O que é Firewall as a Service?

 

Definindo o termo Firewall:

A palavra Firewall, em um contexto de tecnologia de informação, designa um ativo de rede de computadores que forma uma barreira pela qual o tráfego entrante e sainte da rede deve obrigatoriamente passar. Este controle do que deve ou não entrar e sair é feito por uma política de segurança implementada no dispositivo, utilizando filtros de pacote, filtros de sessão e gateways de aplicação, entre outros métodos mais refinados.

 

Em um artigo intitulado Network Firewalls, publicado em setembro de 1994 na revista IEEE Communications Magazine, os autores Steven Bellovin e William Cheswick listam os seguintes objetivos que um firewall deve cumprir em seu design:

  • Todo o tráfego entrante e sainte devem passar pelo firewall;
  • Somente o tráfego autorizado, conforme definido pelas políticas de segurança locais, deverão passar pelo firewall;
  • O firewall em si deve ser imune à penetração.

 

O que é Firewall as a Service (FWaaS)?

A tecnologia de firewall como um serviço ou Firewall as a Service foi reconhecida em 2016 pelo Grupo Gartner como uma tecnologia emergente de alto impacto em proteção de infraestrutura. Seus propositores argumentam que esta tecnologia pode reduzir custos e complexidade, entregando uma maior segurança global para negócios.

Jeremy D’Hoinne, analista do Grupo Gartner, em um relatório de 2016 chamado Hype Cycle for Infrastructure Protection, definiu FWaaS como “…um firewall entregue como um serviço baseado em nuvem ou solução híbrida (ou seja, aparelhos na nuvem e locais). A promessa do FWaaS é proporcionar uma arquitetura mais simples e flexível, alavancando o gerenciamento centralizado de políticas, múltiplos recursos de firewall corporativo e tunelamento de tráfego para mover parcial ou totalmente as inspeções de segurança para uma infraestrutura de nuvem”.

 

Controvérsias no uso do termo

Apesar de o termo Firewall as a Service ter sido definido em 2016 no relatório de Jeremy D´Hoinne através do relatório supracitado da Gartner, empresa respeitada no mundo da tecnologia da informação, deve-se notar que o mesmo já era e continua sendo utilizado com significados e utilizações menos estritas no mundo de TI. Termos como Managed Firewall e Virtual Firewall, acabaram se confundindo com FWaaS.

 

· Managed Firewall Services (Serviços Gerenciados de Firewall)

Muitas companhias utilizam o termo FWaaS para ofertar um serviço de terceirização do gerenciamento dos firewalls de uma determinada organização, principalmente dentro de uma oferta mais ampla de Managed Services (serviços gerenciados). Destacam-se neste meio as empresas que utilizam a tecnologia SonicWall, que durante o período no qual era controlada pela Dell, iniciou a oferta de FWaaS.

Como é comum neste tipo de oferta, os serviços são pagos através de uma mensalidade, sem investimento inicial de capital, onde o preço do aluguel dos equipamentos está embutido na mensalidade cobrada. A escalabilidade da infraestrutura necessária e acordos de nível de serviço customizados são outras características desta modalidade de serviço oferecido pelas empresas.

 

· Virtual Firewall (Firewall Virtual)

Outras ofertas observadas no mercado tratam a tecnologia de FWaaS como a virtualização de um appliance de firewall, extrapolando o conceito geral de Infrastructure as a Service (IaaS). Estes produtos podem ainda ser oferecidos de forma gerenciada, formando uma espécie de Managed Virtual Firewall Services (serviços gerenciados de firewall virtual). Em muitos casos estes serviços são oferecidos por empresas que trabalham com o Openstack, que, por sua vez, é um conjunto de software para a construção e gerenciamento de plataformas de nuvens computacionais.

 

· Firewall as a Service no sentido estreito

Podemos interpretar que o FWaaS em uma interpretação mais purista está relacionado com uma única instância lógica, disponível em qualquer localidade, facilmente escalável, que impõe políticas de segurança unificadas e é automantido por um provedor de serviços. Abaixo, estes itens são discorridos mais a fundo:

  • Instância única e global do firewall: uma instância para toda a organização é diferente do atual padrão de arquitetura de rede que coloca uma camada de segurança em cada local.
  • Facilidade de escalabilidade para suportar cargas de trabalho: O FWaaS possibilita mais facilmente que o ambiente seja escalado para que o poder de processamento da camada de firewall seja aumentado a fim de suportar toda a inspeção de pacotes necessária, principalmente quando está se lidando com tecnologias de Deep Packet Inspection (DPI).
  • Imposição de políticas unificadas de segurança: Com a unificação do firewall em uma instância, as políticas de segurança podem ser mais fácil e uniformemente aplicadas em todo o tráfego entrante ou sainte da organização, impactando todos os locais e usuários.
  • Automantimento: Como o firewall é gerido pelo provedor de serviços, o mesmo é mais rapidamente atualizado e corrigido em caso de falhas e brechas de segurança.

Uma das premissas mais importantes do Firewall as a Service em seu sentido mais estreito é a implantação do firewall em uma única instância. Este fato requer que o paradigma de como uma rede corporativa é estruturada seja interpretado de uma forma mais holística, tendo-se em mente a necessidade de convergir todos os locais da organização em uma única rede global virtual. Para que este objetivo seja atingido uma das opções mais efetivas é a adoção de uma SD-WAN.

 

SD-WAN

SD-WAN, ou uma WAN definida por software, pode ser entendida como uma tecnologia que distribui tráfego de internet entre WANs que usam o conceito de rede definida por software para determinar automaticamente qual a melhor rota entre dois locais distintos. Geralmente é mantida segura através da utilização de IPsec.

 

Pontos positivos da adoção do FWaaS

A Cato Networks elenca alguns pontos positivos da utilização do FWaaS, dividindo os mesmos em três eixos principais:

  • Simplicidade: Arquitetura simples, instalação e manutenção fáceis;
  • Flexibilidade: Resiliência e viabilidade econômica;
  • Segurança: Políticas centralizadas, maior visibilidade, características únicas de segurança e inteligência de segurança dividida entre os clientes.

 

Pontos negativos ou de atenção da adoção do FWaaS

Existem pontos que precisam de atenção e avaliação antes da escolha por um serviço de FWaaS. Alguns destes pontos encontram-se destacados abaixo:

  • Funcionalidade da SD-WAN: Links confiáveis e com largura adequada de banda entre os locais da organização e os pontos de presença da provedora de FWaaS devem estar disponíveis para uma boa performance da SD-WAN;
  • Consistência e Latência: Os links, além de serem confiáveis e possuírem boa largura de banda, devem apresentar baixa latência (ping) e serem consistentes (baixo jitter);
  • Segurança: a organização que adquire um produto de FWaaS deve levar em conta que a segurança da informação estará profundamente atrelada ao prestador de serviços contratado. Em alguns casos pode-se fazer necessário a implementação de auditorias de segurança junto ao fornecedor para maior controle.

 

Conclusão

Podemos concluir que o termo FWaaS tem, na verdade, mais de um significado no mundo da tecnologia da informação. Todos estes significados são válidos, visto que a interpretação do termo é ampla. A maioria das abordagens feitas pelas empresas do ramo dão ênfase somente no termo “serviço”, ou seja, na terceirização da administração desta camada de segurança por outra empresa ou profissional contratados junto à organização.

Por mais que a evolução mais recente do termo também englobe tal terceirização, ela converge para um cenário onde existe apenas uma camada de firewall responsável por todo o tráfego da organização, ou, pelo menos, que parte da carga do trabalho de inspeção de pacotes seja realizado na nuvem.

 

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *