A borda de serviço de acesso seguro (SASE) é uma arquitetura de rede que inclui rede de longa distância definida por software (SD-WAN) e segurança em um serviço de nuvem. Este, por sua vez, promete uma implantação de WAN simplificada, maior eficiência e segurança e para fornecer largura de banda apropriada por aplicativo.
O SASE (pronuncia-se como em “atrevido” em inglês) pode ser facilmente ampliado ou reduzido, final, trata-se de um serviço de nuvem. Contudo, esse não é seu único benefício, afinal, também pode ser cobrado com base no uso. Ou seja, é uma uma opção atraente em um momento de mudanças rápidas.
Alguns fornecedores neste espaço oferecem dispositivos de hardware para conectar funcionários domésticos e centros de dados corporativos às suas redes SASE. Contudo, a maioria dos fornecedores gerencia as conexões por meio de clientes de software ou dispositivos virtuais.
O Gartner criou o termo SASE e o descreveu pela primeira vez em um white paper de 2019. Nele, apresentou seus objetivos e como deve ser uma implementação SASE. Entretanto, a empresa de consultoria observa que o SASE ainda está em desenvolvimento e que todos os seus recursos podem não estar disponíveis ainda.
O que é SASE?
Simplificando, o SASE combina recursos SD-WAN com segurança e os fornece como um serviço. Dessa forma, as políticas de segurança aplicadas nas sessões do usuário são adaptadas a cada uma com base em quatro fatores:
- A identidade da entidade conectando;
- Contexto (saúde e comportamento do dispositivo, tal como sensibilidade dos recursos acessados);
- Políticas de segurança e conformidade;
- Uma avaliação contínua do risco durante cada sessão.
Entretanto, o lado WAN do SASE depende de recursos fornecidos por entidades que vão além de provedores de SD-WAN. É o caso de:
- Operadoras;
- Redes de entrega de conteúdo;
- Provedores de rede como serviço;
- Agregadores de largura de banda;
- Fornecedores de equipamentos de rede.
Em tempo, a questão da segurança depende de corretores de:
- Segurança de acesso à nuvem;
- Gateways da web seguros na nuvem;
- Acesso à rede de confiança zero;
- Firewall como serviço;
- Proteção da API da web como serviço;
- DNS e isolamento de navegador remoto.
Idealmente, todos esses recursos serão oferecidos como um serviço SASE por uma única entidade que reúne tudo, diz o Gartner.
E onde fica a borda?
A parte “periférica” do SASE geralmente é fornecida por meio de PoPs ou data centers de fornecedores próximos aos endpoints onde quer que estejam. Ou seja, pelos data centers, pessoas e dispositivos. Contudo, em alguns casos, o fornecedor SASE possui os PoPs, enquanto em outros ele usa um terceiro ou espera que os clientes forneçam sua própria conectividade.
Benefícios SASE
Por ser um serviço único, o SASE reduz a complexidade e os custos. Afinal, as empresas lidam com menos fornecedores. Além disso, a quantidade de hardware necessária em filiais e outros locais remotos diminui e o número de agentes em dispositivos de usuários finais também diminui.
Não obstante, os executivos de TI podem definir políticas centralmente por meio de plataformas de gerenciamento baseadas em nuvem. Dessa forma, as políticas são aplicadas em PoPs distribuídos próximos aos usuários finais.
Portanto, os usuários finais têm a mesma experiência de acesso, independentemente dos recursos de que precisam e de onde eles e os recursos estão localizados. No entanto, o SASE também simplifica o processo de autenticação aplicando políticas apropriadas para quaisquer recursos que o usuário busque com base no login inicial.
Já a segurança é aumentada porque as políticas são igualmente aplicadas, independentemente de onde os usuários estão localizados. Então, conforme surgem novas ameaças, o provedor de serviços aborda como se proteger contra elas, sem novos requisitos de hardware para a empresa.
Nova forma de segurança
Outro ponto é que o SASE oferece suporte à rede de confiança zero baseado no acesso do usuário, dispositivo e aplicativo, e não na localização e endereço IP.
Além disso, o SASE também permite que mais tipos de usuários finais possam obter acesso sem o risco de que a segurança tradicional – como VPNs e DMZs – possa ser comprometida e se tornar um ponto de partida para possíveis ataques generalizados à empresa. Ou seja, torna mais seguro o acesso de funcionários, parceiros, contratados e clientes.
Os provedores SASE também podem fornecer várias qualidades de serviço para que cada aplicativo obtenha a largura de banda e a capacidade de resposta da rede de que precisa. Ou seja, com o SASE, a equipe de TI corporativa tem menos tarefas relacionadas à implantação, monitoramento e manutenção e pode ser atribuída a tarefas de nível superior.
Desafios SASE
O Gartner lista vários obstáculos para a adoção do SASE. Afinal, alguns serviços podem falhar inicialmente porque são implementados por provedores com experiência em rede ou segurança, porém sem experiência na outra metade.
