Conectando-se (até a nuvem) — O ponto de vista de um arquiteto

Artigo
07/16/2023

Neste artigo, Ed Fisher, Arquiteto de Conformidade & segurança da Microsoft, descreve como otimizar sua rede para conectividade de nuvem evitando as armadilhas mais comuns.

Sobre o autor

Captura de tela da foto de Ed Fisher.

Atualmente, sou especialista técnico principal em nossa equipe de varejo e bens de consumo, com foco em Segurança & Conformidade. Trabalhei com clientes que se mudaram para Office 365 nos últimos dez anos. Trabalhei com lojas menores com um punhado de locais para agências governamentais e empresas com milhões de usuários distribuídos em todo o mundo, e muitos outros clientes no meio, com a maioria tendo dezenas de milhares de usuários, vários locais em várias partes do mundo, a necessidade de um maior grau de segurança e uma infinidade de requisitos de conformidade. Ajudei centenas de empresas e milhões de usuários a se mudarem para a nuvem com segurança e segurança.

Com um histórico nos últimos 25 anos que inclui segurança, infraestrutura e engenharia de rede, e tendo movido dois dos meus empregadores anteriores para Office 365 antes de ingressar na Microsoft, estive do seu lado da tabela muitas vezes, e me lembro como é isso. Embora nenhum dos dois clientes seja sempre o mesmo, a maioria tem necessidades semelhantes e, ao consumir um serviço padronizado, como qualquer plataforma SaaS ou PaaS, as melhores abordagens tendem a ser as mesmas.

Não é a rede , é como você está (mis)usando-a!

Não importa quantas vezes isso aconteça, nunca deixa de me surpreender como equipes de segurança criativas e equipes de rede tentam entender como acham que devem se conectar aos serviços de nuvem da Microsoft. Há sempre alguma política de segurança, padrão de conformidade ou melhor maneira que eles insistem em usar, sem estar dispostos a se envolver em uma conversa sobre o que eles estão tentando realizar, ou como há maneiras melhores, mais fáceis, mais econômicas e mais performantes de fazê-lo.

Quando esse tipo de coisa é escalonada para mim, eu geralmente estou disposto a aceitar o desafio e levá-los através dos como e os porquês e levá-los para onde eles precisam estar. Mas se eu estou sendo completamente franco, eu tenho que compartilhar que às vezes eu quero apenas deixá-los fazer o que eles vão, e voltar para dizer que eu lhe disse assim quando eles finalmente admitem que não funciona. Posso querer fazer isso às vezes, mas não quero. O que eu faço é tentar explicar tudo o que vou incluir neste post. Independentemente de sua função, se sua organização quiser usar os serviços de nuvem da Microsoft, provavelmente há alguma sabedoria no que se segue que pode ajudá-lo.

Princípios orientadores

Vamos começar com algumas regras básicas em torno do que estamos fazendo aqui. Estamos discutindo como se conectar com segurança aos serviços de nuvem para garantir a complexidade mínima e o desempenho máximo, mantendo a segurança real. Nada do que se segue é contrário a nada disso, mesmo que você, ou seu cliente, não consiga usar seu servidor proxy favorito para tudo.

