Será que você está desperdiçando recursos, por estar preso a convenções antigas e obsoletas?
Por Rodolfo Nützmann
Se você disponibiliza as aplicações dos seus servidores – e tanto faz se estão no seu datacenter, em algum co-location ou em alguma nuvem – protegendo-os por meio de uma DMZ de algum firewall, pode estar perdendo capacidades de segurança, disponibilidade e desempenho.
E desperdiçando dinheiro.
Ainda mais se na DMZ tiver um Application Delivery Controller (também chamado de “balanceador de camada 7”) como F5 BIG-IP, Citrix Netscaler e Radware Alteon entre o firewall e os servidores de aplicação. Aí sim você está pagando caro para usar de forma errada o investimento, além de sobrecarregar desnecessariamente o firewall com uma funcionalidade que o ADC nasceu para fazer: intrinsecamente, todo ADC é um firewall, pois permite apenas tráfego específico para a aplicação, podendo restringir IP e porta tanto de origem como de destino.
Nos firewalls, a DMZ é um “algo a mais”; não é a principal funcionalidade para a qual o dispositivo foi concebido.
Já um ADC existe unicamente para controlar o acesso e a entrega de aplicações, executando entre muitas outras coisas a funcionalidade de firewall para os servidores.
E o IPS?
O IPS (Intrusion Prevention System) verifica se o tráfego de rede coincide com assinaturas de ataques conhecidos, funcionando de forma parecida com um antivírus.
Para o IPS poder inspecionar o tráfego, ele precisa receber tráfego descriptografado. Só que atualmente é raro o servidor que ainda não tenha migrado para HTTPS. Ou seja, o tráfego da aplicação é criptografado.
Firewalls não são especializados em descriptografar tráfego. Tanto que, quando precisam desempenhar esta tarefa, o desempenho cai para 30% a 40% do desempenho divulgado em seus datasheets.
Application Delivery Controllers são especializados em lidar com tráfego criptografado e tem desempenho determinístico: o número no datasheet é o que você vai ter no seu ambiente.
Eles são concebidos para retirar do servidor (e de qualquer outro dispositivo) a necessidade e o ônus computacional de fazer criptografia para os dados trafegados na rede.
Mas, e o que isso tem a ver com o IPS?
Tudo!
Usar IPS tradicional do firewall de borda para inspecionar o tráfego destinado aos seus servidores de aplicação é extremamente caro e ineficiente.
Mover as inspeções profundas de segurança para o ADC, que descriptografa com excelência o tráfego das aplicações, é a melhor maneira de ganhar eficiência e otimizar custos.
Principalmente porque não é apenas através de IPS que a segurança será provida às suas aplicações:
No ADC é possível habilitar as funcionalidades de Web Application Firewall (WAF), protegendo não apenas contra ameaças de rede, mas primariamente contra tentativas de exploração da lógica de negócios da sua aplicação, evitando fraudes, vazamento de informações e transações indevidas, com métodos para proteger vetores de riscos que nenhum outro firewall com DMZ consegue mitigar.
Fale com um consultor de entrega segura de aplicações para avaliar se você pode melhorar a segurança e o desempenho de suas aplicações. Muitas vezes é apenas uma questão de otimizar o que você já tem.
Rodolfo Nützmann Manoel
Solutions Engineer – CYLK Technologing
Technical Instructor – InLearn Education
+55-11-99839-2905