Além disso, as ofertas iniciais do SASE podem não ser projetadas com uma mentalidade nativa da nuvem. Isso porque a experiência legada dos fornecedores é vender hardware local, então eles podem optar por arquiteturas onde a infraestrutura é dedicada a um cliente por vez.
Da mesma forma, os fornecedores de hardware legado podem não ter experiência com os proxies em linha necessários ao SASE. Portanto, eles podem ter problemas de custo e desempenho.
Alguns fornecedores tradicionais também podem não ter experiência em avaliação de contexto. Portanto, isso pode limitar sua capacidade de tomar decisões. Devido à complexidade do SASE, é importante que os provedores tenham recursos bem integrados. Ou seja, diferentes daqueles que são costurados juntos.
A construção global de PoPs pode ser muito cara para alguns provedores de SASE. Isso pode levar a um desempenho irregular em todos os locais porque alguns locais podem estar localizados longe do PoP mais próximo, introduzindo latência.
Portanto, os agentes de endpoint SASE terão que ser integrados a outros agentes para simplificar as implantações. Contudo, as transições SASE podem sobrecarregar o pessoal. Inclusive, guerras territoriais podem explodir à medida que o SASE atravessa as equipes de rede e segurança. Além disso, mudar os fornecedores para adotar o SASE pode exigir o retreinamento da equipe de TI corporativa para lidar com novas tecnologias.
Por que o SASE é necessário?
O Gartner diz que mais funções do data center corporativo tradicional agora são hospedadas fora do data center corporativo do que nele. Ou seja, em nuvens de provedores de IaaS, em aplicativos SaaS e armazenamento em nuvem. Portanto, as necessidades de IoT e computação de ponta apenas aumentarão essa dependência de recursos baseados em nuvem, embora a arquitetura de segurança WAN permaneça personalizada para data centers corporativos locais.
Os usuários remotos geralmente se conectam via VPNs e exigem firewalls em cada local ou em dispositivos individuais. Os modelos tradicionais fazem a autenticação para segurança centralizada que concede acesso. Contudo, também pode rotear o tráfego por meio desse local central. Essa arquitetura legada é prejudicada pela complexidade e pelo atraso.
No entanto, com o SASE, os usuários finais e dispositivos podem autenticar e obter acesso seguro a todos os recursos que eles estão autorizados a alcançar protegidos pela segurança localizada perto deles. Ou seja, depois de autenticados, eles têm acesso direto aos recursos, resolvendo os problemas de latência.
De acordo com o analista do Gartner Nat Smith, o SASE é mais uma filosofia e uma direção do que uma lista de verificação de recursos. Mas, em geral, diz ele, o SASE é composto de quatro tecnologias principais além do SD-WAN integrado:
- Firewall como serviço (FWaaS);
- Corretor de segurança de acesso à nuvem (CASB);
- Gateway da web seguro;
- Acesso à rede de confiança zero.
SD-WAN integrado
Tradicionalmente, a WAN é composta de infraestrutura autônoma. Ou seja, geralmente, exige um grande investimento em hardware.
Contudo, a versão SASE é totalmente baseada em nuvem, definida e gerenciada por software. Ou seja, possui PoPs distribuídos que, idealmente, estão localizados próximos à data centers, filiais, dispositivos e funcionários da empresa. Vários PoPs são cruciais para garantir que o máximo possível de tráfego corporativo acesse diretamente a rede SASE. Afinal, assim evitam-se problemas de latência e segurança da Internet pública.
Por fim, esse serviço possibilita aos clientes monitorar a integridade da rede e definir políticas para seus requisitos de tráfego específicos. Afinal, como o tráfego da internet passa primeiro pela rede do provedor, o SASE pode detectar tráfego perigoso e intervir antes que alcance a rede corporativa. Por exemplo, os ataques DDoS podem ser mitigados dentro da rede SASE, salvando os clientes de inundações de tráfego malicioso.
Firewall como serviço
Tanto os usuários quanto os recursos de computação estão localizados na borda da rede. Portanto, um firewall flexível baseado em nuvem fornecido como um serviço pode proteger essas bordas. Essa funcionalidade se tornará cada vez mais importante à medida que a computação de borda crescer e os dispositivos IoT ficarem mais inteligentes e poderosos.
Então, fornecer FWaaS como parte da plataforma SASE torna mais fácil para as empresas gerenciar a segurança de sua rede, definir políticas uniformes, detectar anomalias e fazer alterações rapidamente.
Corretor de segurança de acesso à nuvem
À medida que mais e mais sistemas corporativos mudam para aplicativos SaaS, a autenticação e o acesso se tornam cada vez mais importantes. Os CASBs são usados por empresas para garantir que suas políticas de segurança sejam aplicadas de forma consistente, mesmo quando os próprios serviços estão fora de sua esfera de controle.
