Apresentamos a rede de cafeterias

Possibilitar acesso remoto seguro, com um toque de simplificação da rede

Durante quase uma década, os líderes de TI corporativos lidaram com duas realidades distintas. Construímos “fortalezas” para nossos escritórios, protegidas por firewalls,LANs virtuais (VLANs) rígidas e circuitos MPLS caros. Simultaneamente, construímos “túneis” para nossa força de trabalho remota, protegidos por VPNs e, mais recentemente, soluções de acesso à rede Zero Trust (ZTNA).

Embora essas iniciativas paralelas tenham gerado valor, elas resultaram em uma realidade fragmentada. A experiência de rede para um usuário remoto é fundamentalmente diferente da experiência de um usuário que trabalha no escritório. Isso cria atrito operacional para nossas equipes e estabelece uma postura de segurança inconsistente para a organização.

É hora de mesclar esses fluxos. É hora de parar de gerenciar nossas filiais como data centers e começar a gerenciá-las como cafeterias.

A Gartner cunhou o termo “coffee shop networking (rede de cafeterias)” para descrever essa mudança. A premissa é enganosa em sua simplicidade: forneça a toda a sua força de trabalho uma conexão simples e rápida com a internet, com acesso seguro a todos os aplicativos de que precisam, seja em casa, em uma filial ou trabalhando em uma cafeteria perto de casa.

Esta abordagem abandona o conceito obsoleto da LAN confiável. Em vez disso, podemos usar a internet pública como nossa principal WAN corporativa, reduzindo significativamente os custos de infraestrutura e, ao mesmo tempo, melhorando a segurança.

Apesar de sua aparente simplicidade, a implementação da rede de cafeterias requer algum planejamento. Seguir um roteiro estratégico ajuda os executivos a simplificar a arquitetura de sua rede e a oferecer uma experiência consistente e que prioriza a internet para os funcionários.

O paradoxo do escritório “confiável”

Tradicionalmente, a segurança das filiais dependia de uma série de dispositivos locais: soluções de controle de acesso à rede (NAC) para autenticação, VLANs para segmentação e firewalls de rede para impor a autorização. Este modelo de gestão "dispositivo por dispositivo" é insustentável em grande escala. Exige conhecimento especializado local e frequentes deslocamentos de técnicos para atualizações. Além disso, cria um ambiente instável onde a localização do usuário determina sua política de segurança.

O modelo de cafeteria levanta uma questão fundamental: como garantir a conectividade para todos os usuários sem depender da segurança da própria rede?

Apresentamos o serviço de acesso seguro de borda (SASE), uma arquitetura baseada em nuvem que unifica os serviços de rede e de segurança definidos por software. Um dos elementos principais de uma plataforma SASE é o ZTNA, que trata, por padrão, cada usuário, dispositivo e local como não confiável. Se o ZTNA oferece controle superior, granular e baseado em identidade para usuários remotos, por que o desativamos quando eles entram no escritório? Ao manter o ZTNA “sempre ativado”, a rede do escritório se torna um mero canal de transmissão, uma camada de transporte indistinguível da de uma Starbucks ou de uma sala VIP de aeroporto.A modernização do acesso à rede usando SASE com ZTNA, juntamente com outros recursos de rede como serviço (NaaS) e redes mesh, pode proporcionar alguns benefícios importantes e imediatos, incluindo:

• Simplicidade: os funcionários não precisam mais alternar as VPNs. A experiência é idêntica em todos os lugares.

• Agilidade: novos sites de filial podem ser ativados com banda larga básica, em vez de esperar meses por circuitos privados.

• Economia de custos: as organizações podem reduzir os gastos de capital com hardware pesado de filiais e as despesas operacionais de MPLS.

A experiência de segurança “invisível”

Historicamente, "mais segurança" tem significado mais atrito para o usuário final O modelo de cafeteria inverte essa dinâmica. Ao tratar a rede do escritório como uma camada de transporte não confiável, paradoxalmente, criamos um fluxo de trabalho mais tranquilo e consistente para os funcionários.

Em uma configuração tradicional, a experiência do usuário flutua muito. No escritório, eles estão em uma LAN confiável com acesso direto. Em casa, enfrentam dificuldades com a ativação da VPN e a latência do tráfego de backhaul. No modelo de cafeteria, um agente Zero Trust cria uma camada uniforme de conectividade. O agente está sempre ativo, gerenciando a autenticação e o roteamento de forma transparente em segundo plano.

Isso proporciona duas vantagens imediatas em termos de experiência:

• Equidade de desempenho: quer um usuário esteja na sede ou em um hotel, o tráfego dele segue o caminho mais direto até o aplicativo por meio do backbone global, em vez de ser roteado de forma complexa através de um data center central.

• Suporte proativo: como a pilha de segurança e rede são unificadas no dispositivo, as equipes de TI obtêm visibilidade da experiência digital real do usuário. Essas equipes conseguem diferenciar entre um dispositivo lento, uma conexão Wi-Fi local ruim ou uma interrupção de aplicativo, muitas vezes corrigindo problemas antes que o usuário abra um ticket.

