SASE é uma abordagem de segurança de rede que combina recursos de rede e segurança de rede em um único serviço de nuvem. A principal diferença entre o SASE e a segurança de rede tradicional é que, em vez de rotear todo o tráfego de volta a um data center para aplicar políticas de segurança, o SASE oferece recursos de segurança e outros serviços mais próximos de onde usuários e terminais se conectam, na borda da rede.

O modelo SASE oferece grande potencial para fortalecer a segurança da rede, simplificar o gerenciamento do desempenho da rede e melhorar a experiência geral do usuário.

À medida que mais organizações buscam a transformação digital e à medida que adotam cada vez mais ambientes de nuvem, computação de borda e modelos de trabalho em casa ou híbridos, mais e mais usuários e recursos de TI residirão fora do perímetro de rede tradicional. O SASE permite que as organizações forneçam conexões diretas, seguras e de baixa latência entre usuários e esses recursos, independentemente de onde estejam localizados. O SASE pode ser uma tecnologia relativamente nova (a analista do setor Gartner definiu o termo em 2019) mas muitos especialistas em segurança acreditam que ele representa o futuro da segurança de rede.

SASE é a combinação ou convergência de duas tecnologias principais: rede de longa distância definida por software, ou SD-WAN, e borda de serviço segura, ou SSE. É mais fácil entender como o SASE funciona se você primeiro entender o que cada uma dessas tecnologias faz.

SD-WAN

Uma SD-WAN é uma rede de longa distância que foi virtualizada, da mesma forma que os servidores são virtualizados. Ele separa a funcionalidade de rede do hardware subjacente – conexões, switches, roteadores, gateways – para criar um conjunto de capacidade de rede e recursos de segurança de rede que podem ser divididos, agregados e aplicados ao tráfego sob controle de software.

As redes de longa distância (WANs) tradicionais foram projetadas para conectar usuários em filiais corporativas a aplicações em um data center corporativo central, geralmente por meio de conexões de rede dedicadas, privadas e caras de linha alugada. Os roteadores instalados em cada filial controlavam e priorizavam o tráfego para garantir o desempenho ideal das aplicações mais importantes. Funções de segurança, como inspeção de pacotes e criptografia de dados, foram aplicadas no data center central.

A SD-WAN foi desenvolvida originalmente para permitir que as organizações dupliquem seus recursos de WAN em uma infraestrutura de internet mais econômica e escalável. Mas, a demanda por SD-WAN acelerou à medida que mais e mais empresas começaram a adotar serviços em nuvem antes de estarem prontas para confiar na segurança da Internet. O modelo de segurança da WAN foi desafiado: o roteamento de volumes cada vez maiores de tráfego destinado à Internet por meio do data center corporativo criou um gargalo caro, e tanto o desempenho da rede quanto a experiência dos usuários degradaram.

A SD-WAN elimina esse gargalo ao permitir que a segurança seja aplicada ao tráfego no ponto de conexão, em vez de forçar o tráfego a ser roteado para a segurança. Ele permite que as organizações estabeleçam conexões diretas, seguras e otimizadas entre usuários e tudo o que eles precisam – aplicações SaaS (software como serviço), recursos de nuvem ou serviços públicos de Internet.

SSE

Outro termo cunhado pela Gartner, SSE é “a metade de segurança do SASE.” A Gartner especifica o SSE como a convergência de três tecnologias de segurança nativas da nuvem chave:

Secure web gateways (SWGs). Um SWG é um policial de tráfego bidirecional da Internet. Ele impede que o tráfego malicioso alcance os recursos da rede, usando técnicas como filtragem de tráfego e inspeção de consulta do sistema de nomes de domínio (DNS) para identificar e bloquear malware, ransomware e outras ameaças cibernéticas. E impede que usuários autorizados se conectem a sites suspeitos: em vez de se conectar diretamente à Internet, usuários e terminais se conectam ao SWG, por meio do qual podem acessar apenas recursos aprovados (por exemplo, data centers locais, aplicações de negócios e aplicações em nuvem e serviços).

Cloud access security brokers (CASBs). CASBs ficam entre usuários e aplicações e recursos em nuvem. Os CASBs aplicam as políticas de segurança da empresa, como criptografia, controle de acesso e detecção de malware, à medida que os usuários acessam a nuvem, não importa onde ou como os usuários se conectam, e podem fazê-lo sem instalar software no dispositivo terminal, tornando-o ideal para proteger BYOD (traga seu próprio dispositivo) e outros casos de uso de transformação da força de trabalho. e outros CASBs também podem aplicar políticas de segurança quando os usuários se conectam a ativos de nuvem desconhecidos.

Zero trust network access (ZTNA). Uma abordagem zero trust para acesso à rede é aquela que nunca confia e valida continuamente todos os usuários e entidades, estejam eles fora ou já dentro da rede. Os usuários e entidades validados recebem o acesso menos privilegiado necessário para concluir suas tarefas. Todos os usuários e entidades são forçados a revalidar sempre que seu contexto muda, e cada interação de dados é autenticada pacote a pacote até que a sessão de conexão termine.

ZTNA não é um produto de segurança em si, mas uma abordagem de segurança de rede implementada usando uma variedade de tecnologias, incluindo Gerenciamento de acesso e identidade (IAM), autenticação de diversos fatores (MFA), análise de comportamento de usuário e entidade (UEBA) e várias detecção de ameaças e soluções de resposta.

As plataformas SASE de fornecedores individuais podem incluir outros recursos de prevenção e segurança contra ameaças, incluindo firewall como serviço (FWaaS), prevenção contra perda de dados (DLP), controle de acesso à rede (NAC) e plataformas de proteção de terminal (EPPs).

