossas implantações na AWS e Azure podiam oferecer”, disse Tony Fergusson, arquiteto de infraestrutura de TI na MAN. “Além disso, tínhamos uma equipe de operações relativamente pequena gerenciando a infraestrutura local, enquanto nosso conjunto de dados e nossa necessidade de análise em tempo real e de acesso a aplicativos estavam explodindo. A dificuldade aumentava à medida que modernizávamos nossos aplicativos internos, migrávamos mais fontes de dados para a nuvem e implantávamos produtos e tecnologias avançados globalmente”.

O poder do zero trust da Zscaler

Para a MAN Energy Solutions (MAN), migrar para a nuvem oferecia vantagens claras para superar seus desafios comerciais. “Nós continuávamos a ver mais empresas implementando com sucesso casos de uso de escala global na nuvem, e identificamos abordagens de arquitetura que atendiam aos nossos objetivos técnicos”, diz Fergusson.

A MAN recorreu à Zscaler em 2011 para melhorar a experiência do usuário, reduzir o custo de largura de banda e atender aos crescentes objetivos de segurança. A MAN começou conectando usuários móveis distribuídos em todo o mundo aos seus aplicativos SaaS utilizando o Zscaler Internet Access (ZIA). Depois, a Zscaler foi selecionada para abordar os requisitos de ameaça avançada persistente (ATP).

Em seguida, o Zscaler Private Access (ZPA) foi selecionado para oferecer acesso a qualquer hora e local para a força de trabalho móvel e os prestadores de serviço acessarem aplicativos executados localmente. Mais recentemente, o ZPA foi introduzido para oferecer acesso seguro a aplicativos hospedados na AWS e Azure, melhorando a experiência do usuário móvel e reduzindo os custos de rede.

Acesso zero trust a aplicativos internos

O Zscaler Private Access (ZPA) oferece acesso seguro e baseado em políticas a aplicativos e ativos privados sem os custos, a complexidade e os riscos de segurança de uma VPN. A ideia de tornar os aplicativos internos “ocultos” para usuários não autorizados ganhou força desde a introdução da rede definida por software (SDN). A abordagem do modelo zero trust torna os seus serviços invisíveis, e tanto aplicativos quanto usuários precisam ser autorizados usando SAML antes que o acesso do usuário seja estabelecido.

“Conseguimos implementar um modelo zero trust, ou o que eu chamo de (SDP) de nuvem oculta”, disse Fergusson. “Implementamos nossa solução para reduzir a superfície de ataque e substituímos as abordagens tradicionais por essa implementação moderna, segura e que prioriza a nuvem. Também temos controle granular sobre as permissões de usuário, com cada funcionário e prestador de serviço obtendo acesso apenas ao que precisa”. Com o ZPA, o acesso dos prestadores de serviço é segmentado por aplicativo, não por rede.

Essa abordagem também evita que softwares maliciosos se movimentem lateralmente. Ela garante que o acesso seja iniciado apenas do cliente para o servidor, nunca o contrário. A combinação desses dois paradigmas evita a movimentação lateral maliciosa, validando todas as sessões antes que o acesso seja concedido. Assim, assumir um modelo zero trust e aplicar políticas com base na autenticação do usuário, autorização e aplicativos conhecidos e desconhecidos proporciona maior segurança.

Uma abordagem moderna para conectar usuários em escala global

Existiam várias necessidades comerciais que exigiam uma maneira mais rápida e segura de conectar os usuários finais aos seus aplicativos, incluindo a migração de aplicativos empresariais internos e projetos de desenvolvimento para a nuvem, o aumento da adoção de serviços na nuvem e a necessidade de implementar o acesso a um conjunto cada vez maior de funcionários e parceiros distribuídos globalmente. Embora isso proporcione mais flexibilidade e agilidade aos negócios, continuar a depender de abordagens tradicionais de VPN aumentaria a carga sobre os recursos de TI e rede.

A nuvem da Zscaler oferece uma alternativa elegante e poderosa. Ela remove a necessidade de usar pilhas de segurança tradicionais de hardware e software para acesso remoto, elimina a necessidade dos usuários finais usarem um cliente de VPN e heurísticas de acesso remoto quando estão viajando e oferece uma rota alternativa ao tráfego. Isso reduz a necessidade de túneis MPLS para conectividade baseada na internet.

Obter velocidade, agilidade e desempenho

A MAN Energy Solutions melhorou a experiência do usuário final e reduziu a complexidade e os custos. Os usuários finais agora têm uma experiência completamente fluida e semelhante à nuvem ao acessar aplicativos internos, independentemente do aplicativo estar hospedado no data center ou na nuvem. Os usuários são levados diretamente aos aplicativos por meio da nuvem da Zscaler, contornando por completo os pontos de estrangulamento do acesso remoto tradicional.

Isso oferece flexibilidade total sobre onde os aplicativos são hospedados e protege os dados sigilosos com uma conexão de microtúnel criptografada baseada em TLS. Os usuários nunca são inseridos na rede, os aplicativos nunca são expostos a usuários não autorizados e a nuvem reduz a complexidade normalmente introduzida por soluções tradicionais.

Ao eliminar a infraestrutura de VPN e o licenciamento de software, uma redução percentual de dois dígitos nos custos foi alcançada. Além disso, o desempenho de rede foi aprimorado com a utilização de controles de largura de banda para priorizar o tráfego essencial em relação ao tráfego de baixa prioridade, como a navegação web.

Um dos principais benefícios técnicos é que a equipe deles foi capaz de reduzir a superfície de ataque e proteger toda a administração na AWS e Azure. A MAN utiliza o cluster de registro e análise do ZPA para transmitir os registros ao seu SIEM e obter maior visibilidade sobre as atividades e o acesso dos usuários.

“Podemos implantar novos VPCs e criar novos namespaces em poucos minutos. A grande vantagem para nós é utilizar o roteamento de namespaces, para que possamos controlar o tráfego com base no namespace, não no IP. Isso nos permite criar políticas significativas. Podemos reduzir os custos e a complexidade de rede. Nosso processo de integração de consultores é muito mais rápido. Agora podemos integrá-los em horas, em vez de semanas”, disse Fergusson.