SD-WAN + NGFW: Por que a Separação entre Rede e Segurança Custa Caro

A integração de SD-WAN (Software-Defined Wide Area Network) e NGFW (Next-Generation Firewall) tornou-se um padrão entre os fornecedores ocidentais, mas na Rússia, as equipes de rede e segurança da informação (SI) ainda operam frequentemente em consoles separados. Vamos analisar o custo dessa separação, os benefícios da sua união e como implementamos o SD-WAN com roteamento SLA no Ideco NGFW 22 Novum.

Duas Equipes, Uma Rede, Zero Coordenação Em uma empresa russa típica com uma rede de filiais, a equipe de rede é responsável pelo roteamento e pelos canais de comunicação, enquanto a equipe de SI cuida do firewall, IPS e das políticas de acesso. As ferramentas são diferentes, os consoles são diferentes, as prioridades são diferentes. No papel, isso parece uma divisão de responsabilidades razoável. Na prática, é uma lacuna que custa muito dinheiro em soluções e tempo em administração. Isso se manifesta da seguinte forma: um incidente na rede, onde os profissionais de segurança veem atividade suspeita em um dispositivo final, mas não sabem por qual canal o tráfego saiu. Os profissionais de rede notam padrões anômalos, mas não entendem se é um ataque ou uma carga legítima. Enquanto ambas as equipes concordam com a situação por meio de tickets e chamadas, o atacante já se estabeleceu na infraestrutura. Uma nova filial, onde a equipe de rede levanta túneis VPN e configura o roteamento. A equipe de SI aplica políticas separadamente no firewall. As configurações são dessincronizadas, aparecendo "buracos" entre o que é permitido no nível da rede e o que é controlado no nível de segurança. A degradação do canal, onde o provedor principal "cai", o tráfego muda para o reserva. Mas as políticas do NGFW são configuradas para a topologia com o canal principal (os profissionais de segurança podem não saber sobre a conexão de canais adicionais) - parte do tráfego ou ignora a inspeção ou é bloqueada por engano. Perdas operacionais entre as equipes de rede e SI são responsáveis por 20-25% do custo de um incidente - devido ao atraso na detecção, resposta lenta e localização incompleta (de acordo com o IBM Cost of a Data Breach Report 2024).

O que a Combinação SD-WAN + NGFW Muda SD-WAN (Software-Defined Wide Area Network) é uma camada definida por software sobre a WAN, que gerencia os canais de comunicação por políticas: aplicativo, usuário, filial, parâmetros SLA. Ao contrário da VPN site-to-site clássica, onde o administrador define manualmente as rotas e monitora o status dos canais, o SD-WAN seleciona automaticamente o melhor caminho e alterna o tráfego em caso de degradação. Quando o SD-WAN funciona dentro do NGFW, e não como uma caixa separada, tudo é fundamentalmente mais fácil em termos de operação. Especialmente nas condições atuais de problemas de conectividade de rede e estabilidade da Internet nas regiões da Rússia. Em vez de dois consoles, há apenas um. A regra de roteamento e a regra do firewall vivem no mesmo contexto. Se o tráfego mudar para um canal de reserva, as políticas de segurança são aplicadas a ele automaticamente - sem reconfiguração manual e sem "pontos cegos". A solução integrada sabe não apenas "para onde o pacote vai" (SD-WAN), mas também "o que está nele" (DPI/IPS) e "quem o enviou" (identificação do usuário). Para a equipe de SI, isso significa um quadro completo: da escolha da rota ao conteúdo da sessão. Todas as sessões são registradas em um só lugar e transferidas para o SIEM sem a necessidade de correlação adicional. Um controlador SD-WAN separado, um NGFW separado, um sistema de monitoramento separado - são três licenças, três plataformas para atualização e três pontos de falha. A integração reduz o número de dispositivos e simplifica a operação. De acordo com Anti-Malware.ru, a combinação de NGFW e SD-WAN reduz o custo total de propriedade, reduzindo o equipamento e simplificando as compras.

