O que é o Secure Access Service Edge (SASE)?

A principal diferença entre o SASE e a segurança tradicional de rede é que, em vez de rotear todo o tráfego de volta para um data center para aplicar políticas de segurança, o SASE oferece recursos de segurança e outros serviços mais próximos de onde os usuários e endpoints se conectam, na edge da rede.

O modelo SASE oferece um grande potencial para fortalecer a segurança da rede, simplificar o gerenciamento de desempenho da rede e melhorar a experiência geral do usuário.

À medida que mais organizações buscam a transformação digital (, à medida que adotam cada vez mais ambientes de nuvem, edge computing e modelos de trabalho remoto ou híbridos), cada vez mais usuários e recursos de TI residirão fora do perímetro de rede tradicional. O SASE permite que as organizações forneçam conexões diretas, seguras e de baixa latência entre usuários e esses recursos, independentemente de onde estejam localizados.

O SASE pode ser uma tecnologia relativamente nova (um analista do setor da Gartner definiu o termo em 2019), mas muitos especialistas em segurança acreditam que ele representa o futuro da segurança de rede.

O SASE é a combinação, ou convergência, de duas tecnologias principais: rede de área ampla definida por software, ou SD-WAN, e Secure Service Edge, ou SSE. É mais fácil entender como o SASE funciona se você entender primeiro o que cada uma dessas tecnologias faz.

Uma SD-WAN é uma rede de área ampla que foi virtualizada, da mesma forma que os servidores são virtualizados. Ela separa a funcionalidade de rede do hardware subjacente (conexões, switches, roteadores, gateways) para criar um pool de capacidade de rede e recursos de segurança de rede que podem ser divididos, agregados e aplicados ao tráfego sob controle do software.

As redes de longa distância (WANs) tradicionais foram projetadas para conectar usuários em filiais corporativas a aplicações em um data center corporativo central, geralmente por meio de conexões de rede de linha alugada dedicadas, privadas e caras. Os roteadores instalados em cada filial controlavam e priorizavam o tráfego para garantir o desempenho ideal das aplicações mais importantes. Funções de segurança, como inspeção de pacotes e criptografia de dados, eram aplicadas no data center central.

A SD-WAN foi originalmente desenvolvida para permitir que as organizações duplicassem seus recursos de WAN em uma infraestrutura de internet mais escalável e mais barata. Mas a demanda pela SD-WAN acelerou à medida que mais e mais empresas começaram a adotar serviços de nuvem antes de estarem prontas para confiar na segurança da internet. O modelo de segurança da WAN foi desafiado: o roteamento de volumes cada vez maiores de tráfego destinado à internet por meio de data centers corporativos criou um gargalo caro, e tanto o desempenho da rede quanto a experiência dos usuários foram degradados.

A SD-WAN elimina esse gargalo ao permitir que a segurança seja aplicada ao tráfego no ponto de conexão, em vez de forçar o roteamento do tráfego para a segurança. Ela permite que as organizações estabeleçam conexões diretas, seguras e otimizadas entre os usuários e aquilo de que eles precisarem: aplicativos de software-como-serviço (SaaS), recursos de nuvem ou serviços de internet pública.

Outro termo cunhado pela Gartner, SSE é "a metade da segurança do SASE". A Gartner especifica a SSE como a convergência de três principais tecnologias de segurança nativas da nuvem:

Secure web gateways (SWGs). Um SWG é um policial de tráfego de internet bidirecional. Ele impede que o tráfego malicioso chegue aos recursos de rede, usando técnicas como filtragem de tráfego e inspeção de consulta do sistema de nomes de domínios (DNS) para identificar e bloquear malware, ransomware e outras ameaças cibernéticas. E impede que usuários autorizados se conectem a sites suspeitos: em vez de se conectarem diretamente à internet, usuários e endpoints se conectam ao SWG, por meio do qual podem acessar apenas recursos aprovados (por exemplo, data centers locais, aplicações de negócios e aplicações e serviços em nuvem).

Agentes de segurança no acesso à nuvem (CASBs). Os CASBs ficam entre os usuários e as aplicações e recursos da nuvem. Os CASBs aplicam as políticas de segurança da empresa, como criptografia, controle de acesso e detecção de malware, à medida que os usuários acessam a nuvem, independentemente de onde ou como os usuários se conectam — e podem fazer isso sem instalar software no dispositivo de endpoint, o que os torna ideais para proteger o BYOD (bring your own device) e outros casos de uso de transformação da força de trabalho. e outros CASBs também podem aplicar políticas de segurança quando os usuários se conectam a ativos de nuvem desconhecidos.

Acesso à rede zero trust (ZTNA). Uma abordagem zero trust para o acesso à rede é aquela que nunca confia e valida continuamente todos os usuários e entidades, estejam eles fora ou já dentro da rede. Usuários e entidades validados recebem o acesso menos privilegiado necessário para concluir suas tarefas. Todos os usuários e entidades são forçados a revalidar sempre que seu contexto muda, e cada interação de dados é autenticada pacote por pacote, até que a sessão de conexão termine.

O ZTNA não é um produto de segurança em si, mas uma abordagem de segurança de rede implementada usando uma variedade de tecnologias, incluindo gerenciamento de acesso e identidade (IAM), autenticação multifatorial (MFA), análise de dados de comportamento de usuários e entidades (UEBA) e vários tipos de soluções de detecção e resposta a ameaças.

As plataformas SASE de fornecedores individuais podem incluir outros recursos de prevenção de ameaças e segurança, incluindo firewall como serviço (FWaaS), data loss prevention (DLP), controle de acesso à rede (NAC) e plataformas de proteção de endpointa (EPPs).

