BLOG

Um ponto de vista empresarial...

Miniatura F5
F5
Publicado em 15 de janeiro de 2021

Durante o último ano e meio, trabalhamos com alguns grandes bancos globais para testar e avaliar nossas soluções.

Para ser honesto, fomos abordados por esses bancos quando eles começaram a ver a necessidade de criar uma estratégia de ponta e também começaram a pensar em consumir múltiplas nuvens (palavra da moda – ‘Multi-nuvem’), principalmente de forma privada.

É importante fazer uma distinção entre multinuvem e múltiplas nuvens. Muitas empresas começam sua jornada adotando ofertas de Software como Serviço (SaaS), como Office 365, Salesforce ou Workday, como seus primeiros passos em direção à nuvem. Se essa primeira incursão for bem-sucedida, essas empresas pretendem aproveitar ainda mais as vantagens da nuvem recorrendo a aplicativos mais complexos.

Para outros, migrar para a nuvem é um exercício de elevação e mudança. Os aplicativos são hospedados na AWS, Azure ou GCP, em vez de em um data center privado. À medida que as empresas exploram as nuances operacionais de várias nuvens, elas podem favorecer uma ou outra para aplicações específicas, geralmente devido a requisitos econômicos ou de desempenho.

A promessa da multinuvem, no entanto, não se trata simplesmente de fragmentar o ambiente de TI em fragmentos específicos da nuvem que abrangem infraestrutura e operações para domínios delimitados. Multi-cloud consiste em gerenciar recursos distribuídos, independentemente de residirem em uma nuvem privada ou pública, como uma infraestrutura única e coesa.

O objetivo final de um ambiente multi-nuvem é, de fato, a ausência de um ambiente – em outras palavras, a infraestrutura deve ser invisível e, portanto, a localização não deve importar.

O começo...

E foi aqui que começamos com os grandes bancos – A adoção do SaaS.

Para ser mais específico, a adoção do Office 365 (agora conhecido como Microsoft 365) como SaaS (mas poderia ser qualquer outro SaaS, na verdade).

Adotar o Office 365 como SaaS traz alguma complexidade extra porque o Office, como um conjunto de aplicativos, tem sido usado e gerenciado por equipes internas de TI por ANOS... e, por isso, é um pouco mais complexo mudar processos do que adotar novos.

E essa foi realmente a tarefa que nos foi proposta por esses grandes bancos. Deixe-me escrever a tarefa em palavras simples: “Queremos conectar nossos usuários ao Office 365 com a mesma qualidade de experiência do usuário que eles têm agora, mas com os benefícios adicionais da plataforma Office 365, principalmente em relação à colaboração”.

Ok, então sabemos algumas coisas:

  1. O Office 365 (como a maioria das plataformas SaaS) é acessado pela Internet
  2. A internet não oferece qualidade de serviço
    uma. PRIMEIRA QUESTÃO – Como podemos garantir a qualidade da experiência do usuário?
  3. Acessar uma plataforma SaaS pela Internet pode violar os mandatos de segurança CORP (em ambientes altamente regulamentados, como esses grandes bancos)
  4. O acesso à internet é feito através de um proxy… através de um proxy TCP
    b. SEGUNDA EDIÇÃO – E quanto à Voz e ao Vídeo?

Ok, então antes de passar por mais detalhes sobre os itens mencionados acima, uma pergunta realmente pertinente – “Qual é, na realidade, o motivo para mudar do Office local para a oferta SaaS do Office 365?” - Esta pergunta também poderia ser enquadrada como “O que, na realidade, impulsiona a mudança para adotar ofertas SaaS”.

Motoristas de negócios

Bem, a resposta para isso se resume aos motivadores empresariais. O primeiro impulsionador de negócios foi operacional, relacionado ao fato de que manter os aplicativos do Microsoft Office no local requer uma quantidade enorme de infraestrutura e uma estrutura organizacional de TI complexa para dar suporte a esses aplicativos, incluindo, mas não se limitando a, uma série de equipes/profissionais que representam um enorme fardo operacional.

O segundo impulsionador do negócio era como alcançar melhor colaboração sem prejudicar a segurança.

Os bancos globais têm uma presença amplamente distribuída em termos de data centers, campi, agências e pessoas. E eles precisam conectar todos. Portanto, ter uma força de trabalho amplamente distribuída complica a tarefa de colaboração e, portanto, a adoção de ferramentas que a aprimorem é essencial. Mas, embora colaborar dentro da rede corporativa usando seu backbone privado possa ser visto como seguro, fazê-lo pela internet com pessoas trabalhando em casa e conectadas em qualquer lugar tem seus desafios.

