O que é SASE? | Serviço de Acesso Seguro de Borda

O serviço de acesso seguro de borda, ou SASE, é um modelo de TI baseado em nuvem que combina os serviços de rede e de segurança.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o serviço de acesso seguro de borda (SASE)
  • Saber quais serviços estão incluídos no SASE
  • Saber quais são as diferenças entre o SASE e a arquitetura de rede tradicional
  • Explorar as vantagens de se adotar uma estrutura SASE

Copiar o link do artigo

O que é SASE?

O serviço de acesso seguro de borda, ou SASE, é um modelo de segurança baseado em nuvem que combina um serviço de rede definido por software a funcionalidades de segurança de rede e os fornece usando um único provedor de serviços. O termo SASE foi criado em 2019 pela Gartner, empresa global de pesquisa e consultoria.

sase — serviço de acesso seguro de borda

O SASE é uma alternativa baseada em nuvem à infraestrutura de rede tradicional "hub-and-spoke" utilizada para conectar usuários em diversos locais ("spokes", ou raios) aos recursos hospedados em data centers centralizados ("hubs", ou polos). Em um modelo de rede tradicional, os dados e aplicações estão localizados em um data center central. Para acessar esses recursos, os usuários, escritórios de filiais e aplicações se conectam ao data center com uma rede privada localizada ou de uma rede secundária que, geralmente, se conecta à rede principal por meio de uma linha dedicada segura ou VPN.

Embora em princípio seja simples, o modelo hub-and-spoke não está preparado para lidar com as complexidades introduzidas pelos serviços baseados em nuvem, como o Software como Serviço (SaaS), e o crescimento das forças de trabalho distribuídas. Com um maior número de aplicações, cargas de trabalho e dados corporativos confidenciais migrando para a nuvem, as empresas estão sendo forçadas a repensar como e onde o tráfego de rede é inspecionado e as políticas de acesso seguro de usuários são gerenciadas. Deixou de ser prático redirecionar todo o tráfego por meio de um data center centralizado ("efeito trombone") se a maioria das aplicações e dados está hospedada na nuvem, já que isso pode acrescentar uma latência desnecessária. Ao mesmo tempo, grandes grupos de usuários remotos podem experimentar uma latência significativa ao se conectarem a uma rede corporativa via VPN, ou então se expor a riscos de segurança adicionais ao acessarem recursos da empresa por meio de uma conexão não segura.

O SASE, ao contrário, coloca os controles de rede na borda da nuvem, não no data center corporativo. Em vez de empilhar em camadas os serviços de nuvem que exigem configuração e gerenciamento separados, o SASE simplifica os serviços de rede e segurança de modo a criar uma borda de rede segura e sem obstáculos. A implementação de políticas de acesso zero trust baseadas em identidade na borda da rede permite que as empresas ampliem seu perímetro de rede de modo a alcançar todos os usuários remotos, escritórios de filiais, dispositivos ou aplicações. Isso, por sua vez, elimina a necessidade de VPNs e firewalls obsoletos e oferece às empresas um controle mais detalhado sobre suas políticas de segurança de rede. Para atingir seus fins, a estrutura SASE é construída por cima de uma única rede global, de modo a deixar esses serviços integrados mais próximos dos usuários finais.

Por que o SASE é necessário?

Imagine um modelo tradicional de arquitetura de rede como um banco físico. Agora imagine que Carlos precisa conferir o saldo de sua conta antes de pagar o aluguel. Para isso, ele precisaria se deslocar até o banco e verificar sua identidade com o caixa da agência. Todos os meses teria que ir ao banco pessoalmente para repetir esse processo, o que lhe custaria tempo e esforço significativos, especialmente se morasse longe do banco.

