Barracuda SecureEdge: Características

O SecureEdge é construído com a mesma tecnologia do CloudGen Firewall, o firewall empresarial comprovado da Barracuda. Concebido especificamente para a cloud, o SecureEdge oferece segurança avançada em várias camadas para proteger os recursos essenciais da sua empresa, aproveitando um rico conjunto de funcionalidades, incluindo:

• Proteção avançada contra ameaças
• Deteção e prevenção de intrusões
• Proteção contra Malware
• Inspeção SSL
• Inspeção Profunda de Pacotes com Estado
• Arquitetura de passagem única
• Filtragem de URL - ACL Baseada em Aplicação

Enquanto as soluções tradicionais normalmente detetam ameaças de rede após terem violado a rede, enviando notificações de registo ao administrador, o Barracuda Advanced Threat Protection (ATP) implementa uma emulação completa do sistema, proporcionando uma visibilidade profunda do comportamento do malware. Os ficheiros são verificados em relação a uma base de dados de hash criptográfico que é constantemente atualizada. Caso o ficheiro seja desconhecido, ele é emulado numa sandbox virtual, onde comportamentos maliciosos podem ser descobertos. O Barracuda ATP oferece aos administradores um controlo granular baseado no tipo de ficheiro, incluindo funcionalidades de quarentena automática e lista de bloqueios, para manter o mais alto nível de proteção para a rede de uma organização.

O Barracuda SecureEdge pode aplicar IPS, proteção contra vírus, controlo de aplicações, filtragem de URL e até mesmo Proteção Avançada contra Ameaças ao tráfego web encriptado por SSL, utilizando a abordagem padrão "trusted man-in-the-middle". A intercetação SSL pode ser ajustada para isentar redes locais, utilizadores/grupos, categorias de filtro de URL ou domínios personalizados definidos da inspeção SSL.

O Sistema de Prevenção de Intrusão (IPS) da SecureEdge reforça significativamente a segurança da rede, fornecendo proteção abrangente em tempo real contra uma ampla gama de ameaças à rede, hacking, vulnerabilidades, explorações e exposições em sistemas operativos, aplicações e bases de dados. Previne ataques de rede como:

• Injeções SQL e execuções de código arbitrárias
• Tentativas de controlo de acesso e elevações de privilégios
• Cross-site scripting e buffer overflows
• Ataques de Denial of Service (DoS) e Distributed Denial of Service (DDoS)
• Transversal de diretórios e tentativas de sondagem e análise
• Ataques de backdoor, trojans, rootkits, vírus, worms e spyware

Como resultado, o Barracuda SecureEdge é capaz de identificar e bloquear tentativas avançadas de evasão e técnicas de ofuscação utilizadas por atacantes para contornar e enganar os sistemas tradicionais de prevenção de intrusão.

As atualizações automáticas de assinaturas são entregues regularmente ou em casos de emergência, à medida que surgem novas vulnerabilidades, para garantir que o Barracuda SecureEdge esteja constantemente atualizado.

O SecureEdge impõe segurança total com ACLs, controlo de aplicações, filtragem de URL, antivírus e Proteção Avançada contra Ameaças, permitindo a segmentação e o controlo da rede dentro da Azure Virtual WAN. Isso elimina a necessidade de Grupos de Segurança, Azure Firewall ou Parceiros de Segurança do Azure, substituindo-os por uma solução flexível, fácil de usar e económica. O SecureEdge oferece ainda uma visibilidade em tempo real sem precedentes de todo o tráfego que entra e é gerado dentro da WAN Virtual.

A tecnologia Adaptive Session Balancing garante a utilização da melhor ligação ascendente disponível para o perfil da aplicação, para todos os túneis encriptados entre sites SD-WAN. Se o estado de saúde do uplink inicial for restaurado, o tráfego SD-WAN encriptado será revertido de forma transparente para este uplink. O encaminhamento baseado em aplicações, tendo em conta os resultados da Deteção Dinâmica de Largura de Banda e Latência, aplica o mesmo conceito ao tráfego de saída da Internet, garantindo que as aplicações SaaS como o Office 365 estão sempre a utilizar o melhor uplink disponível, mesmo quando as condições mudam com frequência.

