O que é a arquitetura SASE? | Serviço de acesso seguro de borda

A arquitetura do serviço de acesso seguro de borda (SASE) é um modelo de TI que combina serviços de segurança e de rede em uma plataforma em nuvem.

Objetivos de aprendizado

Após ler este artigo, você será capaz de:

  • Definir o modelo de Serviço de acesso seguro de borda (SASE)
  • Saber mais sobre os componentes arquitetônicos do SASE
  • Explorar os benefícios e os casos de uso do SASE
  • Entender como o SASE se relaciona com o SSE e a segurança Zero Trust

Conteúdo relacionado


Quer saber mais?

Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.

Consulte a política de privacidade da Cloudflare para saber como coletamos e processamos seus dados pessoais.

Copiar o link do artigo

O que é SASE?

O serviço de acesso seguro de borda, ou SASE (pronuncia-se "sassy"), é um modelo de arquitetura que converge a conectividade de rede com as funções de segurança de rede e as fornece por meio de uma única plataforma em nuvem e/ou controle de política centralizado.

À medida que as organizações migram cada vez mais aplicativos e dados para a nuvem, tornou-se mais complexo e arriscado gerenciar a segurança da rede com uma abordagem tradicional de "castelo e fosso". Diferentemente da abordagem de rede tradicional, o SASE unifica a segurança e a rede em uma plataforma em nuvem e um plano de controle para proporcionar visibilidade, controles e experiências consistentes de qualquer usuário para qualquer aplicativo.

Dessa forma, o SASE cria uma nova rede corporativa unificada com base em serviços em nuvem executados na internet, permitindo que as organizações façam a transição de muitas camadas arquitetônicas e soluções pontuais.

A arquitetura SASE combina segurança Zero Trust e serviços de rede

Como o SASE se compara à rede tradicional?

Em um modelo de rede tradicional, os dados e aplicativos estão localizados em um data center central. Para acessar esses recursos, os usuários, escritórios de filiais e aplicativos se conectam ao data center com uma rede privada localizada ou de uma rede secundária que, geralmente, se conecta à rede principal por meio de uma linha dedicada segura ou uma VPN.

No entanto, esse modelo não está preparado para lidar com as complexidades introduzidas pelos novos serviços baseados em nuvem e com o aumento das forças de trabalho distribuídas. Não é prático, por exemplo, redirecionar todo o tráfego por meio de um data center centralizado se uma organização hospedar aplicativos SaaS e dados em nuvem.

O SASE, ao contrário, coloca os controles de rede na borda da nuvem, não no data center corporativo. Em vez de colocar os serviços em camadas que requerem uma configuração e gerenciamento separados, o SASE converge rede e segurança usando um único plano de controle. O SASE implementa políticas de segurança Zero Trust baseadas em identidade na rede de borda, o que permite que as empresas expandam o acesso à rede para incluir qualquer usuário remoto, filial, dispositivo ou aplicativo.

Artigo
O guia do comprador para casos de uso de SASE
Guia
O guia Zero Trust para proteger o acesso a aplicativos

Quais recursos o SASE oferece?

As plataformas SASE combinam recursos de rede como serviço (NaaS) com várias funções de segurança gerenciadas a partir de uma interface e fornecidas a partir de um plano de controle.

Esses serviços incluem:

  • Serviços de rede que simplificam a conectividade, como redes de longa distância definidas por software (SD-WAN) ou WAN como serviço (WANaaS), para conectar várias redes em uma única rede corporativa.
  • Serviços de segurança aplicados ao tráfego que entra e sai da rede para ajudar a proteger o acesso de usuários e dispositivos, defender-se contra ameaças e proteger dados confidenciais.
  • Serviços operacionais que fornecem recursos para toda a plataforma, como monitoramento de rede e registros de log.
  • Um mecanismo de políticas que sustenta todos os atributos contextuais e regras de segurança e, em seguida, aplica essas políticas em todos os serviços conectados.

Ao mesclar esses serviços em uma arquitetura unificada, o SASE simplifica a infraestrutura de rede.

Cadastre-se
Mantenha funcionários e aplicativos protegidos on-line

Quais são os componentes tecnológicos de uma plataforma SASE?

Como a borda do serviço de acesso seguro envolve a convergência de vários serviços tradicionalmente diferentes, as organizações podem adotar uma arquitetura SASE progressivamente, em vez de tudo de uma vez. As organizações podem implementar primeiro os componentes que atendem aos seus casos de uso de maior prioridade, antes de transferir todos os serviços de rede e segurança para uma única plataforma.

