Tailscale — Nossa arma secreta para uma infra limpa e segura na Cubiq.lat

Sem rodeios: as formas clássicas de dar acesso aos desenvolvedores aos servidores são uma tortura especial.

Abrir SSH para a internet? Parabéns, agora você hospeda o alvo de força bruta mais popular do mundo.
Montar uma VPN tradicional? Prepare-se para sessões eternas de onboarding, rezas por NAT traversal e o inevitável ticket “conecta mas não funciona nada”.

Na Cubiq.lat decidimos que preferimos gastar nossa energia construindo do que cuidando de configs de rede. Então trouxemos o Tailscale… e ele mudou tudo silenciosamente.

Nossos servidores agora vivem em uma malha privada e criptografada que é completamente invisível do lado de fora. Os membros autorizados do time se conectam de qualquer lugar (cafés em Montevidéu, coworkings aleatórios, praias de verdade) como se tudo estivesse rodando em localhost. Sem drama, só fluidez.

Por que a gente realmente gosta do Tailscale (e continua usando)

Estávamos atrás de três coisas inegociáveis: segurança de verdade, zero fricção no onboarding e liberdade para entregar rápido sem rituais de pedir regras de firewall.

O Tailscale entrega as três enquanto faz as soluções legadas parecerem relíquias de museu.

Segurança que não exige vigilância constante

Portas expostas publicamente são o caminho para as empresas acabarem em manchetes que preferimos evitar.

O Tailscale constrói uma sobreposição Zero Trust de verdade (com WireGuard por baixo, claro). Toda conexão é criptografada ponta a ponta e controlada por identidade — não por IPs que podem ser falsificados, compartilhados ou trocados num café.

Sem endpoints públicos. Sem bastions acumulando poeira e CVEs. Só “você está no tailnet → aqui está seu servidor”. A superfície de ataque encolhe drasticamente. As features de 2026 como peer-relay e workload identity deixam tudo ainda mais limpo para pipelines e workloads na borda.

Felicidade para devs que nem sabíamos que era possível

Lembra de passar meio dia explicando pra um novo colega perfis de VPN, arquivos de config e por que o ISP dele odeia ele?

A gente não faz mais isso.

Um único binário, um único login (Google, GitHub, o que funcionar), entrar no tailnet… e de repente os nomes amigáveis simplesmente funcionam: db-primary, staging-api, rabbitmq-nightmare. Sem toggle de VPN. Sem roleta de split-tunnel. Sem diplomacia de regras de firewall.

NAT traversal é automático. Multi-cloud é trivial. Dev no 4G ruim no interior? Continua funcionando.

O onboarding passou de “por favor sobreviva essa tarde” para “bem-vindo, você já está conectado”. O pessoal entrega mais rápido porque não está brigando com a rede.

Controle que realmente continua gerenciável

As regras de acesso vivem como código (amantes de GitOps, alegrem-se). Precisa limitar o estagiário só ao staging? Uma policy. Alguém sai da empresa? Revoga em segundos no dashboard.

Logs de auditoria centralizados, permissões baseadas em papéis e um único painel de vidro significam que a gente realmente sabe quem tocou em quê… sem mais sessões SSH misteriosas.

A parte em que a gente se gaba (porque merecemos)

O Tailscale nos permitiu:

• Eliminar praticamente nossa superfície de ataque pública
• Transformar a conectividade dos devs em algo que não é problema
• Conseguir controle nível enterprise sem a burocracia nível enterprise

Num mar de ferramentas “seguras porque são complicadas”, o Tailscale se destaca por ser seguro e simples. Não somos patrocinados — somos só fãs de tudo que para de fazer a gente perder tempo.

Se a sua infra ainda parece estar rodando com lógica de rede de 2010, experimente o Tailscale. Entre no tailnet, veja a bagunça sumir e volte a construir.

Dúvidas? Manda mensagem — a gente ama demais esse assunto.

Fique esperto, fique invisível.
— A equipe Cubiq.lat