Os 5 principais benefícios do SASE – e algumas desvantagens

O Secure Access Service Edge, conhecido como SASE e pronunciado "sassy", foi originalmente descrito pelo Gartner em dois relatórios de pesquisa: "Tendências de Mercado: Como Ganhar Quando o WAN Edge e a Segurança Convergem no Secure Access Service Edge" e "O Futuro da Segurança de Rede Está na Nuvem". Mas o que exatamente é o SASE e quais são seus principais benefícios?

Para começar, o perímetro empresarial seguro com acesso interno aberto praticamente desapareceu. As ameaças vêm do malware entregue aos sistemas internos por meio de ataques de spear phishing. O Secure Access Service Edge atualmente existe onde quer que os funcionários estejam quando se conectam à rede da empresa, seja em casa, em uma cafeteria ou durante as férias. O SASE fornece os mecanismos necessários para proporcionar a segurança de TI integrada com a conectividade de rede no ponto de acesso.

As aplicações foram transferidas do data center corporativo para os fornecedores de nuvem e de software como serviço (SaaS). Uma aplicação poderia, ainda, estar em um data center corporativo. Outra aplicação foi movida para uma nuvem pública, enquanto um fornecedor de SaaS oferece uma terceira aplicação. Outras aplicações dependem de dados coletados pelos dispositivos de Internet das Coisas (IoT) que não contam com um ser humano para fornecer credenciais de autenticação e autorização. Essencialmente, os padrões de tráfego da rede mudaram, o que significa que ela, assim como os sistemas de segurança, deverão se adaptar.

A segurança e o desempenho da rede são desafiados pelos fluxos de tráfego que atravessam a infraestrutura de comunicação que não está mais sob o controle da rede corporativa e das equipes de segurança. Em vez disso, a segurança da rede deve concentrar-se, igualmente, na identidade dos dispositivos, funcionários, parceiros e clientes. 

O SASE antecipa o desempenho ideal da rede para todas as aplicações, enquanto integra os controles de segurança mais próximos ao usuário. Substitui o perímetro seguro com segurança integrada em toda a rede. Os endpoints se conectam a instâncias de análise SASE baseadas na nuvem, que fornecem os serviços de segurança e, em seguida, reenviam o tráfego de rede permitido e seguro para o destino esperado. A localização baseada na nuvem torna conveniente reenviar o tráfego para a nuvem e para as aplicações SaaS. O roteamento ideal e a qualidade de serviço (QoS) são utilizados ​​para rotear o tráfego para as aplicações que se encontram no data center corporativo. 

Claramente, o SASE apresenta algumas inovações em torno da segurança de ponta da rede. Então, vamos nos aprofundar nos cinco principais benefícios do SASE:

1.    Para o SASE, não importa onde as aplicações estão localizadas

As aplicações podem estar em um data center corporativo, em uma nuvem pública ou privada ou ser uma oferta SaaS. A segurança e a conectividade de rede centralizadas não são ideais para essa extensa distribuição de aplicações. A arquitetura distribuída do SASE facilita a execução de funções de segurança perto do usuário final, simplificando ao mesmo tempo a conectividade com as aplicações.

2. As políticas centralizadas, dinâmicas e baseadas em funções agilizam as operações

O gerenciamento centralizado de políticas de segurança otimiza os aspectos de rede e segurança dos funcionários remotos, independentemente de sua localização. Na sua essência, o SASE é onde existe o endpoint, mesmo estando em uma rede que não seja controlada pela equipe da companhia. A segurança é aplicada dinamicamente, com políticas baseadas na função da entidade de conexão.

Por exemplo: um fornecedor obtém uma política diferente da política de um dispositivo IoT, que, por sua vez, é diferente para dispositivos não gerenciados como telefones e tablets. Essa configuração é ótima para gerenciar a segurança de dispositivos que tradicionalmente são difíceis de ser protegidos devido ao seu tempo de uso, fornecedor ou função, como os dispositivos médicos.

Além disso, o isolamento do navegador remoto (RBI) fornece conectividade web que protege o dispositivo de origem contra o malware. Da mesma forma, as proteções para o hardware de IoT ajudam a evitar o roubo desses dispositivos.