Então, como alcançar a colaboração sem prejudicar a segurança quando você tem uma força de trabalho massivamente distribuída? É aqui que os backbones privados entram em ação: transportar tráfego por um backbone privado não só é percebido como seguro (conforme declarado acima), mas também permite que a engenharia de tráfego alcance qualidade de experiência do usuário. E adivinhe — os bancos já têm suas próprias estruturas privadas. Então, como conectar seus backbones diretamente ao provedor de SaaS para garantir que o tráfego permaneça privado de ponta a ponta?

Há duas respostas para esta pergunta:

  1. No caso do Office 365, a plataforma Azure permite que grandes empresas tenham links privados, dedicados e de alta velocidade para sua nuvem, chamados circuitos ExpressRoute. Portanto, a Microsoft agora pode resolver o desafio comum de latência e desempenho permitindo que funcionários corporativos e sistemas VDI acessem o Office 365 por meio deste circuito ExpressRoute privado dedicado.
  2. A segunda opção é usar um provedor de serviços que já esteja conectado a esses provedores de SaaS e nuvem com links dedicados, por meio de seu próprio backbone privado – como o Volterra. (sim, nesta opção você não precisa de seu próprio backbone privado).

Vamos nos aprofundar um pouco mais na primeira solução:

Há um conjunto de serviços que um banco precisará para se conectar e enviar tráfego de funcionários ao Office 365 por meio de um circuito privado, bem como serviços que são obrigatórios quando um banco estabelece um novo circuito – que é, de certa forma, uma nova DMZ, então os serviços existentes na DMZ precisam estar lá. O conjunto mínimo de serviços necessários são:

  • Firewall / roteador – porque há necessidade de rotear para os endpoints públicos (sim, eles ainda são públicos) por meio deste circuito, para injetá-los na rede corporativa e proteger tudo isso implementando políticas de firewall e NAT
  • Proxy – porque há uma necessidade de cumprir com as políticas CORP, como fazer restrição de inquilinos (para permitir apenas o acesso às contas corporativas por meio deste novo caminho e negar o acesso às contas privadas)
  • Balanceador de carga – porque há necessidade de distribuir o tráfego entre todos os serviços para processamento distribuído e também para alta disponibilidade.

A imagem abaixo ilustra isso:

negócio1

Portanto, embora um dos impulsionadores do negócio fosse reduzir a infraestrutura e a carga operacional, ainda há um grande conjunto de serviços e infraestrutura necessários para manter essa opção.

Também existem alguns desafios associados a esta abordagem relacionados a:

  1. Injetando espaço de endereço IP público na rede corporativa
  2. Gerir os diversos caminhos que os utilizadores têm agora para aceder aos serviços (circuito privado e internet)
  3. Manutenção dos serviços/aparelhos necessários (conforme descrito acima)

Entra Volterra

O serviço Volterra VoltMeshTM pode ser implantado como uma solução de acesso privado gerenciada por SaaS para empresas que inclui um roteador de aplicativo com proxy programável e um balanceador de carga. Esta solução pode simplificar as implementações do ExpressRoute e superar os obstáculos de segurança criados pelas alterações na arquitetura de rede interna. Esta solução Volterra permite que as empresas forneçam aos funcionários os benefícios do ExpressRoute para o Office 365 e serviços de aplicativos relacionados, ao mesmo tempo em que eliminam com elegância a necessidade de implantar e/ou gerenciar infraestrutura de rede complexa e políticas de segurança.

Em um nível alto, a empresa terá o VoltMesh implantado em um ou mais locais da empresa e fazendo peering com o roteador Azure ExpressRoute, onde a Microsoft apresenta as rotas/serviços do Office 365. O VoltMesh realiza a descoberta automatizada dos pontos de extremidade do Office 365 por meio deste roteador, permitindo que as empresas acessem os serviços do Office 365 implementando os componentes de infraestrutura necessários (firewall, roteador, proxy, balanceamento de carga) de forma distribuída, removendo assim a latência potencial (o tráfego atinge apenas um dispositivo), o risco (a complexidade do roteamento é removida) e garantindo uma experiência ideal para o usuário.

A imagem abaixo ilustra isso:

negócio2

Principais pontos de comparação em resumo:

Abaixo está uma rápida visão geral de uma solução versus a outra – lado a lado:

negócios3

Visão geral operacional

Agora que cobrimos os aspectos técnicos em torno das soluções e quais são os benefícios, devemos nos concentrar nos impulsionadores de negócios mencionados no início deste artigo e ver qual é o impacto operacional de um em relação ao outro.