Só porque você pode, não significa que você deve: ou parafrasear o Dr. Ian Malcolm do filme de Jurassic Park "... Sim, sim, mas sua equipe de segurança estava tão preocupada com se podiam ou não que não parassem para pensar se deveriam."
Segurança não significa complexidade: você não está mais seguro só porque gasta mais dinheiro, roteia mais dispositivos ou clica em mais botões.
Office 365 é acessado pela Internet: mas isso não é a mesma coisa que Office 365 é a Internet. É um serviço SaaS gerenciado pela Microsoft e administrado por você. Ao contrário dos sites que você visita na Internet, você realmente pode espiar atrás da cortina e pode aplicar os controles necessários para atender às suas políticas e seus padrões de conformidade, desde que você entenda que, embora você possa atender aos seus objetivos, você pode apenas ter que fazê-los de uma maneira diferente.
Pontos de estrangulamento são ruins, fugas localizadas são boas: todo mundo sempre quer fazer backup de todo o tráfego da Internet para todos os seus usuários para algum ponto central, geralmente para que eles possam monitorá-lo e impor a política, mas muitas vezes porque é mais barato do que provisionar o acesso à Internet em todos os seus locais, ou é exatamente como eles fazem isso. Mas esses pontos de estrangulamento são exatamente isso... pontos em que o tráfego engasga. Não há nada de errado em impedir que seus usuários naveguem no Instagram ou streaming de vídeos de gato, mas não trate o tráfego de aplicativos empresariais crítico da mesma maneira.
Se o DNS não estiver feliz, não será nada feliz: a rede mais bem projetada pode ser dificultada pelo DNS ruim, seja recursando solicitações para servidores em outras áreas do mundo ou usando servidores DNS do ISP ou outros servidores DNS públicos que armazenam em cache informações de resolução DNS.
Só porque é assim que você costumava fazê-lo, não significa que é assim que você deve fazê-lo agora: a tecnologia muda constantemente e Office 365 não é exceção. A aplicação de medidas de segurança que foram desenvolvidas e implantadas para serviços locais ou para controlar o surf na Web não fornecerá o mesmo nível de garantia de segurança e pode ter um impacto negativo significativo no desempenho.
Office 365 foi criado para ser acessado pela Internet: é isso em poucas palavras. Não importa o que você queira fazer entre seus usuários e sua borda, o tráfego ainda passa pela Internet depois que ele sai da sua rede e antes de entrar na nossa. Mesmo que você esteja usando o Azure ExpressRoute para rotear algum tráfego confidencial de latência da sua rede diretamente para a nossa, a conectividade com a Internet é absolutamente necessária. Aceite. Não afunde demais.

Onde escolhas ruins são muitas vezes feitas

Embora haja muitos lugares onde decisões ruins são tomadas em nome da segurança, estas são as que encontro com mais frequência com os clientes. Muitas conversas com clientes envolvem todas elas de uma só vez.

Recursos insuficientes na borda

Muito poucos clientes estão implantando ambientes greenfield, e eles têm anos de experiência com como seus usuários funcionam e como é a saída da Internet. Se os clientes têm servidores proxy ou permitem acesso direto e simplesmente tráfego de saída nat, eles têm feito isso por anos e não consideram o quanto mais eles vão começar a bombear através de sua borda à medida que movem aplicativos tradicionalmente internos para a nuvem.

A largura de banda é sempre uma preocupação, mas os dispositivos NAT podem não ter potência suficiente para lidar com o aumento da carga e podem começar a fechar prematuramente conexões para liberar recursos. A maioria do software cliente que se conecta ao Office 365 espera conexões persistentes e um usuário que utiliza totalmente Office 365 pode ter 32 ou mais conexões simultâneas. Se o dispositivo NAT estiver soltando-os prematuramente, esses aplicativos podem ficar sem resposta à medida que tentam usar as conexões que não estão mais lá. Quando eles desistem e tentam estabelecer novas conexões, eles colocam ainda mais carga em seu equipamento de rede.

Fuga localizada

Tudo o resto nesta lista se resume a uma coisa: sair da rede e entrar na nossa o mais rápido possível. Fazer backup do tráfego dos usuários para um ponto de saída central, especialmente quando esse ponto de saída está em outra região do que os usuários estão, introduz latência desnecessária e afeta a experiência do cliente e as velocidades de download. A Microsoft tem pontos de presença em todo o mundo com front-ends para todos os nossos serviços e emparelhamento estabelecidos com praticamente todos os principais ISP, portanto, rotear o tráfego de seus usuários localmente garante que ele entre em nossa rede rapidamente com latência mínima.

O tráfego de resolução DNS deve seguir o caminho da saída da Internet

É claro que, para um cliente encontrar qualquer ponto de extremidade, ele precisa usar o DNS. Os servidores DNS da Microsoft avaliam a origem das solicitações DNS para garantir que retornemos a resposta que é, em termos de Internet, mais próxima da origem da solicitação. Verifique se o DNS está configurado para que as solicitações de resolução de nomes saiam do mesmo caminho que o tráfego dos usuários, para que você não dê a eles saídas locais, mas para um ponto de extremidade em outra região. Isso significa permitir que os servidores DNS locais "acessem a raiz" em vez de encaminhar para servidores DNS em data centers remotos. E watch para serviços DNS públicos e privados, que podem armazenar em cache resultados de uma parte do mundo e atendê-los a solicitações de outras partes do mundo.

