O que é SASE (secure access service edge - borda de serviço de acesso seguro)?
SASE (pronuncia-se 'sassy') combina recursos de rede de área ampla e segurança de rede em um único serviço integrado e entregue na nuvem.
Desenho isométrico mostrando diferentes membros de uma equipe de trabalho, todos usando a IBM Security
O que é SASE?

SASE é uma abordagem de segurança de rede que combina recursos de rede e segurança de rede em um único serviço de nuvem. A principal diferença entre o SASE e a segurança de rede tradicional é que, em vez de rotear todo o tráfego de volta a um data center para aplicar políticas de segurança, o SASE oferece recursos de segurança e outros serviços mais próximos de onde usuários e terminais se conectam, na borda da rede.

O modelo SASE oferece grande potencial para fortalecer a segurança da rede, simplificar o gerenciamento do desempenho da rede e melhorar a experiência geral do usuário.

À medida que mais organizações buscam a transformação digital e à medida que adotam cada vez mais ambientes de nuvem, computação de borda e modelos de trabalho em casa ou híbridos, mais e mais usuários e recursos de TI residirão fora do perímetro de rede tradicional. O SASE permite que as organizações forneçam conexões diretas, seguras e de baixa latência entre usuários e esses recursos, independentemente de onde estejam localizados. O SASE pode ser uma tecnologia relativamente nova (a analista do setor Gartner definiu o termo em 2019) mas muitos especialistas em segurança acreditam que ele representa o futuro da segurança de rede.

Como funciona o SASE

SASE é a combinação ou convergência de duas tecnologias principais: rede de longa distância definida por software, ou SD-WAN, e borda de serviço segura, ou SSE. É mais fácil entender como o SASE funciona se você primeiro entender o que cada uma dessas tecnologias faz.

SD-WAN

Uma SD-WAN é uma rede de longa distância que foi virtualizada, da mesma forma que os servidores são virtualizados. Ele separa a funcionalidade de rede do hardware subjacente – conexões, switches, roteadores, gateways – para criar um conjunto de capacidade de rede e recursos de segurança de rede que podem ser divididos, agregados e aplicados ao tráfego sob controle de software.

As redes de longa distância (WANs) tradicionais foram projetadas para conectar usuários em filiais corporativas a aplicações em um data center corporativo central, geralmente por meio de conexões de rede dedicadas, privadas e caras de linha alugada. Os roteadores instalados em cada filial controlavam e priorizavam o tráfego para garantir o desempenho ideal das aplicações mais importantes. Funções de segurança, como inspeção de pacotes e criptografia de dados, foram aplicadas no data center central.

A SD-WAN foi desenvolvida originalmente para permitir que as organizações dupliquem seus recursos de WAN em uma infraestrutura de internet mais econômica e escalável. Mas, a demanda por SD-WAN acelerou à medida que mais e mais empresas começaram a adotar serviços em nuvem antes de estarem prontas para confiar na segurança da Internet. O modelo de segurança da WAN foi desafiado: o roteamento de volumes cada vez maiores de tráfego destinado à Internet por meio do data center corporativo criou um gargalo caro, e tanto o desempenho da rede quanto a experiência dos usuários degradaram.

A SD-WAN elimina esse gargalo ao permitir que a segurança seja aplicada ao tráfego no ponto de conexão, em vez de forçar o tráfego a ser roteado para a segurança. Ele permite que as organizações estabeleçam conexões diretas, seguras e otimizadas entre usuários e tudo o que eles precisam – aplicações SaaS (software como serviço), recursos de nuvem ou serviços públicos de Internet.

SSE

Outro termo cunhado pela Gartner, SSE é “a metade de segurança do SASE.” A Gartner especifica o SSE como a convergência de três tecnologias de segurança nativas da nuvem chave:

Secure web gateways (SWGs). Um SWG é um policial de tráfego bidirecional da Internet. Ele impede que o tráfego malicioso alcance os recursos da rede, usando técnicas como filtragem de tráfego e inspeção de consulta do sistema de nomes de domínio (DNS) para identificar e bloquear malware, ransomware e outras ameaças cibernéticas. E impede que usuários autorizados se conectem a sites suspeitos: em vez de se conectar diretamente à Internet, usuários e terminais se conectam ao SWG, por meio do qual podem acessar apenas recursos aprovados (por exemplo, data centers locais, aplicações de negócios e aplicações em nuvem e serviços).