Para proporcionar a melhor experiência possível ao utilizador em toda a WAN, os dispositivos SecureEdge medem proativamente as larguras de banda disponíveis e a qualidade de todas as ligações de internet e entre os terminais VPN. Os resultados ficam diretamente disponíveis para o mecanismo de segurança e políticas SD-WAN, para selecionar o uplink mais adequado por aplicação ou para desqualificar um uplink se a largura de banda ou a latência estiverem fora dos limites aceitáveis.

Uma combinação única de segurança de última geração e tecnologia de roteamento WAN adaptável permite que o Barracuda SecureEdge atribua dinamicamente a largura de banda disponível, o uplink e as informações de roteamento com base no protocolo, utilizador, localização e conteúdo, bem como na aplicação, categorias de aplicações e até mesmo categorias de conteúdo web. Isso mantém as linhas caras e de alta disponibilidade livres para aplicações críticas para os negócios e missões, ao mesmo tempo que reduz significativamente os tempos de resposta e libera largura de banda adicional.

Para ver uma lista atual de aplicações e sub aplicações que o SecureEdge reconhece para o encaminhamento baseado em aplicações, visite o Explorador de Aplicações Online.

O Barracuda SecureEdge utiliza a deteção dinâmica de largura de banda e latência para equilibrar automaticamente as sessões existentes dentro de túneis VPN lógicos em todos os uplinks disponíveis. Este equilíbrio em tempo real otimiza a eficiência da rede e a utilização da largura de banda a qualquer momento.

Se a deteção dinâmica de largura de banda e latência indicar que a largura de banda medida de uma ligação ascendente é demasiado baixa para suportar certos tipos de tráfego crítico para o negócio (por exemplo, VoIP), o Barracuda SecureEdge muda automaticamente as sessões de tráfego não crítico para o negócio para ligações secundárias para libertar largura de banda para o tráfego crítico.

A Secure SD-WAN entre dispositivos Barracuda Networks utiliza TINA (Transport Independent Network Architecture) por predefinição, uma versão melhorada do protocolo IPsec concebida para superar as limitações inerentes ao IPsec. O protocolo TINA utiliza uma combinação de TCP, UDP e ESP para conexões VPN de alta velocidade, melhorando substancialmente a conectividade VPN. Também adiciona conectividade padrão ponto a ponto (não rede a rede), compatibilidade NAT integrada, compatibilidade com proxy HTTPS e SOCKS4/5 integrada, suporte a endereços dinâmicos e melhor qualidade de túnel VPN por meio de monitorização avançada de pulsação dinâmica do túnel.

Com o modem USB LTE opcional, os dispositivos SecureEdge podem aproveitar a conectividade 4G/LTE e a infraestrutura celular para fornecer velocidades de banda larga em configurações de failover ou balanceamento de carga. Para locais sem opções de banda larga com fio e conectividade celular suficiente, o modem USB LTE pode servir como conexão principal à internet. O modem USB LTE Barracuda pode até mesmo ser utilizado para a implementação sem intervenção humana de dispositivos SecureEdge em áreas onde ainda não há conectividade à internet por cabo.

Para estender o serviço SASE à velocidade da linha para cada dispositivo do site e ultrapassar as limitações introduzidas pela tecnologia SD-WAN tradicional baseada em uplinks partilhados como a banda larga, o SecureEdge apresenta tecnologia de otimização de uplink com Correção de Erros de Transmissão e inteligência de tráfego auto-reparável. Isto permite utilizar a largura de banda física disponível de forma mais eficaz e expandir os benefícios da SD-WAN para sites com uplinks únicos, bem como a utilização otimizada de uplinks partilhados.

