Uma aplicação interna de 2012 ainda calcula um número sobre o qual o negócio se apoia. O código é HTTP puro, o modelo de sessão é cookie, a autenticação é um formulário que faz post para uma stored procedure. Ainda não há nada perigoso — mas toda avaliação externa, toda auditoria e toda varredura de segurança agora sinalizam essa aplicação. Reescrever consome um ano de uma equipe, e essa equipe não está disponível. Migrar para uma nuvem pública já significa reescrever o modelo de deployment, somando um novo fornecedor e uma nova fatura. Resultado: a aplicação segue rodando, e a brecha cresce.
O terceiro caminho é o que a maioria das equipes de operação realmente quer: deixe a aplicação onde está e coloque na frente dela uma camada moderna e programável. Terminação SSL e criptografia atualizada na borda. Um WAAP que entende a semântica HTTP. Substituir o login por formulário por SSO moderno sem alterar uma linha do código da aplicação. RDP e SSH sem cliente para o administrador que ainda mantém a aplicação. Listeners multiprotocolo para os trechos legados que nem sequer são HTTP.
TR7 foi feito para esse caminho. A mesma plataforma de entrega e proteção que roda seus serviços modernos se transforma na camada moderna à frente dos serviços legados — na rede que você já opera, sob a trilha de auditoria que você já mantém.
Cada um importa por si só. Juntos, mostram como fica a camada de modernização quando ela permanece na sua rede e numa única plataforma.
Defina um vService na frente do backend legado. Terminação SSL com cifras modernas na borda. Inspeção WAAP na requisição de entrada. Verificações de saúde, limites de taxa e regras conscientes de conteúdo aplicadas a um serviço que nunca foi projetado para nada disso. A aplicação legada continua falando HTTP puro atrás do TR7 — já o listener externo fala 2026.
A maioria das aplicações legadas autentica por um formulário que faz post para um banco, por um header em que o framework confia ou por HTTP basic. O modo Per-Service Authentication do TR7 AAM substitui essa interação. Os usuários fazem login uma vez via OIDC, SAML ou seu IdP existente. TR7 então injeta o artefato de autenticação legado — header, cookie ou basic auth — no backend exatamente como a aplicação espera. Sem mudança de código na aplicação.
A equipe que ainda mantém a aplicação legada costuma usar um cliente RDP pesado ou uma ferramenta SSH/VNC separada. TR7 abre esses alvos pelo navegador — sem instalação de cliente, sem túnel VPN na máquina do operador. Cada sessão é tunelada e registrada no nível de comando; uma única revogação encerra todas as sessões ativas.
O inventário de aplicações legadas tem mais do que HTTP. Transferências FTP entre parceiros. Protocolos industriais baseados em UDP. Serviços TCP puros. Entrega de arquivos estáticos para conteúdo arquivado. TR7 cobre tudo isso no mesmo motor que protege a frente HTTP — listeners dedicados para FTP relay, UDP proxy, TCP passthrough e conteúdo estático. Sem appliance separado, sem modelo de segurança paralelo.
Aplicações legadas muitas vezes precisam de correções cirúrgicas que não justificam uma mudança de código: uma URL de conteúdo misto no corpo da resposta, um header de segurança ausente, um nome de campo de formulário a traduzir, um cookie ao qual adicionar a flag secure. As regras conscientes de conteúdo do TR7 editam respostas, injetam headers e corrigem formulários — no construtor de política visual. Sem linguagem de script proprietária, sem ciclo de build. A aplicação legada permanece no ar; o comportamento moderno acontece na frente dela.
Cada capacidade abaixo roda na mesma plataforma que entrega e protege seus serviços modernos.
Cifras modernas, certificados atualizados e OCSP stapling na frente de uma aplicação que ainda fala HTTP puro ou TLS fraco. A criptografia legada deixa de ser um problema exposto à internet e passa a ser uma questão de backend.
Inspecione cada requisição antes de ela chegar a um backend escrito quando ataques de injeção ainda nem eram uma categoria. Assinatura mais pontuação, plena consciência da semântica HTTP, regras conscientes de conteúdo para os comportamentos peculiares de stacks legados.
O modo Per-Service Authentication do AAM substitui o fluxo de login legado por OIDC ou SAML via seu IdP. TR7 então repassa à aplicação o artefato que a aplicação legada espera — header, cookie ou basic auth — como se o usuário tivesse entrado pelo caminho antigo.
Aplique autenticação multifator na camada de acesso. A aplicação legada não sabe que o usuário já passou pelo prompt de MFA — e não precisa saber.
RDP, SSH e VNC pelo navegador. A equipe de manutenção acessa a máquina pelo TR7; o operador não precisa instalar cliente no notebook. Registro no nível de comando no SSH; cobre a sessão do operador de ponta a ponta.
Sondagens de saúde ativas e passivas para backends que nunca foram preparados para essas verificações. Nós problemáticos saem da rotação; a aplicação legada nem precisa saber que existe o conceito de zona de disponibilidade.
Limites de taxa por path, traffic shaping condicional e edições de requisição/resposta que não exigem script. Corrija um header malformado, injete um header de segurança que o framework nunca seta, limite um endpoint barulhento — no construtor de regras visual.
Clientes externos se conectam ao TR7. A aplicação legada não é acessível diretamente. Varreduras de descoberta, port scanning e tentativas pré-autenticação terminam na camada moderna; a superfície de ataque deixa de ser o código legado.
Logs de acesso, estatísticas de tráfego, taxas de erro, histogramas de latência e eventos de segurança — para uma aplicação que não produz nada disso por conta própria. O serviço legado se torna observável pela frente sem nenhuma mudança no backend.