Extraindo tudo junto

As soluções SASE usam SD-WAN para fornecer serviços de segurança SSE a usuários, dispositivos e outros terminais onde ou perto de onde eles se conectam, na borda da rede.

Especificamente, em vez de enviar todo o tráfego de volta para um data center central para inspeção e criptografia, as arquiteturas SASE direcionam o tráfego para pontos de presença (PoPs) distribuídos localizados próximos ao usuário final ou terminal. (Os PoPs são de propriedade do provedor de serviços SASE ou estabelecidos no data center de um fornecedor terceirizado.) O PoP protege o tráfego usando os serviços SSE entregues na nuvem e, em seguida, o usuário ou terminal é conectado a nuvens públicas e privadas, aplicações de software como serviço (SaaS), Internet pública ou qualquer outro recurso.

O SASE oferece importantes benefícios de negócios para equipes de segurança, equipe de TI, usuários finais e a organização como um todo.

Economia de custos, especificamente, menos despesas de capital. O SASE é essencialmente uma solução de segurança SaaS: os clientes compram acesso ao software para configurar e controlar o SASE e obtêm todos os benefícios do hardware do provedor de serviços em nuvem no qual ele é entregue. Em vez de rotear o tráfego de um roteador de filial para um hardware de data center local para segurança, os clientes SASE roteiam o tráfego para a nuvem por meio da conexão com a Internet mais próxima.

As empresas também podem consumir o SASE como uma solução híbrida entregue na nuvem pública e na infraestrutura local da organização, integrando hardware de rede física, dispositivos de segurança e data center com suas contrapartes nativas da nuvem virtualizada.

Gestão e operações simplificadas. As estruturas SASE fornecem uma solução única e consistente para proteger tudo o que se conecta ou tenta se conectar à rede, não apenas usuários, mas dispositivos de Internet das Coisas (IoT), APIs, microsserviços em contêiner ou aplicações sem servidor e até máquinas virtuais (VMs) que giram sob demanda. Também elimina a necessidade de gerenciar uma pilha de soluções de pontos de segurança, como roteadores, firewalls etc., em cada ponto de conexão. Em vez disso, as equipes de TI ou de segurança podem criar uma política única e central para proteger todas as conexões e recursos na rede e podem gerenciar tudo de um único ponto de controle.

Segurança cibernética mais forte. Devidamente implementado, o SASE pode melhorar a segurança em vários níveis. O gerenciamento simplificado fortalece a segurança reduzindo a chance de erros ou configurações incorretas. Para proteger o tráfego de usuários remotos, o SASE substitui a permissão geral de acesso à rede privada virtual (VPN) pelo controle de acesso baseado em identidade e contexto da ZTNA sobre aplicações, diretórios, conjuntos de dados e cargas de trabalho. 

Experiência de usuário melhor e mais consistente. Com o SASE, os usuários se conectam à rede da mesma maneira, estejam trabalhando no local, em uma filial, em casa ou em trânsito, e estejam se conectando a aplicações e recursos hospedados na nuvem ou no local. Os serviços SD-WAN roteiam automaticamente o tráfego para o PoP mais próximo e, uma vez aplicadas as políticas de segurança, otimizam as conexões para o melhor desempenho possível.

O SASE oferece vantagens para qualquer organização que esteja evoluindo se afastando do modelo de data center central de entrega de aplicações. Mas, um punhado de casos de uso específicos está impulsionando sua adoção hoje.

Protegendo forças de trabalho híbridas sem gargalos de VPN. As VPNs têm sido o meio predominante de proteger usuários remotos ou móveis por quase duas décadas. Mas as VPNs não são dimensionadas de forma fácil ou barata, algo que muitas organizações aprenderam da maneira mais difícil, quando suas forças de trabalho ficaram totalmente remotas por causa da pandemia da COVID-19. Por outro lado, o SASE pode ser dimensionado dinamicamente para atender aos requisitos de segurança de trabalhadores remotos em particular e de uma força de trabalho em evolução em geral.

Adoção de nuvem híbrida e migração de nuvem. A nuvem híbrida combina nuvem pública, nuvem privada e infraestrutura local em um único ambiente de computação flexível, onde as cargas de trabalho se movem livremente entre as infraestruturas conforme as circunstâncias mudam. As soluções de segurança de WAN não são projetadas para esse tipo de mobilidade de carga de trabalho, mas o SASE, que abstrai os recursos de segurança da infraestrutura subjacente, protege o tráfego onde quer que ele se mova. Ele também oferece às organizações a flexibilidade de migrar cargas de trabalho para a nuvem em qualquer ritmo que funcione.

Computação de borda e proliferação de dispositivos IoT/OT. Computação de borda é um modelo de computação distribuída que localiza aplicações e recursos de computação fora do data center centralizado e mais perto de fontes de dados, como telefones celulares, dispositivos de IoT ou tecnologia operacional (OT) e servidores de dados. Essa proximidade resulta em tempos de resposta de aplicações aprimoradas e insights mais rápidos, principalmente para aplicações de inteligência artificial (IA) e aprendizado de máquina que processam grandes volumes de dados de streaming em tempo real.

Para ativar essas aplicações, organizações ou fornecedores de soluções implementaram milhares de sensores IoT ou dispositivos OT, muitos com pouca ou nenhuma segurança configurada. Isso torna esses dispositivos os principais alvos dos hackers, que podem sequestrá-los para acessar fontes de dados confidenciais, interromper operações ou encenar ataques DDoS (negação de serviço distribuído). O SASE pode aplicar políticas de segurança a esses dispositivos à medida que eles se conectam à rede e fornecer visibilidade de gerenciamento em todos os dispositivos conectados de um painel central.