SASE ou borda de serviço de acesso seguro

Como funciona uma arquitetura SASE?

As plataformas SASE funcionam agrupando vários elementos, combinando SD-WAN com serviços de segurança de rede como FaaS, SaaS, gateways web seguros, corretores de segurança de acesso à nuvem, segurança de terminal e acesso à rede de confiança zero. O resultado é uma plataforma multi-inquilina e multi-regional para segurança que não é afetada por locais de funcionários, data centers, serviços em nuvem ou escritórios no local.

A SASE não conta com mecanismos de inspeção em data centers. Em vez disso, os motores de inspeção SASE são levados a um ponto de presença próximo (PoP). Um cliente SASE (como um dispositivo móvel com um agente SASE, um dispositivo IoT, um dispositivo móvel com acesso sem cliente ou equipamento de filial) enviará tráfego para o PoP para inspeção e encaminhamento –para a internet ou através da arquitetura central SASE.

Os serviços SASE têm quatro características definidoras:

1. Serviço global SD-WAN. A SASE usa um serviço SD-WAN com uma espinha dorsal privada, que evita problemas de latência da internet global e conecta os PoPs individuais usados para software de segurança e rede. O tráfego raramente toca na internet, e só o faz para se conectar com a espinha dorsal global do SASE.
2. Fiscalização distribuída e aplicação de políticas. Os serviços SASE não apenas conectam dispositivos; eles os protegem. Criptografia de tráfego inline e descriptografia são parte das tabelas. Os serviços SASE devem inspecionar o tráfego com vários motores que operam em paralelo. Os mecanismos de inspeção incluem varredura de malware e sandboxing. O SASE também deve fornecer outros serviços, como proteção baseada em DNS e proteção contra ataques de negação de serviço distribuída (DDoS). As regulamentações locais, como o General Data Protection Regulation (GDPR), devem ser aplicadas nas políticas de roteamento e segurança da SASE.
3. Arquitetura em nuvem. Os serviços SASE devem usar recursos e arquiteturas em nuvem sem requisitos específicos de hardware e não devem incluir o encadeamento de serviços. O software deve ser multi-inquilino para proporcionar um preço mais amigável e capaz de instanciar para uma rápida expansão.
4. Orientado a identidade. Os serviços SASE têm acesso baseado em marcadores de identidade do usuário, como dispositivo específico do usuário e localização, em oposição ao site.

Uma comparação dos modelos SASE e modelos tradicionais de segurança de rede.

Quais são os benefícios da SASE?

Facilidade de uso.  Existe uma plataforma de gestão que controla e aplica políticas de segurança de toda uma organização, oferecendo simplificação operacional. Esta é uma grande melhoria para as equipes de TI, permitindo que elas se afastem da segurança centrada no local para a segurança centrada no usuário.

Simplicidade geral da rede. Não há necessidade de linhas de comutação de etiquetas multiprotocolo complexas e caras (MPLS) ou infraestrutura de rede. Toda a infraestrutura de rede é adaptada para torná-la simples, fácil de manter e fácil de consumir –independentemente de onde funcionários, data centers ou ambientes em nuvem estejam localizados.

Oferece segurança de rede aprimorada. A implementação eficaz dos serviços SASE pode proteger dados confidenciais e ajudar a mitigar uma variedade de ataques, como  interceptações man-in-the-middle, spoofing e tráfego malicioso. Os principais serviços de SASE também fornecem criptografia segura para todos os dispositivos remotos e aplicam políticas de inspeção mais rigorosas para redes de acesso público (como Wi-Fi público). Os controles de privacidade também geralmente podem ser melhor aplicados –roteando o tráfego para PoPs em regiões específicas. 

Unificação de backbone e borda. O SASE permite que uma única espinha dorsal seja combinada com serviços de borda –como CDNs (Content Delivery Networks, redes de entrega de conteúdo), corretores de segurança de acesso à nuvem (CASBs), substituição de VPN e rede de bordas. A SASE permite que um provedor ofereça funções de nuvem, acesso à internet, data center, rede e segurança por meio de um único serviço –como um esforço conjunto entre as equipes de rede, segurança, mobile, desenvolvimento de aplicativos e administração de sistemas.

Quais são os desafios da SASE?

Como o termo SASE descreve uma tecnologia emergente com abordagens variáveis, as desvantagens são inespecíficas. De um modo geral, as desvantagens potenciais mais significativas são que as equipes de TI perdem certos benefícios do multisourcing  -como garantir que vários elementos sejam originários dos melhores provedores possíveis para funções individuais e diversificar o risco nas operações de fornecedores. Com a arquitetura SASE, os usuários correm o risco de um ponto único maciço de falha (SPOF) ou exposição –como o SASE oferece todas as funções de rede e segurança em conjunto como um único serviço, problemas técnicos do lado do provedor podem potencialmente resultar em desligamentos completos do sistema para usuários finais.

Por que a SASE é importante?

À medida que as organizações adotam cada vez mais serviços em nuvem, muitas estão rapidamente aprendendo que a segurança da rede não é tão simples. A segurança tradicional da rede foi construída com base na ideia de que as organizações deveriam enviar tráfego para redes estáticas corporativas onde os serviços de segurança necessários estavam localizados. Este foi o modelo aceito, pois a maioria dos funcionários trabalhava em escritórios centrados no local.

O conceito de redes centradas no usuário mudou a rede tradicional que conhecemos. Na última década, houve um aumento na quantidade de pessoas trabalhando remotamente de casa em todo o mundo. Como resultado, os dispositivos de segurança padrão, baseados em hardware, dos quais os administradores de rede dependiam não são mais adequados para garantir o acesso remoto à rede.

O SASE permite que as empresas considerem os serviços de segurança sem que isso seja ditado pela localização dos recursos da empresa, com gestão de políticas consolidada e unificada com base nas identidades dos usuários.

Isso muda a questão de "Qual é a política de segurança do meu site ou do meu escritório em Nova York?" para "Qual é a política de segurança do usuário?" Isso cria uma grande mudança na maneira como as empresas consomem segurança de rede, permitindo que elas substituam sete a 10 fornecedores de segurança diferentes por uma única plataforma.