This post is also available in: Português English Español
Como a transformação digital vêm cada vez mais orientando as empresas para o cenário do eletrônico, a dependência de disponibilidade não é uma realidade apenas de grandes empresas. Existem pequenos negócios que são totalmente orientados à internet e, portanto, a necessidade de alta disponibilidade em firewalls é evidente.
Não é incomum que o pilar de disponibilidade seja ignorado dentro do universo de segurança da informação. Seu significado é permitir que as informações estejam disponíveis para usuários, dispositivos ou entidades autorizadas, sempre que necessário ou permitido.
Disponibilidade é uma premissa importante para um universo cada vez mais digital. O minuto parado para muitas organizações é uma preciosidade, e estas têm a conscientização necessária, na maioria dos casos, de construir ambientes altamente disponíveis.
Empresas que possuem infraestruturas de média e alta complexidade precisam pensar em alta disponibilidade em firewalls em um cenário mais granular, empresas menores, tem um conjunto menor de ativos que precisam de alta disponibilidade para assegurar o acesso aos seus serviços, e isso é um ponto de facilidade, muito por que parte, ou a totalidade, da infraestrutura está em nuvem.
Diante do cenário de disponibilidade, os firewalls apresentam-se de uma maneira nas arquiteturas de segurança como um ponto de estrangulamento na comunicação, onde todo o tráfego que entra e sai da internet passa, para ser avaliado, liberado ou não. Isso quer dizer que, se a solução de firewall ficar indisponível, automaticamente o acesso à internet será cortado.
Muitas empresas investem em links de comunicação alternativos para em caso de falha de um deles, continuar tendo acesso à internet através de outro(s) provedor(es) de serviço(s). Essa é uma estratégia válida, mas não resolve em caso de paralização do dispositivo de segurança que conecta estes links. Se o mesmo parar, todos os links automaticamente pararão. Alternativas para fazer um bypass do dispositivo colocam em risco a segurança do ambiente e não devem ser uma opção para a empresa.
A boa notícia é que o custo com alta disponibilidade de firewalls tem sido reduzido ao longo do tempo, tanto em termos de investimentos de hardware propriamente dito, quanto em formatos de licenciamento, que flexibilizam especialmente no modelo de ativo-passivo. Portanto, a conta é simples, e geralmente o investimento é rapidamente retornado já na primeira indisponibilidade.
Disponibilidade de firewalls formato ativo-passivo
Existem basicamente duas formas de operar um firewall redundante, ou um cluster de alta disponibilidade de firewalls. O primeiro modelo, ativo-passivo, significa que em um dado momento somente um dispositivo responde por todas as requisições.
Outro(s) dispositivo(s) são acionados, de forma automática ou manual, somente em caso de queda do principal. É um modelo interessante e economiza alguns recursos, especialmente de licenciamento, mas para muitos casos, onde há muito processamento, não é suficiente.
Disponibilidade de firewalls ativo-ativo
Neste modelo, todos os nós que compõem o cluster de alta disponibilidade respondem às requisições, e além de garantir a continuidade do ambiente, em caso de queda de algum dispositivo, eles distribuem a carga de processamento.
Sobre a perspectiva de investimento são cenários mais caros pois é interessante que a capacidade dos equipamentos seja a mesma, e além disso, o licenciamento na maioria dos fornecedores é duplicado.
Disponibilidade de firewalls cluster híbrido
Um cluster híbrido, geralmente operando em formato ativo-passivo, é aquele que utiliza diferentes plataformas da solução de firewall. Como por exemplo, o nó ativo é um appliance (dispositivo físico) enquanto que o nó backup é um virtual appliance, rodando dentro de algum hypervisor.
O modelo é interessante pois economiza recursos ou permite reutilizar equipamentos que seriam descartados para uma posição fora de produção, sendo utilizados somente em momentos emergenciais. Muitas empresas não são aderentes a esse tipo de prática, mas é uma alternativa de viabilização em muitos casos.
Independente do modelo a ser utilizado, é interessante que as empresas estejam devidamente preparadas para a continuidade de conectividade, e isso deve ser um item relevante a ser tratado em um Plano de Continuidade de Negócios.
O tamanho da empresa não é mais justificativa para aprovar orçamentos para operar em modelos de redundância com firewalls, quanto mais dependente as empresas se tornam da disponibilidade, mais fácil de justificar os investimentos associados a este tipo de projeto.
This post is also available in: Português English Español