Com o SASE, o mesmo portal que os funcionários usam para acessar seus sistemas corporativos também é um portal para todos os aplicativos em nuvem que eles têm acesso, incluindo o CASB. Ou seja, o tráfego não precisa ser roteado para fora do sistema para um serviço CASB separado.
Gateway da web seguro
Atualmente, o tráfego de rede raramente é limitado a um perímetro predefinido. Afinal, cargas de trabalho modernas geralmente requerem acesso a recursos externos. Contudo, pode haver motivos de conformidade para negar aos funcionários o acesso a determinados sites.
Além disso, as empresas desejam bloquear o acesso a sites de phishing e servidores de comando e controle de botnets. Até mesmo sites inócuos podem ser usados maliciosamente por, digamos, funcionários que tentam exfiltrar dados corporativos confidenciais.
Os gateways da web seguros (SGW) protegem as empresas contra essas ameaças. Portanto, os fornecedores de SASE que oferecem esse recurso devem ser capazes de inspecionar o tráfego criptografado em escala de nuvem. Agregar o SWG a outros serviços de segurança de rede melhora a capacidade de gerenciamento e permite um conjunto mais uniforme de políticas de segurança.
Acesso à rede de confiança zero
O acesso à rede de confiança zero permite às empresas visibilidade granular e controle de usuários e sistemas que acessam aplicativos e serviços corporativos.
A confiança zero é uma abordagem relativamente nova para a segurança de rede. No entanto, mudar para uma plataforma SASE pode permitir que as empresas obtenham esses recursos de confiança zero.
Um elemento central da confiança zero é que a segurança é baseada na identidade ao invés de no endereço IP. Isso o torna mais adaptável para uma força de trabalho móvel. Contudo, requer níveis adicionais de autenticação, como autenticação multifator e análise comportamental.
Outras tecnologias podem fazer parte do SASE
Além dos cinco recursos principais, o Gartner também recomenda algumas outras tecnologias que os fornecedores de SASE devem oferecer. Eles incluem:
- Aplicativos da Web e proteção de API;
- Isolamento de navegador remoto;
- Caixas de proteção de rede.
Além disso, recomenda-se proteger a privacidade da rede e a dispersão de tráfego. Entretanto, isso dificulta que os agentes de ameaças localizem ativos corporativos rastreando seus endereços IP ou espionando fluxos de tráfego.
Outros recursos opcionais incluem proteção de ponto de acesso Wi-Fi, suporte para VPNs legados e proteção para dispositivos ou sistemas de computação periférica offline.
O acesso centralizado à rede e aos dados de segurança pode permitir que as empresas executem análises de comportamento holísticas e identifiquem ameaças e anomalias que, de outra forma, não seriam aparentes em sistemas isolados. Na prática, é um serviço em nuvem que fornece essas análises. Portanto, é mais fácil incluir dados de ameaças atualizados e outras informações externas.
O objetivo final de reunir todas essas tecnologias sob o guarda-chuva do SASE é fornecer às empresas segurança flexível e consistente, melhor desempenho e menos complexidade. Tudo a um custo total de propriedade mais baixo.
Ou seja, a empresa deve ser capaz de obter a escala necessária sem ter que contratar um número correspondentemente grande de administradores de rede e segurança.
Prestadores de serviços SASE
O SASE é um amálgama de serviços. Portanto, sua forma final pode variar. Inclusive por isso é impossível apresentar uma lista abrangente de fornecedores. Contudo, o Gartner compilou alguns fornecedores que já oferecem ou que esperam oferecer SASE:
- Akamai
- Cato Networks
- Cisco
- Cloudflare
- Forcepoint
- Fortinet
- McAfee
- Netskope
- Palo Alto Networks
- Prova
- Symantec
- Versa
- VMware
- Zscaler
“Os principais provedores de IaaS (AWS, Azure e GCP) ainda não são competitivos no mercado SASE. Então, esperamos que pelo menos um se mova para atender à maioria dos requisitos do mercado para SASE nos próximos cinco anos, à medida que todos eles expandem sua presença de rede de ponta e recursos de segurança” – Gartner.
Como adotar SASE
As empresas provavelmente passarão para abordagens híbridas primeiro. Ou seja, com redes tradicionais e sistemas de segurança lidando com conexões pré-existentes entre data centers e filiais. Enfim, novas conexões, dispositivos, usuários e locais serão gerenciados pelo SASE.
Contudo, o SASE não é uma cura para problemas de rede e segurança e, tampouco, evitará interrupções futuras. No entanto, permitirá que as empresas respondam mais rapidamente a interrupções ou crises e, assim, minimizar seu impacto na organização.
Além disso, o SASE permitirá que as empresas estejam melhor posicionadas para aproveitar as vantagens das novas tecnologias, como computação de ponta, 5G e IA móvel.