Cloud access security brokers (CASBs). CASBs ficam entre usuários e aplicações e recursos em nuvem. Os CASBs aplicam as políticas de segurança da empresa, como criptografia, controle de acesso e detecção de malware, à medida que os usuários acessam a nuvem, não importa onde ou como os usuários se conectam, e podem fazê-lo sem instalar software no dispositivo terminal, tornando-o ideal para proteger BYOD (traga seu próprio dispositivo) e outros casos de uso de transformação da força de trabalho. e outros CASBs também podem aplicar políticas de segurança quando os usuários se conectam a ativos de nuvem desconhecidos.

Zero trust network access (ZTNA). Uma abordagem zero trust para acesso à rede é aquela que nunca confia e valida continuamente todos os usuários e entidades, estejam eles fora ou já dentro da rede. Os usuários e entidades validados recebem o acesso menos privilegiado necessário para concluir suas tarefas. Todos os usuários e entidades são forçados a revalidar sempre que seu contexto muda, e cada interação de dados é autenticada pacote a pacote até que a sessão de conexão termine.

ZTNA não é um produto de segurança em si, mas uma abordagem de segurança de rede implementada usando uma variedade de tecnologias, incluindo Gerenciamento de acesso e identidade (IAM), autenticação de diversos fatores (MFA), análise de comportamento de usuário e entidade (UEBA) e várias detecção de ameaças e soluções de resposta.

As plataformas SASE de fornecedores individuais podem incluir outros recursos de prevenção e segurança contra ameaças, incluindo firewall como serviço (FWaaS), prevenção contra perda de dados (DLP), controle de acesso à rede (NAC) e plataformas de proteção de terminal (EPPs).

Extraindo tudo junto

As soluções SASE usam SD-WAN para fornecer serviços de segurança SSE a usuários, dispositivos e outros terminais onde ou perto de onde eles se conectam, na borda da rede.

Especificamente, em vez de enviar todo o tráfego de volta para um data center central para inspeção e criptografia, as arquiteturas SASE direcionam o tráfego para pontos de presença (PoPs) distribuídos localizados próximos ao usuário final ou terminal. (Os PoPs são de propriedade do provedor de serviços SASE ou estabelecidos no data center de um fornecedor terceirizado.) O PoP protege o tráfego usando os serviços SSE entregues na nuvem e, em seguida, o usuário ou terminal é conectado a nuvens públicas e privadas, aplicações de software como serviço (SaaS), Internet pública ou qualquer outro recurso.

Benefícios do SASE

O SASE oferece importantes benefícios de negócios para equipes de segurança, equipe de TI, usuários finais e a organização como um todo.

Economia de custos, especificamente, menos despesas de capital. O SASE é essencialmente uma solução de segurança SaaS: os clientes compram acesso ao software para configurar e controlar o SASE e obtêm todos os benefícios do hardware do provedor de serviços em nuvem no qual ele é entregue. Em vez de rotear o tráfego de um roteador de filial para um hardware de data center local para segurança, os clientes SASE roteiam o tráfego para a nuvem por meio da conexão com a Internet mais próxima.

As empresas também podem consumir o SASE como uma solução híbrida entregue na nuvem pública e na infraestrutura local da organização, integrando hardware de rede física, dispositivos de segurança e data center com suas contrapartes nativas da nuvem virtualizada.

Gestão e operações simplificadas. As estruturas SASE fornecem uma solução única e consistente para proteger tudo o que se conecta ou tenta se conectar à rede, não apenas usuários, mas dispositivos de Internet das Coisas (IoT), APIs, microsserviços em contêiner ou aplicações sem servidor e até máquinas virtuais (VMs) que giram sob demanda. Também elimina a necessidade de gerenciar uma pilha de soluções de pontos de segurança, como roteadores, firewalls etc., em cada ponto de conexão. Em vez disso, as equipes de TI ou de segurança podem criar uma política única e central para proteger todas as conexões e recursos na rede e podem gerenciar tudo de um único ponto de controle.

Segurança cibernética mais forte. Devidamente implementado, o SASE pode melhorar a segurança em vários níveis. O gerenciamento simplificado fortalece a segurança reduzindo a chance de erros ou configurações incorretas. Para proteger o tráfego de usuários remotos, o SASE substitui a permissão geral de acesso à rede privada virtual (VPN) pelo controle de acesso baseado em identidade e contexto da ZTNA sobre aplicações, diretórios, conjuntos de dados e cargas de trabalho. 