Pelo que abordamos antes, há alguns itens operacionais nos quais devemos nos concentrar. Esses itens de operação são:

  1. Adicionando capacidade à infraestrutura que se conecta ao Office 365 – neste cenário temos que comparar que de um lado estamos adicionando capacidade em 3 camadas diferentes e 3 appliances diferentes (firewall, proxy e balanceador de carga) e do outro lado – Volterra – temos apenas que adicionar uma caixa que será agrupada automaticamente.

Abaixo está a visão geral desta comparação:

negócios4
  1. Alterar configurações – O Office 365 altera ou adiciona pontos de extremidade com frequência. Para manter a funcionalidade normal, esses endpoints precisam ser atualizados e permitidos nos três dispositivos. Com o Volterra, devido à descoberta automática dos endpoints, esse processo é automático, como visto abaixo:

Abaixo está a visão geral desta comparação:

negócios5
  1. Atualizações – Sejam atualizações de software, sistema operacional ou firmware, essas caixas precisarão ser atualizadas. As atualizações do Volterra são feitas como uma frota de sites/dispositivos. Você clica uma vez e o processo de rolagem começa.

Abaixo está a visão geral desta comparação:

negócios6
  1. Solução de problemas – Esta é provavelmente a tarefa que acontecerá com mais frequência – os usuários reclamam – e para cada reclamação a infraestrutura é frequentemente culpada antes que qualquer outra solução de problemas seja feita. Solucionar problemas de infraestrutura em vários dispositivos, geralmente gerenciados por equipes diferentes, é um processo demorado e muito difícil de correlacionar. O VoltMesh oferece correlação automática entre todos os serviços implantados e todas as equipes (NetOps, SecOps, DevOps e desenvolvedores) têm a mesma visão e podem obter todas as informações já correlacionadas nos painéis de observabilidade fornecidos.

Abaixo está a visão geral desta comparação:

negócios7

Visão geral anual

Então o que tudo isso significa e o que isso se traduz em termos de colapso operacional no final do ano?

Neste exercício, tivemos que fazer algumas suposições para que pudéssemos obter os números totais no final do ano. As suposições que fizemos foram as seguintes:

  1. Adicionar capacidade – assumimos que seria necessário adicionar capacidade uma vez por ano
  2. Alterações de configuração – presumimos que haverá uma alteração de configuração a cada mês. Isso está alinhado com o que a Microsoft escreve sobre a frequência com que o endereçamento e a nomenclatura de seus endpoints podem mudar/adicionar
  3. Atualizações – assumimos que 6 atualizações são feitas por ano
  4. Solução de problemas – presumimos que seria necessário solucionar problemas em duas situações semanais. Essa é provavelmente uma suposição otimista, mas não queríamos sobrecarregar o cálculo.

Então, com base nas suposições acima, chegamos à seguinte visão geral anual das despesas operacionais:

negócios8

Conclusão

Sim, é uma diferença enorme, uma diferença que a Volterra e sua plataforma baseada em SaaS foram criadas exatamente para resolver — a questão do alto custo das operações e do tempo alocado. Há muito tempo, a expansão da infraestrutura vem ocorrendo, aumentando exponencialmente à medida que os negócios crescem, levando ao crescimento da força de trabalho e à criação de novas necessidades.

A colaboração entre equipes é cada vez mais importante, não apenas para evitar que cada equipe faça sua própria "coisa", mas também para evitar conflitos e garantir que cada "coisa" esteja alinhada com a estratégia de negócios e o objetivo final, e não quebre nenhuma outra "coisa" (de outras equipes).

Aqui na Volterra, projetamos uma solução abrangente para conectar e proteger aplicativos modernos por meio de um único serviço baseado em SaaS, o VoltMesh. Acreditamos que ele aborda a maioria dos novos requisitos para redes e segurança de aplicativo para aplicativo e usuário para aplicativo. O Volterra foi criado pensando na colaboração entre todas as equipes (NetOps, SecOps, DevOps e desenvolvedores), garantindo que toda a configuração, estratégia e implantação de um serviço esteja disponível para todas as outras equipes consumirem ou observarem.

Atualmente, a Volterra oferece um serviço freemium do VoltMesh (incluindo seu exclusivo balanceador de carga/gateway de entrada e saída distribuído globalmente + firewall + proxy + roteador + gateway de API + descoberta e controle automático de API) — e você está convidado a experimentá-lo hoje mesmo .