Para proxy ou não para proxy, essa é a questão

Uma das primeiras coisas a considerar é se os usuários proxy são conexões com Office 365. Esse é fácil; não proxy. Office 365 é acessado pela Internet, mas não é a Internet. É uma extensão dos seus principais serviços e deve ser tratado como tal. Qualquer coisa que você queira que um proxy faça, como DLP ou antimalware ou inspeção de conteúdo, já está disponível para você no serviço e pode ser usado em escala e sem a necessidade de quebrar conexões criptografadas por TLS. Mas se você realmente quiser fazer proxy do tráfego que não pode controlar de outra forma, preste atenção às nossas diretrizes e às https://aka.ms/pnc categorias de tráfego em https://aka.ms/ipaddrs. Temos três categorias de tráfego para Office 365. Otimizar e permitir realmente deve ir direto e ignorar seu proxy. O padrão pode ser proxiedo. Os detalhes estão nesses documentos... lê-los.

A maioria dos clientes que insistem em usar um proxy, quando eles realmente olham para o que estão fazendo, percebe que quando o cliente faz uma solicitação HTTP CONNECT para o proxy, o proxy agora é apenas um roteador extra caro. Os protocolos em uso, como MAPI e RTC, nem sequer são protocolos que os proxies da Web entendem, portanto, mesmo com o TLS rachando, você não está realmente recebendo nenhuma segurança extra. Você está* recebendo latência extra. Confira https://aka.ms/pnc mais sobre isso, incluindo as categorias Otimizar, Permitir e Padrão para o tráfego do Microsoft 365.

Por fim, considere o impacto geral para o proxy e sua resposta correspondente para lidar com esse impacto. À medida que mais e mais conexões estão sendo feitas por meio do proxy, ela pode diminuir o Fator de Escala TCP para que ele não precise fazer buffer de tanto tráfego. Eu vi clientes onde seus proxies estavam tão sobrecarregados que eles estavam usando um Fator de Escala de 0. Como o Fator de Escala é um valor exponencial e gostamos de usar 8, cada redução no valor do Fator de Escala é um enorme impacto negativo para a taxa de transferência.

Inspeção TLS significa SEGURANÇA! Mas nem por isso! Muitos clientes com proxies querem usá-los para inspecionar todo o tráfego, e isso significa que o TLS "quebra e inspeciona". Quando você faz isso para um site acessado por HTTPS (preocupações de privacidade, não obstante) seu proxy pode ter que fazer isso por 10 ou até mesmo 20 fluxos simultâneos para algumas centenas de milissegundos. Se houver um download grande ou talvez um vídeo envolvido, uma ou mais dessas conexões podem durar muito mais tempo, mas, no geral, a maioria dessas conexões estabelece, transfere e fecha muito rapidamente. Fazer interrupções e inspecionar significa que o proxy deve fazer o dobro do trabalho. Para cada conexão do cliente com o proxy, o proxy também deve fazer uma conexão separada de volta ao ponto de extremidade. Então, 1 torna-se 2, 2 torna-se 4, 32 torna-se 64...ver onde eu estou indo? Você provavelmente dimensionou sua solução de proxy muito bem para o surf típico da Web, mas quando você tenta fazer a mesma coisa para conexões de cliente com Office 365, o número de conexões simultâneas e de longa duração pode ser pedidos de magnitude maior do que o que você dimensiona.

Streaming não é importante, exceto que é

Os únicos serviços em Office 365 que usam UDP são o Skype (prestes a ser desativado) e o Microsoft Teams. O Teams usa o UDP para tráfego de streaming, incluindo áudio, vídeo e compartilhamento de apresentação. O tráfego de streaming é ao vivo, como quando você está tendo uma reunião online com voz, vídeo e apresentando decks ou executando demonstrações. Eles usam UDP porque, se os pacotes forem descartados ou chegarem fora de ordem, ele será praticamente imperceptível pelo usuário e o fluxo poderá continuar.

Quando você não permite o tráfego UDP de saída dos clientes para o serviço, eles podem voltar a usar o TCP. Mas se um pacote TCP for descartado, tudo será interrompido até que o RTO (Tempo limite de retransmissão) expire e o pacote ausente possa ser retransmitido. Se um pacote chegar fora de ordem, tudo será interrompido até que os outros pacotes cheguem e possam ser remontados em ordem. Ambos levam a falhas perceptíveis no áudio (lembra max headroom?) e vídeo (você clicou em algo... oh, lá está ele) e levar a um desempenho ruim e uma experiência de usuário ruim. E lembra-se do que eu coloquei acima sobre proxies? Quando você força um cliente do Teams a usar um proxy, você o força a usar o TCP. Portanto, agora você está causando impactos negativos no desempenho duas vezes.

