O que é SASE? | Serviço de Acesso Seguro de Borda

Componentes tecnológicos típicos do SASE

Uma plataforma SASE normalmente contém estes componentes tecnológicos essenciais:

• A principal tecnologia que torna possível a abordagem Zero Trust para um acesso seguro é o acesso à rede Zero Trust (ZTNA). O ZTNA fornece acesso simples e seguro entre qualquer usuário e aplicativo, em qualquer dispositivo, em qualquer local, verificando continuamente o contexto granular, como identidade e postura do dispositivo, recurso por recurso.
• Um gateway seguro da web (SWG) evita ameaças e protege os dados filtrando o conteúdo de tráfego indesejado da web e bloqueando o comportamento on-line arriscado ou não autorizado. Os SWGs podem filtrar o tráfego da web de qualquer lugar, o que os torna ideais para forças de trabalho híbridas.
• O uso de aplicativos SaaS e de nuvem torna mais difícil garantir que os dados permaneçam privados e seguros. Um agente de segurança de acesso à nuvem (CASB) é uma solução para esse desafio: um CASB fornece controles de segurança de dados (e visibilidade) sobre os serviços e aplicativos hospedados em nuvem de uma organização. E, para evitar que os dados sejam roubados ou destruídos sem permissão, as tecnologias de prevenção contra perda de dados (DLP) detectam a presença de dados confidenciais em aplicativos web, SaaS e privados. Em combinação com um SWG, as soluções de DLP podem verificar dados em trânsito (por exemplo, upload ou download de arquivos, mensagens de chat, preenchimentos de formulários). Em combinação com um CASB, as soluções de DLP podem fazer a verificar dados em repouso.
• Em uma arquitetura SASE, as organizações adotam redes de longa distância definidas por software (SD- WAN) ou WAN como serviço (WANaaS) para conectar e escalar operações (por exemplo, escritórios, lojas de varejo, data centers) em grandes distâncias. A SD-WAN e a WANaaS usam abordagens diferentes:
  • A tecnologia SD-WAN usa software nos locais da empresa e um controlador centralizado para superar algumas das limitações das arquiteturas tradicionais de WAN, simplificando as operações e as decisões de direcionamento de tráfego.
  • A WANaaS se baseia nos benefícios da SD-WAN adotando uma abordagem de "light branch, heavy cloud" que implanta o hardware mínimo necessário em locais físicos e usa a conectividade de internet de baixo custo para alcançar o local mais próximo da "borda de serviço". Isso pode reduzir os custos totais, oferecer segurança mais integrada, melhorar o desempenho da milha intermediária e atender melhor à infraestrutura em nuvem.
• Um next-generation firewall (NGFW) inspeciona os dados em um nível mais profundo do que um firewall tradicional. Os NGFWs podem oferecer conscientização e controle de aplicativos, prevenção de intrusões e inteligência contra ameaças, o que lhes permite identificar e bloquear ameaças que possam estar ocultas no tráfego de aparência normal. Os NGFWs que podem ser implantados em nuvem são chamados de firewalls em nuvem ou firewall como serviço (FWaaS).
• O isolamento do navegador remoto (RBI) aplica o princípio Zero Trust à navegação na web, assumindo que nenhum código de site deve ser confiável para ser executado por padrão. O RBI carrega páginas web e executa qualquer código associado em nuvem, longe dos dispositivos locais dos usuários. Essa separação ajuda a evitar downloads de malware, minimiza o risco de vulnerabilidades de dia zero do navegador e defende contra outras ameaças transmitidas pelo navegador. O RBI também pode aplicar controles de proteção de dados a recursos baseados em navegador, o que é útil para proteger o acesso de dispositivos não gerenciados.
• O gerenciamento centralizado que se integra a todos os serviços permite que os administradores definam políticas, que são então aplicadas a todos os serviços conectados.

Dependendo dos recursos do fornecedor, as plataformas SASE também podem incluir:

• Segurança de e-mails em nuvem
• Segurança na camada de aplicação
• Segurança de DNS
• Pontuação de risco adaptativa contínua
• Monitoramento de experiência digital (DEM)
• Rede de distribuição de conteúdo (CDN)
• Outras funcionalidades de rede avançadas

O diagrama abaixo ilustra como uma plataforma SASE pode convergir todas essas funções para fornecer conectividade segura a todos os aplicativos, serviços e redes privados, além de garantir a segurança do acesso à internet da força de trabalho.

Exemplos de casos de uso de SASE

O SASE comumente é implementado progressivamente (ao longo de meses ou até mesmo anos). Os planos de implementação variam muito e dependem de fatores únicos, como:

• A estratégia de crescimento de curto e longo prazo de uma organização
• Quais funções e aplicativos correm maior risco de ataques cibernéticos
• Flexibilidade e abertura de equipes individuais para mudanças
• Possíveis velocidade, complexidade e custos da migração

Como a situação de cada organização é diferente, não existe uma abordagem "única" para a implantação do SASE. No entanto, os casos de uso para ativar o SASE geralmente se enquadram nestas cinco prioridades de TI:

1. Adotar o Zero Trust

A aplicação dos princípios de Zero Trust (como um princípio da jornada SASE mais ampla), começando com o ZTNA, permite casos de uso como:

• Substituir VPNs arriscadas e outros produtos de segurança tradicionais baseados em hardware
• Simplificar o acesso de terceiros e BYOD
• Mitigar ataques de ransomware
• Limitar a exposição de dados em aplicativos SaaS e armazenamento em nuvem

2. Proteger a superfície de ataque

Uma arquitetura SASE oferece suporte a uma abordagem “trabalhar de qualquer lugar” com visibilidade consistente e proteções contra ameaças dentro e fora da rede. Exemplos de casos de uso incluem:

• Deter o phishing em e-mails, redes sociais, aplicativos de colaboração e outros canais
• Proteger a conectividade para trabalhadores remotos
• Proteger e otimizar o tráfego para qualquer destino em nuvem ou na internet
• Proteger redes de longa distância (WANs)

3. Modernizar a rede

Em vez de manter redes corporativas legadas, as organizações podem aproveitar serviços de SASE distribuídos e nativos de nuvem. Isso permite casos de uso como:

• Simplificar a conectividade das filiais em comparação com MPLS e SD-WAN tradicional
• Transferir a segurança da DMZ para a nuvem
• Eliminar a confiança elevada na rede local (LAN)
• Reduzir o risco de TI e acelerar a conectividade para fusões e aquisições (M&A)

4. Proteger dados

Os dados confidenciais podem ser expostos através do uso não autorizado de IA generativa e TI invisível, levando a comprometimentos ou violações cuja correção pode ser cara. No entanto, uma arquitetura SASE permite casos de uso como:

• Simplificar a conformidade com regulamentos de segurança de dados
• Gerenciar a TI invisível
• Proteger o uso da GenAI
• Detectar e controlar dados confidenciais

5. Modernizar aplicativos

Os aplicativos precisam ser seguros, resilientes e de alto desempenho para os usuários finais, com escalabilidade para lidar com o crescimento dos dados e, ao mesmo tempo, atender aos requisitos de governança de dados. Uma arquitetura SASE pode ajudar a simplificar e proteger vários estágios do processo de modernização de aplicativos, por exemplo:

• Proteger o acesso privilegiado (desenvolvedores/TI) à infraestrutura crítica
• Evitar vazamentos e roubo de código de desenvolvedores
• Proteger fluxos de trabalho de DevOps
• Proteger aplicativos em migração para a nuvem

SASE comparado com outras abordagens de rede

SASE comparado com rede tradicional

Em um modelo de rede tradicional, os dados e aplicativos estão localizados em um data center central. Usuários, escritórios de filiais e aplicativos se conectam ao data center com uma rede privada localizada ou de uma rede secundária (que, geralmente, se conecta à rede principal por meio de uma linha dedicada segura ou uma VPN). Esse processo pode ser arriscado e ineficiente se uma organização hospedar aplicativos e dados SaaS em nuvem.

Ao contrário das redes tradicionais, o SASE coloca os controles de rede na borda da nuvem, não no data center corporativo. Em vez de colocar os serviços em camadas que requerem uma configuração e gerenciamento separados, o SASE converge rede e segurança usando um único plano de controle. Ao implementar políticas de segurança Zero Trust baseadas em identidade na rede de borda, o SASE permite que as organizações expandam o acesso à rede para qualquer usuário remoto, filial, dispositivo ou aplicativo.

SASE comparado com MPLS

A comutação de etiquetas multiprotocolo (MPLS) envia pacotes de rede por caminhos de rede predeterminados. Idealmente, o resultado com a MPLS é que os pacotes seguem o mesmo caminho todas as vezes. Este é um motivo pelo qual a MPLS é geralmente considerada confiável, mas inflexível. Por exemplo, com a MPLS, os controles de segurança são aplicados por meio de locais de “ponto de acesso” centralizados. Todo o tráfego de entrada e de saída é roteado através da sede. Isso requer backhaul de tráfego para chegar às funções de segurança.

Em vez disso, o SASE usa conectividade de internet de baixo custo, em vez dos caminhos de rede dedicados da MPLS. Isso é adequado para organizações que buscam eficiência de rede a custos mais baixos. Uma plataforma SASE fornece roteamento inteligente flexível e com reconhecimento de aplicativos, segurança integrada e visibilidade granular da rede.

Qual é a diferença entre o SASE e o SSE (serviço de segurança de borda)?

O SASE incorpora o acesso seguro de um usuário como parte da arquitetura de rede. Porém, nem todas as organizações já têm uma abordagem coesa entre as equipes de TI, segurança de rede e redes. Essas organizações podem priorizar o serviço de segurança de borda (SSE), um subconjunto da funcionalidade SASE que se concentra na proteção do acesso dos usuários internos à web, aos serviços em nuvem e a aplicativos privados.

O SSE é um trampolim comum para uma implantação completa do SASE. Embora possa ser uma simplificação excessiva, algumas organizações podem pensar no SASE como “SSE mais SD-WAN”.

SASE de fornecedor único comparado com SASE de dois fornecedores

No SASE, a abordagem de dois fornecedores significa ter dois ou mais provedores para ZTNA, SWG, CASB, SD-WAN/WANaaS e FWaaS — geralmente um para segurança e outro para rede. Isso permite que as organizações personalizem sua pilha de tecnologia e aproveitem os pontos fortes de cada fornecedor. Também significa que as organizações precisam ter tempo e recursos internos para orquestrar e integrar serviços diferentes.

As organizações também podem optar por buscar o SASE de fornecedor único (SV-SASE). Ele combina tecnologias de segurança e rede diferentes em uma única plataforma fornecida em nuvem. O SV-SASE é ideal para organizações que buscam consolidar produtos pontuais, reduzir o TCO e garantir a aplicação consistente de políticas com menos esforço.

Com qualquer uma das abordagens, uma plataforma SASE deve ser capaz de aumentar ou integrar-se a ferramentas existentes para vias de acesso à rede, gerenciamento de identidade, segurança de endpoints, armazenamento de registros e outros componentes de segurança de rede.

Perguntas a serem feitas a possíveis fornecedores de SASE

Seja qual for a abordagem SASE escolhida, considere os seguintes critérios e exemplos de perguntas ao avaliar possíveis fornecedores:

Redução de riscos

• Todos os fluxos de dados e comunicações por meio de suítes SaaS estão protegidos em todos os canais?
• Quais pontuações e analytics de risco de usuários/dispositivos estão disponíveis?
• Alguma função de segurança é ignorada com base em qualquer via de acesso da rede?
• O tráfego de aplicativos é descriptografado e inspecionado em uma única passagem? Há alguma ressalva na implantação?
• Os feeds de inteligência contra ameaças podem ser integrados à sua arquitetura?

Resiliência de rede

• As funções de segurança e rede são integradas nativamente por padrão?
• Todos os métodos de conectividade e serviços SASE são interoperáveis entre si em alguma ordem?
• Todas as funções são fornecidas a partir de todos os locais de data center?
• Eles oferecem garantias de tempo de atividade e/ou contra latência para o usuário final?
• Como a rede é arquitetada para garantir a continuidade dos serviços em caso de interrupção?

Arquitetura preparada para o futuro

• O que acontece com os serviços/custos do SASE se você alternar entre nuvens?
• A plataforma é fácil de usar para os desenvolvedores? As futuras funções SASE funcionarão com os aplicativos atuais?
• Quais recursos de localização de dados e conformidade estão integrados?
• Como a plataforma está considerando os futuros padrões da internet ou de segurança, como a criptografia pós-quântica?

Como a Cloudflare ativa o SASE

A plataforma SASE da Cloudflare, Cloudflare One, protege aplicativos empresariais, usuários, dispositivos e redes. Ela foi desenvolvida com base na nuvem de conectividade da Cloudflare, uma plataforma unificada e combinável de serviços programáveis nativos de nuvem que permite conectividade any-to-any entre todas as redes (empresas e internet), ambientes em nuvem, aplicativos e usuários.

Como todos os serviços da Cloudflare são projetados para serem executados em todos os locais da rede, todo o tráfego é conectado, inspecionado e filtrado próximo à origem para obter o melhor desempenho e uma experiência do usuário consistente. Não há backhauling ou encadeamento de serviços para adicionar latência.

O Cloudflare One também oferece vias de acesso e serviços SASE combináveis que permitem que as organizações adotem casos de uso de segurança e modernização de rede em qualquer ordem. Por exemplo, muitos clientes da Cloudflare começam com serviços SSE Zero Trust para reduzir sua superfície de ataque, parar phishing ou ransomware, evitar movimento lateral e proteger dados. Ao adotar progressivamente o Cloudflare One, as organizações podem se afastar de sua colcha de retalhos de dispositivos e outras soluções pontuais e consolidar recursos de segurança e rede em um plano de controle unificado. Saiba mais sobre como a Cloudflare fornece o SASE.