FTP relay para transferência de dados com parceiros. UDP proxy para telemetria industrial. TCP passthrough para protocolos proprietários. Entrega de conteúdo estático para conteúdo arquivado. Uma plataforma, um painel de operador.
ADC, WAAP e AAM rodam no mesmo motor e compartilham uma única licença de largura de banda. Não há módulo de acesso, módulo WAAP ou módulo de gateway licenciado à parte para colocar uma camada moderna na frente de uma aplicação legada.
A camada moderna roda no seu próprio hardware, no seu data center e sob sua própria trilha de auditoria. Decisões de identidade, tráfego de sessão e eventos de segurança permanecem onde a aplicação legada já vive.
Cada camada adiciona uma parte à postura moderna. Juntas, um objeto de configuração toma o lugar de um projeto de reescrita de anos.
O TR7 ADC entra na frente do backend legado. Terminação SSL na borda, cifras modernas, certificados atualizados, verificações de saúde e distribuição de carga sobre quantos nós legados existirem. O listener externo fala TLS atual; o backend legado continua falando o que já fala.
O TR7 WAAP inspeciona cada requisição antes de ela chegar a um backend não projetado para tráfego hostil. Assinaturas OWASP, detecção por assinatura mais pontuação, regras conscientes de conteúdo para comportamentos de stack legado, proteção contra DDoS em L4 e L7.
O Per-Service Authentication do TR7 AAM substitui o fluxo de login legado. Os usuários se autenticam via OIDC ou SAML pelo IdP; o MFA é aplicado na borda. TR7 então injeta no backend o artefato que a aplicação legada espera — header, cookie ou basic auth.
RDP, SSH e VNC sem cliente para a equipe que mantém a aplicação legada. Acesso apenas pelo navegador, registro no nível de comando, revogação com um clique. Nenhum cliente é instalado no dispositivo do operador para acessar um servidor de 12 anos.
Quando o inventário legado inclui FTP, telemetria UDP, serviços TCP proprietários ou hospedagem de arquivo estático, a mesma plataforma os cobre com listeners dedicados. Sem appliance separado, sem painel de operador separado, sem trilha de auditoria separada.
Cada parte da camada de modernização é configurada como um vService. O mesmo objeto de configuração que entrega sua API moderna também entrega a aplicação legada baseada em formulário. Mesmas habilidades de operador, mesma observabilidade, mesma trilha de auditoria.
Aplicações HTTP de back-office escritas quando os modelos modernos de ameaça ainda não existiam. TR7 as encapsula com WAAP, SSO moderno e MFA sem tocar no código. Registros prontos para auditoria na frente de uma aplicação que não produz logs por conta própria.
Plataformas clínicas fornecidas por terceiros que o cliente não pode alterar. TR7 coloca a camada moderna de segurança e acesso na frente delas; atende a requisitos de conformidade e auditoria sem tocar no ciclo de versões do fornecedor.
Telemetria industrial por UDP, dados de parceiro por FTP, acesso de supervisão por RDP. Uma única instância TR7 atende a tudo isso — segurança e observabilidade modernas para protocolos que nunca tiveram nenhuma das duas.
Aplicações departamentais acumuladas ao longo de uma década. TR7 as fachada com SSO moderno via IdP da instituição, substitui a exposição direta à internet por acesso identity-aware e dá observabilidade à equipe de segurança em toda a cauda longa.
Aplicações internas que não podem sair da rede e não podem ser reescritas no prazo que a nova regulamentação exige. TR7 coloca a camada moderna de conformidade — SSL, WAAP, SSO moderno, registros prontos para auditoria — na frente delas, on-prem.
Back-office de PDV, integração de cadeia de suprimentos e portais de parceiros com cronograma de versões próprio do fornecedor. TR7 moderniza a postura de segurança e acesso na frente deles sem esperar pelo fornecedor.
Capacidades referenciadas por esta solução — as peças técnicas que compõem os controlos descritos acima.
Gerencie o acesso VPN não como uma exceção de rede isolada, mas como parte da política de identidade e confiança de dispositivo do AAM.
Acesso pelo navegador a RDP, VNC, SSH, Kubernetes e sistemas legados — cofre de credenciais, gravação e watermark já incluídos.
Gerencie transições HTTP→HTTPS, migrações de domínio, movimentações de path e redirecionamentos de erro sem tocar no código da aplicação.
Mude o path, não o backend — o cliente mantém sua URL enquanto uma nova arquitetura opera por dentro.
Escreva regras visualmente, obtenha comportamento de tráfego compilado — gerencie o fluxo de requisição e resposta sem scripting.
Vá além dos headers — faça o conteúdo do corpo parte da decisão de tráfego e segurança.
Insira o TR7 ADC no caminho de tráfego sem tocar em endereços IP de backends, gateways ou rotas.
Conecte serviços sem fundir redes — gerencie planos de IP sobrepostos e isolamento de tenant com um único modelo vService.
Gerencie FTP não como uma porta aberta, mas como uma sessão de transferência de arquivo controlada comando a comando.
Do pool NTP externo à infraestrutura interna; fonte de tempo centralizada, controlada e isolada.
Colete, classifique, replique e encaminhe tráfego syslog UDP e TCP na frente do seu SIEM.
Um único TR7. Vários tenants. Limites de recursos, rede e operação separados entre si.
Feche uma vulnerabilidade na camada de tráfego em minutos — sem necessidade de alteração de código.
Autenticação moderna na frente, identidade injetada downstream como header, Authorization ou cookie — aplicações legadas permanecem legadas.
Traga uma aplicação legada real para uma demo do TR7; mostramos como a camada de modernização se ergue na frente dela — terminação SSL, inspeção WAAP, SSO moderno e observabilidade — sem tocar em uma única linha do código.