O serviço Barracuda SASE SecureEdge está disponível como SaaS diretamente gerido pela Barracuda Networks, como SecureEdge para WAN Virtual no Microsoft Azure e gerido pela Microsoft, ou como appliance virtual e de hardware para serem geridos e alojados pelo cliente ou parceiro de confiança. Independentemente do tipo de implementação, toda a gestão de configuração baseada em intenções é efetuada a partir do portal cloud SecureEdge Manager. O serviço, em seguida, encarrega-se de propagar e aplicar as alterações para cada borda de serviço, site, utilizador ou coisa.

Uma vez conectado e ligado, cada dispositivo do local utiliza automaticamente todos os uplinks disponíveis para se conectar ao serviço SASE. Com definições de política SD-WAN predefinidas para milhares de aplicações comerciais comuns, os dispositivos garantem que o melhor caminho de uplink seja sempre utilizado para a aplicação.

O Barracuda SecureEdge Service e o SecureEdge Access Agent fornecem acesso seguro a qualquer aplicação privada ou SaaS, independentemente de onde estejam hospedados, seguindo os princípios de confiança zero. O Zero Trust Network Access (ZTNA) fornece aos utilizadores o acesso com o mínimo de privilégios às aplicações empresariais, minimizando os riscos comerciais. A Segurança Zero Trust da Barracuda SecureEdge estabelece um controlo de acesso sem precedentes entre utilizadores e dispositivos, sem as desvantagens de desempenho de uma VPN tradicional. Ele fornece acesso remoto, condicional e contextual aos recursos e reduz o acesso com privilégios excessivos e os riscos de terceiros associados.

A ligação a recursos corporativos muitas vezes sofre de limitações causadas por linhas de banda larga de internet partilhadas e com perdas. A otimização da última milha para o tráfego de aplicações através do SecureEdge melhora a experiência do utilizador final ao reduzir a perda de pacotes e reservar uma maior porção da largura de banda disponível das linhas partilhadas, melhorando a qualidade das chamadas de voz e vídeo. A tecnologia subjacente para remediar a perda de pacotes baseia-se em códigos de rede lineares aleatórios (RLNC), um novo esquema de codificação algorítmica que reage muito mais rapidamente às perdas e as remedia em tempo real, exigindo assim menos retransmissões e reduzindo a sobrecarga nos dispositivos.

A aplicação SecureEdge Access Agent está disponível para todas as plataformas de desktop e móveis, proporcionando segurança consistente e funcionalidade ZTNA. O melhor de tudo: a licença é baseada no utilizador e cobre até 5 dispositivos por utilizador.

O encaminhamento de todo o tráfego de volta para um ponto de acesso central pode impactar aplicações sensíveis à latência, como o Microsoft 365 ou uma chamada Zoom. Para oferecer a melhor qualidade de serviço possível, o SecureEdge permite definir aplicações que podem conectar-se diretamente a esses serviços e qual tráfego de aplicações deve ser retransmitido para processamento posterior.

A otimização integrada do tráfego de Internet do serviço para o agente SASE permite que os endpoints aproveitem mais da largura de banda disponível em linhas de internet partilhadas para melhorar o desempenho da aplicação. A tecnologia subjacente para remediar a perda de pacotes baseia-se em códigos de rede lineares aleatórios (RLNC), um poderoso esquema de codificação. Os algoritmos baseados em códigos RLNC reagem muito mais rapidamente às perdas e remediam essas perdas em tempo real, exigindo assim menos retransmissões de pacotes e reduzindo a sobrecarga nos dispositivos.