Isso é mais ou menos o que acontece no caso de uma arquitetura de rede centrada em hardware, na qual as decisões de segurança e acesso são tomadas e implementadas em um data center fixo, local, e não na nuvem. Adicionar serviços de nuvem a um modelo tradicional de arquitetura de rede é como oferecer ao Carlos a opção de verificar o saldo de sua conta telefonando para o banco. É um jeito um pouco mais conveniente do que dirigir até o banco, mas ainda exige que ele passe por um processo de verificação de identidade completamente diferente (em vez de entregar sua carteira de identidade, por exemplo, talvez precise fornecer outro conjunto de informações confidenciais para comprovar sua identidade pelo telefone). O banco precisará gerenciar esses diferentes procedimentos para manter os dados de conta de seus clientes protegidos.

modelo de rede hub-and-spoke

A infraestrutura hub-and-spoke tradicional não foi criada tendo em mente os serviços de nuvem. Depende de um perímetro de rede seguro construído em torno de um data center central, que só funciona de forma eficaz quando a maior parte das aplicações e dados de uma empresa reside dentro desse perímetro. O gerenciamento de vários serviços de segurança e políticas de acesso pode rapidamente se tornar difícil para as equipes de TI encarregadas de gerenciá-los e atualizá-los.

O SASE, por outro lado, é como um aplicativo de mobile banking no dispositivo móvel do Carlos. Em vez de dirigir até o banco para verificar sua conta ou gastar tempo com um telefonema, Carlos pode verificar sua identidade digitalmente e acessar o saldo da conta instantaneamente, de qualquer lugar do mundo. E isso não se aplica apenas ao Carlos, mas a todos os clientes do banco, não importa onde estejam localizados.

modelo de rede hub-and-spoke

Ao transferir esses processos essenciais para a nuvem, o SASE traz os serviços de segurança de rede e o controle de acesso para perto do usuário final, operando em uma rede global para, ao mesmo tempo, minimizar a latência.

Quais recursos estão incluídos no SASE?

Os recursos de redes de longo alcance baseadas em software (SD-WAN) dos pacotes do serviço de acesso seguro de borda com várias funções de segurança de rede, tudo isso fornecido e gerenciado usando uma única plataforma de nuvem. Uma oferta de SASE inclui quatro componentes essenciais de segurança:

  1. Gateways de web seguros (SWG): também conhecidos como gateways seguro da internet, os SWG evitam ameaças cibernéticas e violações de dados filtrando o conteúdo indesejado do tráfego da internet, bloqueando comportamentos não autorizados do usuário e implementando as políticas de segurança da empresa. Os SWGs podem ser implantados em qualquer lugar, o que os torna a opção ideal para proteger forças de trabalho remotas.
  2. Agente de segurança de acesso à nuvem (CASB): um CASB desempenha várias funções de segurança para serviços hospedados na nuvem, como revelar a TI fantasma (sistemas corporativos não autorizados), proteger dados confidenciais por meio de controle de acesso e prevenção de perda de dados (DLP), garantir a conformidade com os regulamentos de privacidade de dados e muito mais.
  3. Acesso à rede Zero Trust (ZTNA): as plataformas ZTNA impedem que os recursos internos sejam vistos publicamente e ajudam a defendê-los contra possíveis violações de dados ao exigir uma verificação em tempo real de cada usuário para cada aplicação protegida.
  4. Firewall como Serviço (FWaaS): o FwaaS é composto por firewalls disponibilizados na nuvem como um serviço. O FWaaS protege as plataformas, a infraestrutura e as aplicações baseadas em nuvem contra ataques cibernéticos. Diferentemente dos firewalls tradicionais, o FWaaS não é um dispositivo físico, mas um conjunto de recursos de segurança que inclui filtragem de URLs, prevenção de invasões e um gerenciamento consistente de políticas em todo o tráfego de rede.

Dependendo do fornecedor e das necessidades da empresa, esses componentes essenciais podem ser agrupados em um pacote com diversos serviços de segurança adicionais, desde a proteção de aplicações web e APIs (WAAP) e o isolamento remoto do navegador até o DNS recursivo, a proteção de hotspots Wi-Fi, a ofuscação/dispersão de redes, a proteção da computação de borda e muito mais.

Quais são as vantagens de uma estrutura SASE?