As soluções SASE usam a SD-WAN para prestar serviços de segurança SSE a usuários, dispositivos e outros endpoints onde ou perto de onde eles se conectam, na edge da rede.

Especificamente, em vez de enviar todo o tráfego de volta para um data center central para inspeção e criptografia, as arquiteturas SASE direcionam o tráfego para pontos de presença (PoPs) distribuídos localizados próximos ao usuário final ou endpoint. (Os PoPs são de propriedade do provedor de serviços SASE ou estabelecidos no data center de um fornecedor terceirizado.) O PoP protege o tráfego usando os serviços SSE fornecidos na nuvem e, em seguida, o usuário ou endpoint é conectado a nuvens públicas e privadas, aplicações de software como serviço (SaaS) , à internet pública ou a qualquer outro recurso.

O SASE oferece benefícios comerciais importantes para as equipes de segurança, a equipe de TI, os usuários finais e a organização como um todo.

Economia de custos, especificamente, menos despesas de capital. O SASE é essencialmente uma solução de segurança SaaS: os clientes compram o acesso ao software para configurar e controlar o SASE e obter todos os benefícios do hardware do provedor de serviços de nuvem no qual ele é entregue. Em vez de rotear o tráfego de um roteador de filial para um hardware de data center local por segurança, os clientes do SASE encaminham o tráfego para a nuvem a partir da conexão de internet mais próxima.

As empresas também podem consumir o SASE como uma solução híbrida fornecida tanto na nuvem pública quanto na infraestrutura local da organização, integrando hardware de rede física, dispositivos de segurança e data center com suas contrapartes nativas da nuvem virtualizadas.

Gerenciamento e operações simplificados. Os frameworks SASE fornecem uma solução única e consistente para proteger qualquer coisa que se conecte ou tente se conectar à rede — não apenas usuários, mas dispositivos de Internet das coisas (IoT), APIs, microsserviços conteinerizados ou aplicações sem servidor e, até mesmo, máquinas virtuais (VMs) que são ativadas sob demanda. Eles também eliminam a necessidade de gerenciar uma stack de soluções de pontos de segurança (roteadores, firewalls etc.) em cada ponto de conexão. Em vez disso, as equipes de TI ou de segurança podem criar uma política única e central para proteger todas as conexões e recursos na rede e podem gerenciar tudo a partir de um único ponto de controle.

Cibersegurança mais forte. Implementado corretamente, o SASE pode melhorar a segurança em vários níveis. O gerenciamento simplificado fortalece a segurança, reduzindo a chance de erros ou configurações incorretas. Para proteger o tráfego de usuários remotos, o SASE substitui a permissão geral e única de acesso à rede virtual privada (VPN) pelo controle de acesso refinado e baseado em identidade e contexto do ZTNA sobre aplicações, diretórios, conjuntos de dados e cargas de trabalho. 

Experiência do usuário melhor e mais consistente. Com o SASE, os usuários se conectam à rede da mesma forma, quer estejam trabalhando no local, em uma filial, em casa ou em trânsito, quer estejam se conectando a aplicações e recursos hospedados na nuvem ou no local. Os serviços da SD-WAN encaminham automaticamente o tráfego para o PoP mais próximo e, uma vez aplicadas as políticas de segurança, otimizam as conexões para o melhor desempenho possível.

O SASE oferece vantagens para qualquer organização que esteja evoluindo do modelo central de entrega de aplicações de data center. Mas um punhado de casos de uso específicos estão impulsionando sua adoção hoje.

Proteção de forças de trabalho híbridas sem gargalos de VPNs. As VPNs têm sido o meio predominante de proteger usuários remotos ou móveis por quase duas décadas. Mas as VPNs não escalam de forma fácil ou barata — algo que muitas organizações aprenderam da maneira mais difícil quando suas forças de trabalho se tornaram totalmente remotas por causa da pandemia da COVID-19. Por outro lado, o SASE pode ser dimensionado dinamicamente para atender aos requisitos de segurança de trabalhadores remotos em particular e de uma força de trabalho em evolução em geral.

Adoção da nuvem híbrida e migração para a nuvem. A nuvem híbrida combina nuvem pública, nuvem privada e infraestrutura local em um único ambiente de computação flexível, onde as cargas de trabalho migram livremente entre infraestruturas conforme as circunstâncias mudam. As soluções de segurança WAN não são projetadas para esse tipo de mobilidade das cargas de trabalho, mas o SASE, que abstrai os recursos de segurança da infraestrutura subjacente, protege o tráfego para onde quer que ele migre. Ele também oferece às organizações a flexibilidade de migrar cargas de trabalho para a nuvem em qualquer ritmo que funcione.

Proliferação de edge computing e de dispositivos de IoT/OT. A edge computing é um modelo de computação distribuída que localiza aplicações e recursos de computação fora do data center centralizado e mais perto de fontes de dados, como telefones celulares, dispositivos de IoT ou tecnologia operacional (TO) e servidores de dados. Essa proximidade resulta em melhores tempos de resposta das aplicações e insights mais rápidos, especialmente para aplicações de inteligência artificial (IA) e aprendizado de máquina, que processam grandes volumes de dados de streaming em tempo real.

Para habilitar essas aplicações, as organizações ou fornecedores de soluções implementaram milhares de sensores IoT ou dispositivos TO, muitos com pouca ou nenhuma segurança configurada. Isso torna esses dispositivos alvos ideais para hackers, que podem sequestrá-los para acessar fontes de dados sensíveis, interromper operações ou organizar ataques DDoS (distributed denial-of-service). O SASE pode aplicar políticas de segurança a esses dispositivos à medida que eles se conectam à rede e fornecer visibilidade de gerenciamento de todos os dispositivos conectados a partir de um dashboard central.