Open in app

Sign in

Write

Sign in

ZTNA :: Como conectar o pipeline Digibee aos serviços privados

Vinícius Christ
5 min readDec 7, 2023

--

Click here to read the English version

Sumário:

Introdução
O que é Zero Trust?
VPN
Tem como melhorar?
Guia passo a passo
Pré requisitos
Primeiro Passo: Instância EC2
Configurações de redes
Configuração da chave
Conclusão

Introdução

Olá, meu nome é Vinícius Christ, Arquiteto de Soluções na Digibee. Gostaria de compartilhar contigo a minha experiência em simplificar os esforços necessários para estabelecer conectividade entre a Digibee e as redes privadas dos nossos clientes.

Em algum momento, você pode ter se deparado com a necessidade de conectar duas redes distintas de maneira segura através da internet. Provavelmente, a VPN tenha vindo à sua mente, mas já considerou o ZTNA? Convido você a explorar este artigo, no qual demonstrarei, na prática, a simplicidade de estabelecer essa conexão de forma segura em poucos passos utilizando o Zero Trust Network Access (ZTNA) com o ambiente AWS.

O que é Zero Trust?

O conceito de Zero Trust (Confiança Zero) representa uma abordagem de segurança que parte do princípio de que nenhum usuário, aplicação ou dispositivo pode ser considerado intrinsecamente confiável. Dessa forma, o Zero Trust visa mitigar os riscos de ataques ao verificar continuamente a autenticidade das sessões e manter os acessos de forma isolada.

Podemos comparar a ZTNA à segurança na entrada de uma empresa. Em vez de simplesmente abrir as portas para qualquer pessoa que adentra o prédio (rede), a ZTNA verifica minuciosamente a identidade e a autorização de cada indivíduo (dispositivo) antes de conceder o acesso. Isso é realizado por meio da solicitação de credenciais, sua verificação e a concessão de acesso exclusivamente àqueles que possuem as permissões necessárias.

VPN

Você sabia que a VPN foi utilizada pela primeira vez em 1996? Desenvolvida pela Microsoft, essa solução permitiu o acesso remoto e seguro à rede interna da empresa através da internet.

A VPN site-to-site tem como propósito estabelecer uma conexão segura entre duas redes privadas distintas por meio da internet. Essa solução envolve diversas etapas de configuração, requerendo uma colaboração estreita e alinhamento entre os responsáveis pelas redes. Durante esse processo, é essencial validar configurações e itens, tais como:

  • IP Público na internet
  • Túneis fase 1 e fase 2
  • Definição dos algorítimos de criptografia, autenticação e hash.
  • Rede

Após realizar esse procedimento, considerando que tudo aconteceu conforme o esperado, agora você possui uma conexão segura entre duas redes por meio da VPN. Talvez tenha sido necessário um longo trabalho de troubleshooting, e como próximos passos os times devem estar pensando em como estabelecer a VPN de redundância.

Photo by Petter Lagson on Unsplash

Tem como melhorar?

Saindo da teoria para realidade… não vamos condenar a tecnologia (VPN) que trabalhamos até hoje, mas nem sempre VPN é um caminho feliz, muitas vezes os esforços gastos são imensos. Será que existe uma maneira de aprimorar essa situação? A resposta é SIM. É por isso que a Digibee disponibilizou, sem custos adicionais, o acesso à tecnologia ZTNA (Zero Trust Network Access) para todos os clientes.

ZTNA é uma solução altamente segura, dispensando a necessidade de qualquer regra de entrada (Inbound Rule) na rede, e sem a necessidade de um IP público. A configuração da conexão requer apenas alguns passos. O Edge Router, instalado internamente na rede, assume a responsabilidade de estabelecer a comunicação com a solução ZTNA. Isso elimina portas de entrada suscetíveis a ataques, simplificando tanto a instalação quanto a manutenção das conexões.

"We have significantly reduce our VPN complexity and mitigated issues related to NAT an FTP with overlapping IPs. Netfoundry has allowed us to scale faster, safes, and more cost-effectively. CloudZiti’s zero trust provides secure provisioning, management, and networking into our solutions as pure software."

- Rodrigo Bernardinelli, CEO & Co-Founder, Digibee.
Fonte: https://netfoundry.io/zero-trust/NF-DigibeeCS.pdf

Guia Passo a passo:

A partir deste ponto, vou demonstrar como configurar na prática o edge router ZTNA em uma instância EC2 na AWS e estabelecer conectividade do seu pipeline Digibee com os serviços em sua rede privada AWS.

Pre requisitos:

  • Realm na plataforma Digibee.
  • Registration Key: Chave fornecida pelo time Digibee para cada Edge Router.
  • Ambiente Cloud AWS.

Primeiro passo: instância EC2

Ao criar a instância, procure no marketplace por NetFroundry.

Selecione o tamanho da sua instância EC2, tendo a opção de começar com uma instância pequena e redimensionar conforme necessário.

Configurações de redes (Network Settings)

Outbund rules: Somente se você pretende limitar as regras de saída pra internet, então você deve adicionar as exceções para as portas:

  • 80/TCP
  • 443/TCP
  • 6262/TCP

Inbound rules: não é necessário especificar nenhuma regra.
Endereço de IP público: Não é necessário qualquer IP público para a instância.

Configuração da chave:

Em configurações avançadas, devemos preencher o campo user data, com o comando abaixo, utilizando a chave fornecida pela Digibee:

#!/bin/bash
/opt/netfoundry/router-registration {key}

Pronto, basta finalizar a criação da instância e o edge router estará configurado.

Próximos passos

  • Garante que o edge router tenha acesso aos serviços internos. Para troubleshooting acesse a instância EC2 por meio de ssh com o usuário ziggy e realize o teste de telnet com seus serviços.
  • Solicite o mapeamento de todos os hostnames e portas que você gostaria de acessar via pipeline Digibee.
  • Teste seus endpoints por meio do Pipeline Digibee, usando o mesmo hostname e porta da sua rede, não é necessário uso de NAT.

Conclusão

Neste artigo, conhecemos como funciona a solução de ZTNA, os mecanismos de segurança, e a simplicidade de configuração para habilitar a conexão do Pipeline Digibee até os seus serviços privados, proporcionando uma experiência mais fluida e segura.

O compromisso da Digibee em disponibilizar a tecnologia ZTNA de forma acessível destaca seu compromisso em oferecer soluções modernas que otimizam a experiência do cliente.

Gostaria de conhecer mais sobre ZTNA, clique aqui e veja também a documentação Digibee

Ztna
VPN
Digibee

--

--

Vinícius Christ

Written by Vinícius Christ

7 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams