A arquitetura do serviço de acesso seguro de borda (SASE) é um modelo de TI que combina serviços de segurança e de rede em uma plataforma em nuvem.
Após ler este artigo, você será capaz de:
Conteúdo relacionado
Segurança Zero Trust
O que é rede como serviço (NaaS)?
Gateway seguro da web
Controle de acesso
Segurança na nuvem
Assine o theNET, uma recapitulação mensal feita pela Cloudflare dos insights mais populares da internet.
Copiar o link do artigo
O serviço de acesso seguro de borda, ou SASE (pronuncia-se "sassy"), é um modelo de arquitetura que converge a conectividade de rede com as funções de segurança de rede e as fornece por meio de uma única plataforma em nuvem e/ou controle de política centralizado.
À medida que as organizações migram cada vez mais aplicativos e dados para a nuvem, tornou-se mais complexo e arriscado gerenciar a segurança da rede com uma abordagem tradicional de "castelo e fosso". Diferentemente da abordagem de rede tradicional, o SASE unifica a segurança e a rede em uma plataforma em nuvem e um plano de controle para proporcionar visibilidade, controles e experiências consistentes de qualquer usuário para qualquer aplicativo.
Dessa forma, o SASE cria uma nova rede corporativa unificada com base em serviços em nuvem executados na internet, permitindo que as organizações façam a transição de muitas camadas arquitetônicas e soluções pontuais.
Em um modelo de rede tradicional, os dados e aplicativos estão localizados em um data center central. Para acessar esses recursos, os usuários, escritórios de filiais e aplicativos se conectam ao data center com uma rede privada localizada ou de uma rede secundária que, geralmente, se conecta à rede principal por meio de uma linha dedicada segura ou uma VPN.
No entanto, esse modelo não está preparado para lidar com as complexidades introduzidas pelos novos serviços baseados em nuvem e com o aumento das forças de trabalho distribuídas. Não é prático, por exemplo, redirecionar todo o tráfego por meio de um data center centralizado se uma organização hospedar aplicativos SaaS e dados em nuvem.
O SASE, ao contrário, coloca os controles de rede na borda da nuvem, não no data center corporativo. Em vez de colocar os serviços em camadas que requerem uma configuração e gerenciamento separados, o SASE converge rede e segurança usando um único plano de controle. O SASE implementa políticas de segurança Zero Trust baseadas em identidade na rede de borda, o que permite que as empresas expandam o acesso à rede para incluir qualquer usuário remoto, filial, dispositivo ou aplicativo.
As plataformas SASE combinam recursos de rede como serviço (NaaS) com várias funções de segurança gerenciadas a partir de uma interface e fornecidas a partir de um plano de controle.
Esses serviços incluem:
Ao mesclar esses serviços em uma arquitetura unificada, o SASE simplifica a infraestrutura de rede.
Como a borda do serviço de acesso seguro envolve a convergência de vários serviços tradicionalmente diferentes, as organizações podem adotar uma arquitetura SASE progressivamente, em vez de tudo de uma vez. As organizações podem implementar primeiro os componentes que atendem aos seus casos de uso de maior prioridade, antes de transferir todos os serviços de rede e segurança para uma única plataforma.
Em geral, as plataformas SASE incluem os seguintes componentes tecnológicos:
Dependendo dos recursos do fornecedor, os componentes do SASE acima também podem ser agrupados com a segurança de e-mail em nuvem, proteção de aplicativos web e APIs (WAAP), segurança de DNS e/ou recursos de serviço de segurança de borda (SSE) descritos mais adiante.
Comparado a um modelo de segurança de rede tradicional baseado em data center, o SASE oferece diversas vantagens.
Redução de riscos através dos princípios Zero Trust: o SASE se baseia fortemente no modelo de segurança Zero Trust, que não concede acesso a aplicativos e dados a um usuário até que sua identidade tenha sido verificada, mesmo que ele já esteja dentro do perímetro de uma rede privada. Ao estabelecer políticas de acesso, uma abordagem SASE leva em conta mais do que a identidade de uma entidade; ela também pode considerar fatores como geolocalização, postura do dispositivo, padrões de segurança corporativa e uma avaliação contínua de risco/confiança.
Redução de custos por meio da consolidação da plataforma: o SASE converge soluções de segurança de ponto único em um serviço baseado em nuvem, liberando as empresas para interagir com menos fornecedores e gastar menos tempo, dinheiro e recursos internos tentando forçar a integração de produtos diferentes.
Eficiência operacional e agilidade: em vez de fazer malabarismos com soluções pontuais que não foram projetadas para trabalhar em conjunto, o SASE permite que as organizações definam, ajustem e apliquem políticas de segurança em todos os locais, usuários, dispositivos e aplicativos a partir de uma única interface. As equipes de TI podem solucionar problemas com mais eficiência e gastar menos tempo resolvendo problemas simples.
Experiência do usuário no trabalho híbrido aprimorada: as otimizações de roteamento de rede podem ajudar a determinar o caminho de rede mais rápido com base no congestionamento da rede e em outros fatores. O SASE ajuda a reduzir a latência para o usuário final, roteando com segurança o tráfego em uma rede de borda global na qual o tráfego é processado o mais próximo possível do usuário.
Aumento ou substituição de VPNs para acesso seguro modernizado
Um impulsionador comum para a mudança para uma arquitetura SASE é melhorar o acesso aos recursos e a conectividade. O roteamento e o processamento do tráfego de rede em uma rede global em nuvem o mais próximo possível do usuário, em vez de por meio de VPNs, reduz o atrito para o usuário final e elimina o risco de movimento lateral.
Simplificação do acesso de prestadores de serviços (terceiros)
O serviço de acesso seguro de borda estende o acesso seguro além dos funcionários internos para terceiros, como prestadores de serviços, parceiros e outros trabalhadores temporários ou independentes. Com o acesso baseado em recursos, as organizações reduzem o risco de provisionamento excessivo de prestadores de serviços.
Defesa contra ameaças para escritórios distribuídos e trabalhadores remotos
O SASE permite que as organizações apliquem políticas de segurança de TI consistentes a todos os usuários, independentemente de sua localização. Ao filtrar e inspecionar todo o tráfego de rede de entrada e de saída, o SASE pode ajudar a evitar ameaças como ataques baseados em malware, phishing multicanal (ataques que abrangem vários canais de comunicação), ameaças internas, exfiltração de dados, e muito mais.
Proteção de dados para conformidade regulatória
Como o SASE oferece visibilidade de cada solicitação de rede, as organizações podem aplicar políticas aos dados em cada solicitação. Essas políticas ajudam a garantir a conformidade com as leis de privacidade de dados que exigem que as organizações processem dados confidenciais de determinadas maneiras.
Simplifique a conectividade das filiais
Uma arquitetura SASE pode ajudar a aumentar ou substituir uma colcha de retalhos de circuitos de comutação de etiquetas multiprotocolo (MPLS) e dispositivos de rede para rotear mais facilmente o tráfego entre filiais e facilitar a conectividade site a site entre os locais.
A Gartner, empresa de análises do setor, define o serviço de acesso seguro de borda como incluindo SD-WAN, SWG, CASB, NGFW e ZTNA para "permitir o acesso Zero Trust com base na identidade do dispositivo ou da entidade, combinado com contexto em tempo real e políticas de segurança e conformidade".
Em outras palavras, o SASE incorpora o acesso seguro de um usuário como parte da arquitetura de rede. (Vale a pena observar aqui que a Forrester, empresa de análises do setor, categoriza o modelo SASE como "Zero Trust Edge", ou ZTE).
Mas nem todas as organizações têm uma abordagem coesa entre as equipes de TI, segurança de rede e redes. Portanto, elas podem priorizar o serviço de segurança de borda (SSE), um subconjunto da funcionalidade SASE focado principalmente na proteção do acesso ao site web, nos serviços em nuvem eno aplicativo privado.
Além disso, embora a maioria das plataformas SASE inclua os principais recursos mencionados anteriormente, algumas incluem recursos adicionais de SSE, como:
O SSE é um trampolim comum para uma implantação completa do SASE. No entanto, algumas organizações (especialmente aquelas com implantações maduras de SD-WAN) podem não estar buscando a consolidação total em um único fornecedor de SASE. Essas organizações podem implantar componentes SASE individuais para atender aos seus casos de uso imediato, com a opção de expandir seus esforços de consolidação de plataforma ao longo do tempo.
O Cloudflare One é a plataforma SASE da Cloudflare para proteger aplicativos, usuários, dispositivos e redes empresariais. Ele foi desenvolvido com base na nuvem de conectividade da Cloudflare, uma plataforma unificada e combinável de serviços programáveis nativos de nuvem que permite conectividade any-to-any entre todas as redes (empresas e internet), ambientes em nuvem, aplicativos e usuários.
Os serviços do Cloudflare One (que incluem todos os aspectos do SASE) são projetados para serem executados em todos os locais da rede da Cloudflare, de modo que todo o tráfego seja conectado, inspecionado e filtrado próximo à origem para obter o melhor desempenho e uma experiência do usuário consistente. Saiba mais sobre o Cloudflare One e outras soluções de segurança de rede.