Cenários de Uso e Benefícios Para empresas distribuídas, a velocidade de conexão de novos pontos é um fator crítico. No esquema clássico, a conexão de uma filial se parece com isto: pedido de canal ao provedor - até 2 semanas, viagem de um engenheiro de rede para configurar o equipamento, configuração manual de túneis VPN e roteamento, configuração separada das políticas de segurança pela equipe de SI, testes e comissionamento. Total: de 3 a 6 semanas para um ponto. Cada dia de inatividade - perdas financeiras diretas. SD-WAN com a função Zero-touch provisioning (ZTP) muda a abordagem radicalmente. O dispositivo CPE (Customer Premises Equipment - equipamento do lado do cliente) chega à filial, o funcionário no local conecta a energia e o cabo de Internet. Todo o resto - configuração de túneis, roteamento, políticas de segurança - é aplicado automaticamente a partir do console central. Um exemplo real: uma empresa de varejo transferiu 1600 lojas para SD-WAN. No início do projeto, eles planejaram transferir 4 lojas por noite, mas graças ao ZTP, a velocidade aumentou para 15-20 lojas por noite. A empresa abandonou completamente os caros canais MPLS, aumentou a largura de banda da WAN em 26 vezes e economizou US$ 20 milhões em três anos. Cenário 1: varejo com mais de 50 pontos de venda. Situação típica: uma rede de lojas, em cada uma - terminais POS, sistemas de fidelidade, Wi-Fi para clientes, vigilância por vídeo. Canais de comunicação - de fibra ótica em shoppings a LTE em pontos individuais. Problemas sem SD-WAN + NGFW: diferentes provedores em diferentes locais, configurações divergem. Um erro de digitação no roteamento - as transações bancárias nos caixas não passam. A segurança é heterogênea: em alguns lugares há um firewall, em outros - apenas NAT. Na degradação do canal, os caixas "ralentam" e os terminais travam. O que a combinação SD-WAN + NGFW oferece: políticas de segurança unificadas para todos os pontos a partir do console central. Não é necessário configurar cada loja separadamente. Priorização de tráfego: transações POS e processamento vão pelo canal com o mínimo de atraso (no momento!), Wi-Fi para convidados - pelo canal de Internet "barato". Failover automático: se o canal principal se degradou, o tráfego crítico muda instantaneamente para a reserva LTE. Os caixas não param. Segmentação: câmeras IoT são isoladas do tráfego de pagamento, Wi-Fi para convidados - em um segmento separado. A comprometimento de um segmento não afeta os outros. A rede de postos de gasolina Circle K, após a implementação do SD-WAN, começou a usar modems LTE como canais de reserva e reduziu significativamente o tempo de inatividade durante o processamento de pagamentos. Cenário 2: produção distribuída. Uma fábrica com vários locais, armazéns e instalações remotas. Nos locais - sistemas SCADA, sensores IoT, tráfego ERP entre locais, videoconferências entre engenheiros. Problemas sem SD-WAN + NGFW: canais MPLS são caros e inflexíveis. Adicionar um novo local - longas aprovações com o operador. O tráfego IoT de sensores e SCADA passa pelos mesmos canais que as videoconferências. Não há priorização. A segurança do segmento OT (tecnologias operacionais) é fornecida "como for" - firewalls separados nos locais não são sincronizados com a política central. O que a combinação SD-WAN + NGFW oferece: WAN híbrida: MPLS para ERP e SCADA críticos, LTE para o resto. Segmentação OT e IT: sensores IoT em um segmento separado, a rede corporativa - em seu próprio. As políticas do NGFW são aplicadas a ambos, mas as regras de isolamento excluem a propagação "horizontal" de ameaças. Roteamento SLA: o tráfego ERP entre locais vai apenas por canais com atraso abaixo do valor limite. Se o canal se degradou - comutação automática. Gerenciamento centralizado: um console para todos os locais. A alteração da política é aplicada a todos os nós simultaneamente.

No Ideco NGFW Novum 22 com SD-WAN - esta não é uma marca de marketing para comparação de NGFW, mas uma ferramenta de trabalho real para criar e manter redes distribuídas complexas. E até o final de 2026 - QoS, modelagem e gerenciamento centralizado de túneis - uma poderosa solução SD-WAN complementada por funções de segurança.