A funcionalidade de gateway web segura do Serviço SecureEdge foi estendida ao terminal com o SecureEdge Access Agent, que fornece acesso seguro à Internet (SIA). O Agente bloqueia categorias da Web proibidas ou indesejadas conhecidas sem inspeção adicional. Não há motivo para enviar este tipo de tráfego para a cloud para inspeção quando ele pode ser bloqueado imediatamente no terminal. Pode ser conteúdo que entre em conflito com regulamentos ou conformidade corporativa ou sites conhecidos por serem maliciosos. Isso inclui até mesmo "chamadas efetuadas" por software malicioso que já está no dispositivo e está a tentar ligar para o seu criador. O acesso a aplicações SaaS "conhecidas como seguras" é permitido por predefinição, sem serem enviadas para o serviço na cloud para inspeção de segurança. Os clientes têm controlo total, ativando ou desativando o acesso por meio de mais de 100 categorias de filtros de conteúdo e milhares de definições de aplicações.

A inspeção de segurança completa é aplicada a aplicações e websites que não são conhecidos como bons nem maus ou que o departamento de TI requer uma inspeção completa para fins de conformidade. O tráfego de e para estes destinos é automaticamente enviado para o Serviço SecureEdge para uma inspeção de segurança completa de próxima geração, incluindo IPS, inspeção SSL profunda e Proteção Avançada contra Ameaças através da cloud Barracuda BATP.

O recurso de filtragem de conteúdo do SecureEdge permite criar e aplicar políticas eficazes de conteúdo e acesso à Internet, proporcionando visibilidade altamente granular e em tempo real das atividades online, divididas por utilizadores individuais e aplicações. Protege a produtividade do utilizador, bloqueia downloads de malware e outras ameaças da Web e apoia a conformidade, bloqueando o acesso a sites e servidores indesejados, proporcionando uma importante camada adicional de segurança, juntamente com o controlo de aplicações.

Os serviços SecureEdge e os dispositivos SecureEdge incluem dicionários pré-definidos em inglês com palavras-chave e frases relacionadas a assédio, armas, terrorismo e pornografia. Os administradores são notificados quando conteúdos que contêm estas palavras-chave ou frases são pesquisados online. Os alertas são marcados com identidades reais de utilizadores da rede, registos de data e hora, endereços IP e termos de pesquisa, facilitando a identificação da fonte, independentemente dos perfis online. Palavras-chave personalizadas para monitorização podem ser facilmente adicionadas através da interface do utilizador baseada na web.

Mesmo que websites maliciosos e inadequados sejam bloqueados, os utilizadores ainda podem aceder a conteúdos inadequados através de motores de busca populares. Os dispositivos do site SecureEdge e os serviços SecureEdge fornecem a capacidade de aplicar a opção SafeSearch para os motores de busca mais populares e o YouTube. Porque isto é aplicado ao nível da rede, os utilizadores finais não podem manipular ou contornar esta definição através das suas próprias contas.

Os serviços SecureEdge e os dispositivos SecureEdge para sites oferecem a capacidade de remover publicidade online de forma transparente, sem exibir mensagens de bloqueio ou notificações que chamam a atenção.

A rede global de inteligência contra ameaças incomparável da Barracuda recolhe grandes quantidades de informações diversas e em tempo real sobre ameaças de milhões de pontos de recolha em todo o mundo. O Barracuda CloudGen Access utiliza este sistema para melhorar continuamente as suas capacidades de deteção de ameaças e responder às tendências de ameaças em rápida evolução.

O SecureEdge é fácil de configurar e não requer conhecimentos especializados em TI. O SecureEdge funciona imediatamente com uma configuração padrão inteligente, adequada para todas as aplicações cloud e SaaS. O serviço pode ser implementado em todas as localizações como uma solução SD-WAN pura, juntamente com os firewalls existentes, ou como uma solução SD-WAN segura, substituindo os firewalls existentes.

A implementação sem intervenção permite enviar dispositivos SecureEdge diretamente da fábrica para o local remoto desejado, sem a necessidade de pessoal de TI no local. Ligue a unidade e ligue-a à corrente e ela solicitará, receberá e instalará automaticamente o seu ficheiro de configuração específico. Isso torna extremamente fácil, rápido e económico implementar dispositivos SecureEdge em organizações amplamente distribuídas. Para locais em áreas onde ainda não há conectividade à Internet com fio, o modem USB LTE Barracuda opcional pode ser utilizado para facilitar a implementação inicial.