Comparado a um modelo de segurança de rede tradicional baseado em data centers, o SASE oferece diversas vantagens:

  • Implementação e gerenciamento simplificados. O SASE combina várias soluções de segurança de ponto único em um serviço baseado em nuvem, liberando as empresas da necessidade de interagir com vários fornecedores e permitindo que economizem o tempo, dinheiro e recursos internos necessários para configurar e fazer a manutenção de uma infraestrutura física.
  • Gerenciamento de políticas simplificado. Em vez de fazer malabarismo com várias políticas para soluções separadas, o SASE permite que as organizações configurem, monitorem, ajustem e implementem políticas de acesso para todos os locais, usuários, dispositivos e aplicações com um único portal.
  • Acesso à rede Zero Trust baseado em identidade. O SASE apoia-se fortemente em um modelo de segurança zero trust, que só concede acesso a aplicações e dados quando a identidade de um usuário é verificada — mesmo que este já esteja dentro do perímetro de uma rede privada. Ao estabelecer suas políticas de acesso, uma abordagem SASE se baseia em muito mais do que a identidade de uma entidade; também leva em conta fatores como a localização do usuário, hora do dia, padrões de segurança corporativa, políticas de conformidade e uma avaliação contínua de riscos/confiança.
  • Roteamento otimizado para latência. Para empresas que prestam serviços afetados pela latência (por exemplo, videoconferência, streaming, games on-line etc.), qualquer aumento de latência significativo constitui um problema. O SASE ajuda a reduzir a latência ao rotear o tráfego de rede através de uma rede de borda global cujo tráfego é processado o mais próximo possível do usuário. As otimizações de roteamento podem ajudar a determinar o caminho de rede mais rápido com base no congestionamento da rede e em outros fatores.

É importante observar que nem todas as implementações de SASE serão iguais. Embora possam compartilhar algumas características essenciais, como políticas de acesso baseadas em identidade, serviços de segurança de rede e uma arquitetura centrada na nuvem, também podem apresentar diferenças marcantes com base nas necessidades de uma organização. Por exemplo, determinada implementação de SASE pode optar por uma arquitetura de locação única em vez de uma arquitetura multilocatário, incorporar um controle de acesso à rede para IoTs (internet das Coisas) e dispositivos de borda, oferecer recursos de segurança adicionais, apoiar-se em um número mínimo de dispositivos de hardware/virtuais para fornecer soluções de segurança etc.

Como a Cloudflare ajuda na adoção do SASE?

O modelo de SASE da Cloudflare se aplica tanto ao Cloudflare para Infraestruturas quanto ao Cloudflare for Teams, sendo ambas as opções sustentadas por uma única rede global que presta serviços para mais de 25 milhões de ativos da internet. O Cloudflare foi arquitetado de uma forma única para oferecer uma plataforma de serviços de rede e de segurança integrados em cada uma das + 200 cidades distribuídas globalmente nas quais está presente, liberando as empresas da necessidade de adquirir e gerenciar um conjunto complexo de soluções pontuais na nuvem.

A Cloudflare para Infraestruturas engloba o conjunto de serviços integrados de segurança e desempenho da Cloudflare, que protegem, aceleram e garantem a confiabilidade de qualquer ambiente, seja local, híbrido ou em nuvem. Uma parte integrante da Cloudflare para Infraestruturas é o Magic Transit da Cloudflare, que protege a infraestrutura de rede contra ameaças de DDoS e ataques nas camadas de rede e trabalha em conjunto com o Web Application Firewall (WAF) da Cloudflare para defendê-la contra explorações de vulnerabilidade. O Magic Transit também usa a rede global da Cloudflare para acelerar o tráfego de rede legítimo de modo a oferecer uma latência e throughput ideais. Saiba mais sobre o Magic Transit da Cloudflare.

O Cloudflare for Teams protege os dados da empresa de duas maneiras distintas: com o Cloudflare Access, uma solução de acesso à rede zero trust, e o Gateway da Cloudflare, um serviço de filtragem de DNS e segurança de rede que protege contra ameaças como malware e phishing. O Cloudflare Access elimina a necessidade de VPNs obsoletas e permite um acesso seguro e baseado em identidade a aplicações e dados internos, independentemente de onde os usuários estejam localizados. O Gateway da Cloudflare protege os dados corporativos e do usuário filtrando e bloqueando conteúdos mal-intencionados, identificando dispositivos comprometidos e usando a tecnologia de isolamento do navegador para impedir que códigos mal-intencionados sejam executados nos dispositivos do usuário. Saiba mais sobre o Cloudflare for Teams.