Experiência de usuário melhor e mais consistente. Com o SASE, os usuários se conectam à rede da mesma maneira, estejam trabalhando no local, em uma filial, em casa ou em trânsito, e estejam se conectando a aplicações e recursos hospedados na nuvem ou no local. Os serviços SD-WAN roteiam automaticamente o tráfego para o PoP mais próximo e, uma vez aplicadas as políticas de segurança, otimizam as conexões para o melhor desempenho possível.

Casos de uso SASE

O SASE oferece vantagens para qualquer organização que esteja evoluindo se afastando do modelo de data center central de entrega de aplicações. Mas, um punhado de casos de uso específicos está impulsionando sua adoção hoje.

Protegendo forças de trabalho híbridas sem gargalos de VPN. As VPNs têm sido o meio predominante de proteger usuários remotos ou móveis por quase duas décadas. Mas as VPNs não são dimensionadas de forma fácil ou barata, algo que muitas organizações aprenderam da maneira mais difícil, quando suas forças de trabalho ficaram totalmente remotas por causa da pandemia da COVID-19. Por outro lado, o SASE pode ser dimensionado dinamicamente para atender aos requisitos de segurança de trabalhadores remotos em particular e de uma força de trabalho em evolução em geral.

Adoção de nuvem híbrida e migração de nuvem. A nuvem híbrida combina nuvem pública, nuvem privada e infraestrutura local em um único ambiente de computação flexível, onde as cargas de trabalho se movem livremente entre as infraestruturas conforme as circunstâncias mudam. As soluções de segurança de WAN não são projetadas para esse tipo de mobilidade de carga de trabalho, mas o SASE, que abstrai os recursos de segurança da infraestrutura subjacente, protege o tráfego onde quer que ele se mova. Ele também oferece às organizações a flexibilidade de migrar cargas de trabalho para a nuvem em qualquer ritmo que funcione.

Computação de borda e proliferação de dispositivos IoT/OT. Computação de borda é um modelo de computação distribuída que localiza aplicações e recursos de computação fora do data center centralizado e mais perto de fontes de dados, como telefones celulares, dispositivos de IoT ou tecnologia operacional (OT) e servidores de dados. Essa proximidade resulta em tempos de resposta de aplicações aprimoradas e insights mais rápidos, principalmente para aplicações de inteligência artificial (IA) e aprendizado de máquina que processam grandes volumes de dados de streaming em tempo real.

Para ativar essas aplicações, organizações ou fornecedores de soluções implementaram milhares de sensores IoT ou dispositivos OT, muitos com pouca ou nenhuma segurança configurada. Isso torna esses dispositivos os principais alvos dos hackers, que podem sequestrá-los para acessar fontes de dados confidenciais, interromper operações ou encenar ataques DDoS (negação de serviço distribuído). O SASE pode aplicar políticas de segurança a esses dispositivos à medida que eles se conectam à rede e fornecer visibilidade de gerenciamento em todos os dispositivos conectados de um painel central.

Soluções relacionadas
Soluções de Secure access service edge (SASE)

O IBM Security Services fornece uma solução secure access service edge (SASE) personalizada para impulsionar sua transformação digital em um ritmo adequado para você.

Explorar serviços de segurança para SASE
Soluções de segurança de confiança zero

A segurança envolve cada usuário, cada dispositivo e cada conexão, sempre com as soluções zero trust da IBM Security.

Conheça as soluções de segurança de confiança zero
Serviços de gerenciamento de segurança de terminal

Gerenciamento moderno de terminais para proteger seus usuários finais e seus dispositivos das últimas ameaças de segurança cibernética.

Explore o gerenciamento de segurança de terminais
Recursos O que é a zero trust?

Em uma abordagem de segurança de confiança zero, todos os endpoints são considerados suspeitos por padrão e recebem o mínimo de privilégios de acesso necessários para desempenhar seus trabalhos ou funções.

O que é a segurança de terminal?

As soluções de segurança de terminam protegem dispositivos, usuários e organizações contra ataques cibernéticos cada vez mais sofisticados

O que é transformação digital?

Transformação digital significa adotar experiências digitais de clientes, parceiros de negócios e funcionários.

Dê o próximo passo

Uma solução secure access service edge (SASE) personalizada para impulsionar sua transformação digital em um ritmo adequado para você.O SASE aprimora a segurança da nuvem híbrida com uma arquitetura de rede moderna que protege sua força de trabalho híbrida e fornecedores terceirizados e fornece acesso e produtividade ao usuário.

Explorar IBM Security Services for SASE