Todo CIO enfrenta a mesma questão agora: como proteger uma força de trabalho distribuída e alimentada por IA sem adicionar mais complexidade a uma equipe já sobrecarregada? A TI da Cisco enfrentou essa questão e criou a resposta. Em 12 meses, a TI da Cisco reduziu os casos de suporte técnico em 18%, reduziu as taxas de incidentes de segurança para quase zero e eliminou mais de 20 opções de VPN legadas, tudo isso garantindo a adoção de IA em escala. Veja como eles fizeram isso, de acordo com os engenheiros.
Em blogs anteriores, exploramos o imperativo estratégico por trás da mudança da Cisco para uma arquitetura Zero Trust e examinou o modelo organizacional que orientou nossa migração em fases para uma plataforma unificada Security Service Edge (SSE). Embora essas perspectivas delineiem o “porquê” e o “como” da nossa transformação de alto nível, estamos abrindo a cortina da realidade da engenharia. Como engenheiros-chefe por trás dessa transição, passamos o último ano migrando de um modelo fragmentado e com muito hardware para uma estrutura SSE unificada e nativa da nuvem. Aqui, compartilhamos as lições técnicas aprendidas nas linhas de frente, os desafios de desmantelar a infraestrutura legada e como reprojetamos nossa pilha de segurança para dar suporte a uma força de trabalho moderna e preparada para IA.
Gerenciar dezenas de milhares de dispositivos em uma força de trabalho global com infraestrutura obsoleta e em fim de vida útil não era apenas uma tarefa árdua operacional: era um gargalo técnico que criava uma dívida de segurança significativa. Estávamos gastando mais tempo “juntando” componentes de hardware diferentes do que na postura estratégica de segurança. Precisávamos nos afastar do modelo de gerenciamento “caixa por caixa” em direção a uma estrutura unificada e definida por software.
Sabíamos que tínhamos que mudar para um modelo como serviço. A junção manual de vários componentes de rede criou brechas de segurança que prejudicaram a visibilidade e aumentaram nosso tempo médio de resolução (MTTR) para correção de incidentes.
A evolução para a ESS
Nossa construção de transição SSEt em nosso anterior Jornada de Acesso Zero Trust (ZTA). Embora a ZTA garantisse nossa força de trabalho distribuída, nossa escala de migração SSEd essa base em uma experiência unificada e sem atrito por meio do Acesso seguro plataforma entregue em nuvem.
Libertando-se da “rotina operacional”
Nossa solução anterior dependia de doze locais globais e hardwares distintos. Encontramo-nos numa encruzilhada: investir numa atualização tecnológica dispendiosa da nossa infraestrutura antiga e em fim de vida útil (EOL) ou migrar para um modelo entregue na nuvem. Escolhemos este último para preparar nossos inquilinos de aquisição para o futuro e apoiar melhor nossa força de trabalho distribuída, ao mesmo tempo que simplificamos as operações, aprimoramos a experiência do usuário e aumentamos a segurança.
O número de componentes na cadeia de serviços foi o verdadeiro desafio. Tínhamos tantas caixas costuradas. Agora, com uma única plataforma, temos os melhores produtos Cisco trabalhando em uma estrutura unificada.
Figura 1: Arquitetando SSE como serviço: transição de uma infraestrutura local autogerenciada para um modelo integrado “como serviço”.
Como adotamos uma abordagem unificada
Baseámo-nos no nosso investimento existente em Mecanismo de serviços de identidade Cisco (ISE) para manter a autenticação contínua para VPN, provando que nossa transformação SSE aprimora, em vez de descartar, a segurança fundamental.
Unificamos nosso ecossistema para evoluir nossa abordagem de plataforma:
- Garantia (Cisco Mil Olhos): Preencheu lacunas de visibilidade em redes próprias e não próprias para garantir conectividade contínua.
- Observabilidade (Splunk): Registros centralizados para transformar dados brutos em insights acionáveis, reduzindo drasticamente o tempo médio de resolução (MTTR).
- Rede (Catalisador SD-WAN): Túneis de backhaul integrados na malha SSE, desenvolvidos especificamente para conectividade empresa-nuvem.
- Colaboração (WebEx): a colaboração garantida permanece segura e de alto desempenho, independentemente da localização do usuário.
A metodologia “rastejar, andar, correr”
Praticamos uma metodologia de “rastejar, andar, correr”. Nós não apenas apertamos um botão; faseamos a implementação, iterando por meio de provas de conceito. Quando encontramos um obstáculo, não apenas o contornamos; fizemos parceria com nossas unidades de negócios para incorporar esse recurso ao produto – uma vitória para nossas operações internas e uma vitória para cada cliente que usará esse recurso no futuro.
Exemplos de recursos que implantamos incluem:
- Modernização VPN: Precisávamos acabar com a infraestrutura obsoleta e simplificar a experiência do usuário. Ao fazer a transição de mais de 20 opções legadas para duas, habilitamos um recurso de “seleção automática”, onde o cliente se conecta automaticamente ao ponto de presença SSE mais próximo. Isso eliminou as suposições para nossa força de trabalho global, reduzindo significativamente os casos de suporte técnico.
