Herdei um cliente com 100% de trabalhadores remotos, exclusivamente usando aplicativos na nuvem, e várias escritórios de colocation onde os funcionários podem ir trabalhar/reunir-se se necessário.
Muitos desses locais forneciam a cada funcionário uma credencial Aruba Clearpass para uma rede isolada, porém; alguns estão agora usando soluções domésticas como Google WiFi, e as redes não estão mais isoladas. Isso me pareceu um problema de segurança claro, e estou buscando uma solução econômica.
Quais são algumas soluções que possam ser amigáveis para MSP e que possam proteger os dispositivos nesses locais?
Normalmente, usaríamos VPN para o firewall do cliente na sua sede, mas esse cliente não possui uma sede ou equipamentos de rede.
Procurei o Microsoft Azure Application Gateway, mas parece ser bastante caro.
Nosso antivírus oferece um VPN de Privacidade, mas isso coloca todos os dados dos nossos clientes em seu serviço, o que parece pouco confiável.
Considerei bloquear os firewalls dos usuários, mas esse nível de bloqueio pode causar problemas na impressão em casa.
Considerei um firewall na nuvem como Z-Scaler, mas ainda precisaríamos habilitar uma VPN de alguma forma, então estaríamos pagando duas vezes pelo mesmo objetivo.
Considerei o Datto SASE, mas ele não funciona com dispositivos móveis sem um appliance, o que não é um grande problema, e consigo ver os preços.
Acho que estou realmente buscando sugestões de produtos, pois sei o que preciso: um túnel ou produto que criptografe o tráfego de rede enquanto estiver na rede.
Pesquisei em r/sysadmin e r/msp e encontrei muitas respostas vagas como “Você precisa usar um túnel” - sim, mas qual?
Sugiro que você reavalie o Z-Scaler ZIA, parece que atenderia aos requisitos. Há um agente que é instalado e, com base nas regras criadas, tudo o que passa pela web é enviado de forma segura através do gateway deles, permitindo filtrar conteúdo de acordo com a política da empresa. Recomendo trabalhar com um parceiro que possa ajudar na implantação, pois não é sempre fácil sem experiência prática.
Outro produto semelhante é o Netskope, se quiser fazer algumas comparações.
O que você está tentando proteger? Se eles usam o M365, tudo na transmissão (e em repouso) já é criptografado. Se você gerencia os endpoints, controla o firewall, a criptografia do dispositivo, DNS seguro, políticas, etc. Quero dizer, se você consegue identificar claramente um risco, então olhe para uma solução VPN, mas parece exagerado considerando que há tantas ferramentas no M365 para controlar acesso e segurança, que não conheço ninguém fora das pessoas que lidam com dados extremamente sensíveis usando VPN para acessar o M365.
SASE. Nós *principalmente* usamos Todyl SGN. Tem funcionado muito bem para nós com centenas de endpoints, e também torna mais fácil pelo menos conseguir alguma ingestão de logs SIEM básica.
Esse é o caminho. Quase todos os fornecedores de redes agora têm uma solução SASE. Basta procurar uma que atenda às suas necessidades e seguir em frente. Atualmente usamos Timus. Mas consideramos Perimeter 81. Também olhamos o Datto SASE. Mas o único problema que vejo agora é quem faz DHCP e DNS nas minhas pequenas escritórios…
Obrigado por dizer isso! Era meio que o que eu estava pensando, embora minha experiência seja mais em VPN!!!
Esta deve ser uma boa oportunidade para eu aprender alguns desses sistemas e talvez lançar para mais clientes. Parece uma ótima alternativa às VPNs Hub and Spoke, e ouso dizer que é melhor que SD WAN com ADVPN. Embora, SDWAN também seja ótimo.
Entrei em contato com meu provedor de firewall principal, Fortinet, pois vi que eles têm uma Solução SASE. Tenho certeza de que podem ajudar aqui.
Outro usuário apontou Global Secure Access e Entra Internet, que acredito que este cliente já tenha licença, então talvez seja uma boa rota!
A Datto não para de me pedir para testar a solução deles, então pode ser uma boa opção também, rs.
O custo foi um grande problema mencionado. Acho que o conjunto de soluções do Zscaler se encaixa bem, mas para 100 usuários não tenho certeza se eles seriam muito competitivos. Você pode encontrar desafios comerciais semelhantes com Netskope e Palo Alto Prisma Access. Não tenho certeza se a Microsoft oferece o tipo de segurança (em linha) que você pode desejar. Essa não tem sido a força deles tradicionalmente. Você olhou para Cato Networks? Não necessariamente o líder em preços baixos também, mas provavelmente menos caro que Zscaler, Netskope e Palo, ainda com segurança de pilha completa em linha e Zero Trust.
Os serviços em nuvem passam todos por HTTPS, mas Deus sabe o que há na rede com eles. Parece bastante aberto sem algumas regras de firewall invasivas ou um túnel.
Quando os usuários navegam na web / acessam redes locais, mas você não tem controle sobre essa parte - isso é um risco. Sites contendo malware, sites de phishing, etc. Portanto, SASE / VPN.
Minha abordagem não é tanto restringir o acesso do MS365 por esses túneis, mas proteger o endpoint em redes que não posso controlar, em casa ou em locais públicos. Muito disso pode ser mitigado com firewalls, filtragem de conteúdo e afins, mas gostaria de uma camada extra de proteção.
Existem ótimas sugestões nesta thread e estou totalmente a favor delas. Mas, do ponto de vista de risco real, isso provavelmente estaria em uma posição mais baixa na minha lista.
Na verdade, isso está mais baixo na minha lista, é o único problema óbvio que tenho no sistema atualmente. Temos RMM, AV, MDR, gerenciamos firewalls de endpoint com a solução AV, temos controles de gerenciamento de mudanças, gestão de vulnerabilidades para seus sites, nossos planos de resposta a incidentes, políticas de backup, avaliações de risco, e a política de TI está em dia.
Na minha perspectiva, Wi-Fi público é a última coisa a se abordar, e também temos avaliadores de terceiros reclamando sobre isso - principalmente porque não encontraram nada de errado, haha.
Neste ponto, tenho uma lista de opções que parecem bastante testadas na comunidade, então estou feliz!