Em geral, as plataformas SASE incluem os seguintes componentes tecnológicos:

  • Acesso à rede Zero Trust (ZTNA): o modelo de segurança Zero Trust pressupõe que as ameaças estão presentes dentro e fora de uma rede; portanto, é necessária uma verificação contextual rigorosa sempre que uma pessoa, um aplicativo ou um dispositivo tentar acessar recursos em uma rede corporativa. O acesso à rede Zero Trust (ZTNA) é a tecnologia que torna possível a abordagem Zero Trust, ela estabelece conexões um a um entre os usuários e os recursos de que eles precisam e exige a reverificação e a recriação periódicas dessas conexões.
  • Gateway seguro da web (SWG): um SWG evita ameaças cibernéticas e protege os dados filtrando o conteúdo de tráfego indesejado da web e bloqueando o comportamento on-line arriscado ou não autorizado de usuários. Os SWGs podem ser implantados em qualquer lugar, o que os torna ideais para proteger o trabalho híbrido.
  • Agente de segurança de acesso à nuvem (CASB): o uso de nuvem e de aplicativos SaaS torna mais difícil garantir que os dados permaneçam privados e seguros.Um CASB é uma solução para esse desafio: ele fornece controles de segurança de dados (e visibilidade) sobre os serviços e aplicativos hospedados em nuvem de uma organização.
  • WAN definida por software (SD-WAN) ou WANaaS: em uma arquitetura SASE, as organizações adotam a SD-WAN ou a WAN como serviço (WANaaS) para conectar e escalar operações (por exemplo, escritórios, lojas de varejo, data centers) em grandes distâncias. A SD-WAN e a WANaaS usam abordagens diferentes:
    • A tecnologia SD-WAN usa software nos locais da empresa e um controlador centralizado para superar algumas das limitações das arquiteturas tradicionais de WAN, simplificando as operações e as decisões de direcionamento de tráfego.
    • A WANaaS se baseia nos benefícios da SD-WAN adotando uma abordagem de "light branch, heavy cloud" que implanta o hardware mínimo necessário em locais físicos e usa a conectividade de internet de baixo custo para alcançar o local mais próximo da "borda de serviço". Isso pode reduzir os custos totais, oferecer segurança mais integrada, melhorar o desempenho da milha intermediária e atender melhor à infraestrutura em nuvem.
  • Next-generation firewall (NGFW): um NGFW inspeciona os dados em um nível mais profundo do que um firewall tradicional. Por exemplo, os NGFWs podem oferecer conscientização e controle de aplicativos, prevenção de intrusões e inteligência contra ameaças, o que lhes permite identificar e bloquear ameaças que possam estar ocultas no tráfego de aparência normal. Os NGFWs que podem ser implantados em nuvem são chamados de firewalls em nuvem ou firewall como serviço (FWaaS).

Dependendo dos recursos do fornecedor, os componentes do SASE acima também podem ser agrupados com a segurança de e-mail em nuvem, proteção de aplicativos web e APIs (WAAP), segurança de DNS e/ou recursos de serviço de segurança de borda (SSE) descritos mais adiante.

Quais são os principais benefícios do SASE?

Comparado a um modelo de segurança de rede tradicional baseado em data center, o SASE oferece diversas vantagens.

Redução de riscos através dos princípios Zero Trust: o SASE se baseia fortemente no modelo de segurança Zero Trust, que não concede acesso a aplicativos e dados a um usuário até que sua identidade tenha sido verificada, mesmo que ele já esteja dentro do perímetro de uma rede privada. Ao estabelecer políticas de acesso, uma abordagem SASE leva em conta mais do que a identidade de uma entidade; ela também pode considerar fatores como geolocalização, postura do dispositivo, padrões de segurança corporativa e uma avaliação contínua de risco/confiança.

Redução de custos por meio da consolidação da plataforma: o SASE converge soluções de segurança de ponto único em um serviço baseado em nuvem, liberando as empresas para interagir com menos fornecedores e gastar menos tempo, dinheiro e recursos internos tentando forçar a integração de produtos diferentes.

Eficiência operacional e agilidade: em vez de fazer malabarismos com soluções pontuais que não foram projetadas para trabalhar em conjunto, o SASE permite que as organizações definam, ajustem e apliquem políticas de segurança em todos os locais, usuários, dispositivos e aplicativos a partir de uma única interface. As equipes de TI podem solucionar problemas com mais eficiência e gastar menos tempo resolvendo problemas simples.

Experiência do usuário no trabalho híbrido aprimorada: as otimizações de roteamento de rede podem ajudar a determinar o caminho de rede mais rápido com base no congestionamento da rede e em outros fatores. O SASE ajuda a reduzir a latência para o usuário final, roteando com segurança o tráfego em uma rede de borda global na qual o tráfego é processado o mais próximo possível do usuário.

Quais são os casos de uso comuns do SASE?

Aumento ou substituição de VPNs para acesso seguro modernizado

Um impulsionador comum para a mudança para uma arquitetura SASE é melhorar o acesso aos recursos e a conectividade. O roteamento e o processamento do tráfego de rede em uma rede global em nuvem o mais próximo possível do usuário, em vez de por meio de VPNs, reduz o atrito para o usuário final e elimina o risco de movimento lateral.