- Acesso de confiança zero: Precisávamos de uma maneira fácil de habilitar nosso serviço ZTA baseado no cliente. Ao migrar para o registro automático baseado em certificado, a política agora é consumida diretamente do cliente. Os usuários simplesmente clicam no aplicativo habilitado para ZTA e entram. O resultado foi uma onda de solicitações de nossa força de trabalho para adicionar ainda mais aplicativos à plataforma.
- Proteção generativa de IA: Precisávamos interceptar de forma inteligente os aplicativos Gen-AI habilitados para políticas e direcioná-los para a nuvem para obter visibilidade e aplicação de políticas. Implantamos isso por meio do módulo de roaming Cisco Secure Client Umbrella. Isto foi fundamental para aumentar a nossa postura de segurança e melhorar a visibilidade, garantindo que protegemos eficazmente os dados confidenciais da Cisco.
A vantagem do ‘Cliente Zero’
Tratamos nossa implantação interna como um laboratório ao vivo. Ao enviar mais de 100 solicitações de recursos técnicos, nossa equipe de TI atuou como um ciclo de feedback crítico para as equipes de engenharia de produto. Não éramos apenas usuários; éramos co-desenvolvedores.
Essa parceria colaborativa de engenharia nos permitiu incorporar nossos requisitos operacionais diretamente no roteiro da plataforma, garantindo que o produto final fosse construído para as complexidades de uma empresa moderna.
Fricção intencional: a chave para uma segurança mais forte
Na nossa busca por uma experiência perfeita, aprendemos uma lição de engenharia contraintuitiva: nem todo atrito é ruim. Quando se trata de proteção GenAI, “sem atrito” pode ser uma vulnerabilidade de segurança. Arquitetamos um “redutor de velocidade” – um ponto de inspeção deliberado do tipo man-in-the-middle – para permitir a análise de prevenção contra perda de dados (DLP) em tempo real. É uma troca de design intencional: sacrificamos um milissegundo de latência por um ganho massivo na integridade dos dados.
Quando implementamos nossa proteção de IA generativa (GenAI), não pretendíamos uma experiência perfeitamente “sem atrito”. Como explica Huber, introduzimos intencionalmente um “redutor de velocidade”.
Foi um ato de equilíbrio. Estávamos fazendo algo melhor para a empresa, mesmo que isso causasse pequenos problemas de crescimento.
Ao realizar a inspeção “man-in-the-middle”, interceptamos seletivamente os fluxos de aplicativos para fornecer prevenção contra perda de dados (DLP).
Não estávamos tentando impedir que as pessoas usassem GenAI, apenas nos certificando de fazer uma pausa para avaliar o aplicativo e garantir que não estávamos vazando dados confidenciais. Como os usuários entenderam o “porquê”, não vimos quase nenhum ticket – uma taxa de incidente de apenas 0,04%.
Resultados mensuráveis: menos cliques, mais estratégia
Desde então, vimos um Redução trimestral de 18% em casos de suporte técnico e centenas de consultas resolvidas de forma autônoma por meio de modelos de suporte orientados por IA, permitindo que nossos engenheiros se concentrem na estratégia em vez da triagem de tickets. Nossos operadores de TI agora gastam menos tempo “montando” caixas e mais tempo no planejamento estratégico.
Figura 2: Impacto do suporte orientado por IA nos fluxos de trabalho ZTA após a habilitação do SSE, demonstrando uma taxa de resolução autônoma de 80% e uma redução na triagem manual de tickets.
Figura 3: Comparação dos volumes de casos de suporte entre serviços VPN legados e a transição SSE, ilustrando uma redução significativa na carga de tickets pós-migração.
Figura 4: Tendências históricas do volume de casos pós-implantação da VPN SSE, mostrando um aumento inicial nas consultas de educação do usuário, seguido por um declínio sustentado e consistente.
Não estamos mais apenas gerenciando caixas; estamos gerenciando resultados. Ao capacitar nossa força de trabalho para se conectar de forma segura e contínua em qualquer local, garantimos que nosso ambiente esteja pronto para o que vier a seguir, sejam cargas de trabalho orientadas por IA ou as necessidades crescentes de uma força de trabalho distribuída.
Lições aprendidas como cliente zero
Se você está considerando uma mudança semelhante, certifique-se de:
- Priorize a adoção em escala e a colaboração multifuncional.
- Crie uma equipe entre unidades de TI, segurança e negócios — não trabalhe em silos.
- Garanta o patrocínio executivo antecipadamente.
- Finalmente, não espere. Se você estiver gerenciando hardware antigo, use estas lições para adotar uma postura proativa antes de iniciar sua jornada.
Explorar mais:
Você está pronto para modernizar sua segurança e aumentar a observabilidade? Entre em contato com seu representante de conta para discutir como as soluções Cisco SSE podem ajudar sua organização.