Gerido diretamente pelo SecureEdge Manager para todas as regiões e todos os locais da sua WAN global, independentemente do número de pontos de entrada na cloud ou localizações. O portal central na cloud oferece o mais alto grau de automação e facilidade de utilização incomparável. O SecureEdge Manager monitoriza e otimiza continuamente o desempenho da rede para garantir conectividade ininterrupta e níveis elevados de qualidade de serviço para o tráfego e as aplicações essenciais para o seu negócio.

Para filtragem de conteúdo, proteção contra malware, inspeção SSL, IPS e regras de firewall (ACLs), os utilizadores ou grupos podem ser definidos utilizando critérios de inclusão. Permita determinadas categorias de sites para utilizadores ou grupos específicos (por exemplo, conceda acesso ao Facebook para a equipe de marketing e bloqueie o acesso para todos os outros utilizadores) ou isente determinados utilizadores ou grupos de utilizadores da verificação IPS ou SSL.

No passado, as soluções de segurança eram complicadas de utilizar ou apresentavam deficiências nas suas capacidades de segurança subjacentes. Os firewalls e outras soluções de segurança baseavam-se na atribuição de redes, intervalos de IP e capacidades de segurança de produtos pontuais a essas redes. As operações baseadas em intenção são construídas desde o início como parte do conceito do SecureEdge Manager para a nossa plataforma SASE unificada. A plataforma Barracuda SecureEdge SASE é estritamente específica para utilizadores, grupos e aplicações. Os utilizadores remotos podem, assim, aceder a aplicações em nuvens privadas e públicas, bem como à Internet, de forma muito mais rápida.

Além de milhares de aplicativos predefinidos, a plataforma SecureEdge SASE permite criar aplicativos privados que podem ser hospedados em qualquer lugar. É rápido, fácil e deve ser feito apenas uma vez, sendo depois partilhado com as definições de políticas de segurança, SD-WAN e ZTNA. Todas as otimizações de rede e roteamento necessárias são feitas de forma completamente transparente em segundo plano e aplicadas automaticamente a cada site, utilizador ou instância de serviço.

A pequena aplicação SD-WAN Connector permite conectar qualquer cloud ou local que execute serviços ou servidores Windows ou Linux para acesso direto a aplicações através do ZTNA e disponibiliza-os à sua força de trabalho.

O Azure Monitor e o Azure Log Analytics subjacente são a solução da Microsoft para recolher, monitorizar, analisar e agir com base em dados de telemetria de qualquer aplicação hospedada no Azure e em ambientes locais, e até mesmo de equipamentos de rede e segurança correspondentes. Isto permite aos clientes automatizar a análise dos dados subjacentes, configurar alertas e utilizar informações orientadas por machine learning para identificar e resolver rapidamente problemas relacionados com a segurança e conectividade da sua infraestrutura cloud, sem iniciar sessão nas máquinas ou dispositivos reais. É possível configurar o SecureEdge para enviar dados de registo relevantes para segurança, conectividade, SD-WAN e ponto a ponto para o Azure Log Analytics para análise adicional.

O Azure Secured Hub é um hub Azure Virtual WAN seguro com políticas de segurança e encaminhamento associadas, configuradas pelo Azure Firewall Manager, com segurança de saída fornecida por um serviço de Parceiros de Segurança do Azure aprovado. O Barracuda SecureEdge é totalmente compatível para implementação nestes cenários, a fim de fornecer conectividade SD-WAN e segurança de firewall de última geração para todos os locais e acesso privado de alto desempenho aos recursos da cloud para terminais.

O SecureEdge Manager oferece uma interface de painel personalizável e intuitiva para uma visão geral rápida sobre utilizadores, ameaças, atividades na rede, estado da infraestrutura e estado da conectividade SD-WAN. Painéis adicionais com configurações personalizadas, consistindo numa seleção de dezenas de blocos predefinidos, estão disponíveis com apenas alguns cliques.