Simplificação do acesso de prestadores de serviços (terceiros)

O serviço de acesso seguro de borda estende o acesso seguro além dos funcionários internos para terceiros, como prestadores de serviços, parceiros e outros trabalhadores temporários ou independentes. Com o acesso baseado em recursos, as organizações reduzem o risco de provisionamento excessivo de prestadores de serviços.

Defesa contra ameaças para escritórios distribuídos e trabalhadores remotos

O SASE permite que as organizações apliquem políticas de segurança de TI consistentes a todos os usuários, independentemente de sua localização. Ao filtrar e inspecionar todo o tráfego de rede de entrada e de saída, o SASE pode ajudar a evitar ameaças como ataques baseados em malware, phishing multicanal (ataques que abrangem vários canais de comunicação), ameaças internas, exfiltração de dados, e muito mais.

Proteção de dados para conformidade regulatória

Como o SASE oferece visibilidade de cada solicitação de rede, as organizações podem aplicar políticas aos dados em cada solicitação. Essas políticas ajudam a garantir a conformidade com as leis de privacidade de dados que exigem que as organizações processem dados confidenciais de determinadas maneiras.

Simplifique a conectividade das filiais

Uma arquitetura SASE pode ajudar a aumentar ou substituir uma colcha de retalhos de circuitos de comutação de etiquetas multiprotocolo (MPLS) e dispositivos de rede para rotear mais facilmente o tráfego entre filiais e facilitar a conectividade site a site entre os locais.

Qual é a diferença entre o SASE e o SSE (serviço de segurança de borda)?

A Gartner, empresa de análises do setor, define o serviço de acesso seguro de borda como incluindo SD-WAN, SWG, CASB, NGFW e ZTNA para "permitir o acesso Zero Trust com base na identidade do dispositivo ou da entidade, combinado com contexto em tempo real e políticas de segurança e conformidade".

Em outras palavras, o SASE incorpora o acesso seguro de um usuário como parte da arquitetura de rede. (Vale a pena observar aqui que a Forrester, empresa de análises do setor, categoriza o modelo SASE como "Zero Trust Edge", ou ZTE).

Mas nem todas as organizações têm uma abordagem coesa entre as equipes de TI, segurança de rede e redes. Portanto, elas podem priorizar o serviço de segurança de borda (SSE), um subconjunto da funcionalidade SASE focado principalmente na proteção do acesso ao site web, nos serviços em nuvem eno aplicativo privado.

Além disso, embora a maioria das plataformas SASE inclua os principais recursos mencionados anteriormente, algumas incluem recursos adicionais de SSE, como:

  • Isolamento remoto do navegador (RBI): o RBI aplica o princípio Zero Trust à navegação na web, assumindo que nenhum código de site (por exemplo,HTML, CSS, JavaScript) deve ser confiável para ser executado por padrão. O RBI carrega páginas web e executa qualquer código associado em nuvem, longe dos dispositivos locais dos usuários. Essa separação ajuda a evitar downloads de malware, minimiza o risco de vulnerabilidades zero-day do navegador e defende contra outras ameaças transmitidas pelo navegador.
  • Prevenção de perda de dados (DLP): para evitar que os dados sejam roubados ou destruídos sem permissão, as tecnologias de DLP detectam a presença de dados confidenciais em aplicativos web, SaaS e privados. Em combinação com um SWG, as soluções de DLP podem fazer a verificar dados em trânsito; em combinação com um CASB, as soluções DLP podem verificar dados em repouso.
  • Digital experience monitoring (DEM): o DEM é uma ferramenta para monitorar o comportamento do usuário e suas experiências com o tráfego do site e o desempenho de aplicativos. O DEM ajuda as organizações a capturar dados em tempo real sobre problemas de rede, lentidão no desempenho e interrupções de aplicativos. Isso ajuda a identificar os problemas de rede e as causas raízes das anomalias de conectividade

O SSE é um trampolim comum para uma implantação completa do SASE. No entanto, algumas organizações (especialmente aquelas com implantações maduras de SD-WAN) podem não estar buscando a consolidação total em um único fornecedor de SASE. Essas organizações podem implantar componentes SASE individuais para atender aos seus casos de uso imediato, com a opção de expandir seus esforços de consolidação de plataforma ao longo do tempo.

Como a Cloudflare ativa o SASE

O Cloudflare One é a plataforma SASE da Cloudflare para proteger aplicativos, usuários, dispositivos e redes empresariais. Ele foi desenvolvido com base na nuvem de conectividade da Cloudflare, uma plataforma unificada e combinável de serviços programáveis nativos de nuvem que permite conectividade any-to-any entre todas as redes (empresas e internet), ambientes em nuvem, aplicativos e usuários.

Os serviços do Cloudflare One (que incluem todos os aspectos do SASE) são projetados para serem executados em todos os locais da rede da Cloudflare, de modo que todo o tráfego seja conectado, inspecionado e filtrado próximo à origem para obter o melhor desempenho e uma experiência do usuário consistente. Saiba mais sobre o Cloudflare One e outras soluções de segurança de rede.