Túnel dividido pode parecer assustador

Mas não é. Todas as conexões com Office 365 estão em TLS. Estamos oferecendo o TLS 1.2 há algum tempo e vamos desabilitar versões mais antigas em breve porque os clientes herdados ainda as usam e isso é um risco.

Forçar uma conexão TLS, ou 32 delas, a passar por cima de uma VPN antes de ir para o serviço não adiciona segurança. Ele adiciona latência e reduz a taxa de transferência geral. Em algumas soluções de VPN, ela até força o UDP a fazer túnel por meio do TCP, o que novamente terá um impacto muito negativo no tráfego de streaming. E, a menos que você esteja fazendo inspeção TLS, não há vantagem, todas as desvantagens. Um tema muito comum entre os clientes, agora que a maior parte de sua força de trabalho é remota, é que eles estão vendo impactos significativos de largura de banda e desempenho ao fazer com que todos os usuários se conectem usando uma VPN, em vez de configurar o túnel dividido para acesso à categoria Otimizar Office 365 pontos de extremidade.

É uma correção fácil de fazer túnel dividido e é um que você deve fazer. Para saber mais, examine Otimizar Office 365 conectividade para usuários remotos usando o túnel dividido de VPN.

Os pecados do passado

Muitas vezes, a razão pela qual as más escolhas são feitas vem de uma combinação de (1) não saber como o serviço funciona, (2) tentar aderir às políticas da empresa que foram escritas antes de adotar a nuvem, e (3) equipes de segurança que podem não estar facilmente convencidas de que há mais de uma maneira de alcançar seus objetivos. Espero que o acima e os links abaixo ajudem com o primeiro. O patrocínio executivo pode ser necessário para passar o segundo. Abordar as metas das políticas de segurança, em vez de seus métodos, ajuda com o terceiro. Do acesso condicional à moderação de conteúdo, DLP à proteção de informações, validação de ponto de extremidade a ameaças de dia zero, qualquer meta final que uma política de segurança razoável possa ter pode ser realizada com o que está disponível em Office 365 e sem qualquer dependência sobre o equipamento de rede local, túneis VPN forçados e quebra e inspeção do TLS.

Outras vezes, o hardware que foi dimensionado e comprado antes da organização começar a se mover para a nuvem simplesmente não pode ser dimensionado para lidar com os novos padrões de tráfego e cargas. Se você realmente precisar rotear todo o tráfego por um único ponto de saída e/ou proxy, esteja preparado para atualizar o equipamento de rede e a largura de banda de acordo. Monitore cuidadosamente a utilização em ambos, pois a experiência não diminuirá lentamente à medida que mais usuários estiverem a bordo. Tudo está bem até que o ponto de inflexão seja atingido, então todos sofrem.

Exceções às regras

Se sua organização exigir restrições de locatário, você precisará usar um proxy com quebra de TLS e inspecionar para forçar algum tráfego através do proxy, mas você não precisa forçar todo o tráfego através dele. Não é uma proposta de tudo ou nada, portanto, preste atenção ao que precisa ser modificado pelo proxy.

Se você vai permitir o túnel dividido, mas também usar um proxy para o tráfego geral da Web, verifique se o arquivo PAC define o que deve ir direto, bem como como você define o tráfego interessante para o que passa pelo túnel VPN. Oferecemos arquivos PAC de exemplo que https://aka.ms/ipaddrs facilitam o gerenciamento.

Conclusão

Dezenas de milhares de organizações, incluindo quase todas as Fortune 500, usam Office 365 todos os dias para suas funções críticas de missão. Eles fazem isso com segurança, e o fazem pela Internet.

Não importa quais metas de segurança você tenha em jogo, há maneiras de realizá-las que não exigem conexões VPN, servidores proxy, interrupção e inspeção de TLS ou saídas centralizadas da Internet para tirar o tráfego dos usuários da rede e para o nosso o mais rápido possível, o que fornece o melhor desempenho, se sua rede é a sede da empresa, um escritório remoto ou aquele usuário que trabalha em casa. Nossas diretrizes baseiam-se em como os serviços de Office 365 são criados e para garantir uma experiência de usuário segura e performante.