Então, como você começa? Uma abordagem em três fases pode agilizar a implementação.

Fase 1: Fazer da identidade o novo perímetro

A primeira etapa desta transformação é separar as comunicações seguras de redes públicas possivelmente não confiáveis. Devemos usar a infraestrutura fornecida em nuvem, o ZTNA, para intermediar o acesso seguro de usuários a aplicativos privados e alvos de infraestrutura em qualquer local. Em vez de colocar endpoints (como uma VPN ou firewall) “na” rede, o ZTNA oferece à sua força de trabalho o nível exato de acesso necessário para realizar seu trabalho e nada mais.

Para dispositivos não gerenciados, como prestadores de serviços terceirizados ou cenários do tipo traga seu próprio dispositivo (BYOD), nos quais agentes não são práticos, podemos aproveitar o ZTNA sem agente. Ao usar proxies reversos e isolamento do navegador, aplicamos controles baseados em contexto (como local ou hora do dia) sem tocar no dispositivo.

Fase 2: Usar a internet como backbone corporativo

Uma vez que o usuário esteja protegido pelo agente, a rede da filial em si pode ser radicalmente simplificada. O objetivo é migrar de uma WAN pesada e centrada em hardware para um modelo “light-branch, heavy-cloud” que representa a evolução da conectividade SD-WAN.

Nessa arquitetura que prioriza a internet, o dispositivo da filial executa apenas tarefas mínimas:

1. Seleção básica de caminhos: roteamento de tráfego por links duplos de internet (fibra, 5G ou banda larga) para resiliência.

2. Tunelamento: encapsulamento de tráfego não relacionado a usuários (de impressoras, dispositivos IoT ou servidores) via IPsec para o nó de nuvem de segurança mais próximo.

Isso nos permite tratar a internet pública como a base para toda a conectividade. Ao fazer o roteamento de todo o tráfego site a site através de uma plataforma SASE em vez de dispositivos SD-WAN ou circuitos MPLS, estendemos a WAN usando conexões locais com a internet. A nuvem cuida da otimização de desempenho, roteamento e segurança, enquanto o hardware local se torna um mero recurso.

Fase 3: Lidar com dispositivos headless

A principal objeção ao modelo de cafeteria é a realidade dos dispositivos “headless” (não relacionados a usuários), como impressoras, pontos de acesso Wi-Fi e outros dispositivos de IoT/TO que não podem executar um agente ZTNA. É aqui que o dispositivo de borda leve demonstra seu valor. Em vez de implementar VLANs locais complexas, podemos usar a borda da WAN para isolar esses dispositivos em um segmento não ZTNA e direcionar seu tráfego para a nuvem para filtragem.

Isso nos permite simplificar nossos projetos de LAN. Devemos buscar, no máximo, dois segmentos: dispositivos ZTNA (usuários confiáveis) e dispositivos não ZTNA (para dispositivos de IoT e convidados). Deixamos de gerenciar listas de controle de acesso (ACLs) locais e transferimos toda a filtragem norte-sul para o mecanismo de política de nuvem.

Otimizar a rede de cafeterias

Embora o conceito de cafeteria seja independente de fornecedor, executá-lo requer uma plataforma SASE que integre a conectividade de rede e a segurança Zero Trust em um único plano de controle. É neste ponto que a Cloudflare se destaca.

O Cloudflare One fornece todos os ingredientes para a rede de cafeterias. Ele oferece ZTNA, rede como serviço, gateway seguro da web (SWG), recursos de firewall como serviço (FWaaS) e digital experience monitoring (DEM), tudo a partir de uma plataforma única e unificada. Ele é construído sobre uma arquitetura nativa de nuvem, distribuída globalmente, que executa todos os serviços em todos os servidores, garantindo alta resiliência e a aplicação de políticas consistente. O modelo desconexo de escritórios seguros e trabalho remoto inseguro é uma relíquia de um passado baseado em perímetro. Adotar uma arquitetura de rede de cafeterias permite que você alinhe sua infraestrutura com as realidades do trabalho híbrido. Você pode proporcionar uma experiência consistente e segura aos usuários, onde quer que eles estejam trabalhando, evitando os custos de hardware legado.

O futuro da rede corporativa não é uma fortaleza. É uma malha global de conexões seguras e nativas da internet.

Este artigo é parte de uma série sobre as tendências e os assuntos mais recentes que influenciam os tomadores de decisões de tecnologia hoje em dia.

Autoria

Daniel Creed
Field CISO, Cloudflare

Principais conclusões

Após ler este artigo, você entenderá:

• Por que as organizações devem evitar redes distintas para usuários remotos e no escritório

• Como a “rede de cafeterias” unifica experiências e simplifica operações

• Três fases para otimizar a implementação da rede de cafeterias

Recursos relacionados

• The blueprint to coffee shop networking

• O futuro da rede

• A rede corporativa agora é a internet