Por que o Secure Access Services Edge é o futuro da SD-WAN?
A arquitetura Secure Access Service Edge - ou SASE - traz uma transição de projetos de rede que giram em torno do data center para um modelo baseado na identidade e no contexto do usuário.
Quando a WAN definida por software foi introduzida pela primeira vez, ela rapidamente se tornou sinônimo de transformação de WAN. Se você fosse consertar os problemas da rede de longa distância, o caminho passaria por SD-WAN. Mas, na verdade, a SD-WAN ignora muitos outros desafios de rede e segurança que os negócios digitais enfrentam.
Uma nova arquitetura está surgindo e alguns analistas esperam que ela possa enfrentar esses desafios: o modelo de borda de serviço de acesso seguro. O termo SASE foi cunhado pela primeira vez pelos analistas do Gartner Neil MacDonald, Lawrence Orans e Joe Skorupa no relatório "Hype Cycle for Enterprise Networking, 2019" do Gartner e com mais profundidade no relatório "O futuro da segurança de rede está na nuvem".
Vamos descobrir o que é o Secure Access Service Edge e por que ele é importante.
O que há de errado com SD-WAN e por que precisamos do SASE
As arquiteturas corporativas legadas giram em torno do data center. O acesso à Internet é feito por meio de gateways seguros no data center. Substituir MPLS por SD-WAN não muda esse paradigma - e isso é um problema. Com a adoção da nuvem, mobilidade e computação de ponta, o data center privado não é mais o epicentro da rede corporativa. O backhaul do tráfego para o data center para fiscalização não faz sentido.
Além de simplesmente corrigir os problemas de conectividade do MPLS, precisamos encontrar uma maneira de fornecer inspeção de segurança em todos os lugares. Também precisamos fazer isso de maneira consistente para usuários móveis e filiais.
O que é SASE?
Entra em cena o SASE, um novo tipo de arquitetura de segurança e rede. As plataformas SASE conectam e protegem entidades com base em seu contexto em tempo real, de acordo com as políticas da empresa.
A arquitetura SASE converge as funções de rede e segurança em uma única plataforma nativa da nuvem.
Em vez de forçar o tráfego a ser redirecionado para os mecanismos de inspeção no data center, o SASE leva os mecanismos de inspeção para um ponto de presença (PoP) próximo. Os clientes enviam tráfego para o PoP para inspeção e encaminhamento para a Internet ou através do backbone global SASE para outros clientes SASE. Um cliente SASE pode ser um dispositivo móvel com um agente SASE, mas também pode ser um dispositivo IoT, um usuário móvel com acesso sem cliente ou um dispositivo em uma filial.
O SASE converge os serviços de rede e segurança anteriormente díspares para lidar com usuários fixos e móveis - bem como dispositivos IoT e recursos de nuvem - em um serviço coerente, com base no contexto do usuário.
Atributos principais do SASE
O Gartner definiu mais de uma dúzia de características diferentes do SASE, mas elas podem ser resumidas em quatro atributos principais.
Pegada SD-WAN global. O SASE visa fornecer o melhor desempenho de rede possível para todos os aplicativos em todos os lugares. Para esse fim, o SASE inclui um serviço SD-WAN global que opera em um backbone privado. Usar uma rede privada supera os problemas de latência da Internet global. O backbone deve conectar PoPs distribuídos que executam o software de segurança e rede da empresa. O tráfego da empresa raramente deve chegar à Internet; ele faz isso apenas para alcançar o backbone do SASE.
Inspeção distribuída e aplicação de políticas. Os serviços SASE não se limitam a conectar dispositivos; eles os protegem. A criptografia de tráfego em linha e a escala de descriptografia são apostas importantes. Os serviços SASE devem inspecionar o tráfego com vários mecanismos que operam em paralelo. Os mecanismos de inspeção incluem verificação de malware e sandbox. O SASE também deve fornecer outros serviços, como proteção baseada em DNS e proteção distribuída contra negação de serviço. Os regulamentos locais, como o GDPR, devem ser aplicados nas políticas de roteamento e segurança do SASE.
Arquitetura nativa da nuvem. Idealmente, um serviço SASE usará uma arquitetura nativa da nuvem que não possui dependências de hardware específicas. Idealmente, os aparelhos não devem ser encadeados para manutenção. Como software, o serviço SASE pode escalar conforme necessário, é multilocatário para economia máxima de custos e pode ser instanciado rapidamente para rápida expansão do serviço.
No local, as opções de implantação de equipamento do cliente estão disponíveis, mas esses endpoints SASE devem ser caixas pretas prontas para uso, que os usuários "ligam e esquecem", como disse o Gartner.
Orientado pela identidade. Ao contrário de outros serviços de rede gerenciados, a arquitetura SASE fornece serviços com base na identidade e no contexto da fonte de conexão. A identidade considera uma variedade de fatores, incluindo o usuário inicial, o dispositivo que está sendo usado e fatores em tempo real, como a hora do dia e a localização do dispositivo.
Benefícios do SASE
O SASE traz muitos benefícios para a empresa, incluindo os seguintes.
Complexidade e custos reduzidos. O SASE reduz a complexidade e o custo, reduzindo o número de fornecedores que as equipes de TI precisam. O modelo requer menos dispositivos de filial - físicos ou virtuais - e agentes de dispositivo do usuário final. A competição do SASE levará ainda mais à economia de custos.
Performance melhorada. Com seus próprios backbones, os provedores SASE serão capazes de oferecer roteamento otimizado para latência entre seus PoPs em todo o mundo. Isso é especialmente crítico para aplicativos sensíveis à latência, como colaboração, vídeo, VoIP e videoconferência.
Melhor segurança. Os fornecedores de SASE que inspecionam conteúdo permitirão que as empresas apliquem políticas de dados em todos os usuários, independentemente do dispositivo ou contexto. O acesso também será melhorado à medida que as empresas definem políticas com base na identidade e não no usuário - acesso à rede de confiança zero, ou ZTNA.
Operações de TI aprimoradas. Com os provedores SASE mantendo os mecanismos de inspeção, as organizações não precisam mais se preocupar com a atualização para proteção contra novos ataques, dimensionamento de dispositivos e atualizações de hardware de vários anos. A definição de política centralizada também é um dado adquirido. Com as equipes de operações de TI livres dessas tarefas rotineiras, elas podem dedicar mais tempo ao que importa: agregar valor aos negócios.
SD-WAN e SASE: Quais são minhas opções?
O Gartner deixa claro que o SASE é um mercado em fluxo, com fornecedores vindo de diferentes ângulos - alguns do espaço da rede de distribuição de conteúdo, outros do mundo da segurança e ainda outros do mercado SD-WAN.
Vários fornecedores SD-WAN estão indo para o espaço do SASE. A Cato Networks é a mais notável neste aspecto. Ele oferece todos os quatro elementos do serviço SASE: pegada global, inspeção distribuída e aplicação de políticas, uma plataforma nativa em nuvem e reconhecimento de identidade.
Outros fornecedores de SD-WAN estão adotando uma abordagem de caixa preta para o SASE. Open Systems é um caso. Ele oferece segurança e rede, é totalmente gerenciado - o Open Systems lida com todas as alterações - e também oferece uma opção de co-gerenciamento. O Open Systems depende da internet ou da rede virtual do Microsoft Azure como backbone global. A Versa Networks adota uma abordagem semelhante quando revendida por seus parceiros, embora cada parceiro determine individualmente quais recursos da Versa oferece a seus clientes.