A gestão de identidade é um requisito fundamental para identificar a função do endpoint e faz uso de políticas de segurança e de conectividade adequadas. Os parâmetros de rede, como o QoS e a seleção de rota dinâmica, esta última uma função WAN definida por software (SD-WAN), são implementados automaticamente por cada terminal para otimizar o desempenho da aplicação e fornecer a política de segurança adequada para a função desse terminal.

A segurança integrada e a rede com gestão centralizada reduzem os custos de manutenção contínua do sistema. Centralizar a gestão reduz a probabilidade de erros humanos que poderiam criar buracos indesejáveis. 

3. Segurança e roteamento integrados

O SASE integra várias funções de segurança em um sistema: 

•  reputação do DNS;
• RBI;
• acesso à rede de confiança zero;
• prevenção contra perda de dados (DLP);
• proteção contra malwares;
• agente de segurança de acesso à nuvem;
• firewall como serviço;
• detecção de intruso;
•  prevenção contra invasão;
• Secure Web Gateway (SWG).

Com a estrutura adequada, as ferramentas SASE podem realizar análise de comportamento de rede para identificar os casos em que o malware começa a escanear e a atacar a infraestrutura interna.

A consolidação das aplicações de um produto pelo fornecedor pode reduzir significativamente a complexidade da implementação de uma funcionalidade de segurança abrangente. A equipe muda da manutenção de políticas por dispositivo para os serviços de política de todo o sistema, tornando-os muito mais produtivos. E, claro, certifique-se de que as funções estejam bem integradas e que não sejam componentes díspares simplesmente contemplados.

A integração com o roteamento garante que o tráfego seja seguro e encaminhado corretamente através dos links desejados. Os detalhes de como o tráfego é roteado e onde estão localizados os controles de segurança devem ser investigados durante a apuração do produto. Alguns fornecedores contam com uma rede privada virtual (VPN) para sistemas de segurança baseados na nuvem, enquanto outros podem precisar de dispositivos Customer Premises Equipment (CPE).

4. Custos de WAN reduzidos

O componente de roteamento próprio do SASE funciona de maneira semelhante ao SD-WAN. Você deve esperar controlar os custos de WAN reduzindo ou eliminando a necessidade de MPLS mais caros e circuitos alugados em prol da conectividade VPN por meio da internet pública. As tecnologias de otimização de WAN também podem ser utilizadas para torná-la mais eficiente.

As implantações de SASE baseadas na nuvem podem otimizar ainda mais os fluxos de tráfego aproveitando a conectividade da cloud para os principais fornecedores de SaaS. Essas conexões geralmente são redundantes e muito confiáveis. É possível que perceba uma melhoria na disponibilidade da aplicação. 

5. Arquitetura distribuída

O SASE é baseado em uma arquitetura distribuída com gerenciamento centralizado para ganhar eficiência, assim como o SD-WAN faz. A gestão centralizada geralmente ocorre em uma instância na nuvem. O endpoint e as filiais podem utilizar dispositivos CPE dedicados ou conectar-se a uma instância de nuvem que fornece os mecanismos de segurança. Os fluxos de tráfego de rede são roteados de maneira ideal ao seu destino. A arquitetura baseada na nuvem pode ser mais robusta quando confrontada com ataques de negação de serviço (DoS).

O SASE oferece melhores características de latência de rede do que uma VPN em um data center corporativo, onde a segurança normalmente foi implementada. O tráfego que foi protegido, seja por meio de dispositivos CPE ou por sistemas de segurança na nuvem, é encaminhado diretamente ao seu destino. A navegação do “tráfego trombone” de e para um data center apenas para sistemas de segurança de trânsito não é mais necessária.

Os desafios do SASE

Você pode estar se perguntando se há desvantagens  no SASE, pois parece bom demais para ser verdade. Toda tecnologia ou estrutura tem seus desafios e o SASE não é uma exceção.

É provável que o maior deles seja um efeito colateral de uma estreita integração das redes e da segurança. Uma mudança significativa de cultura pode ser necessária em organizações que possuam equipes independentes de rede e de segurança. O Gartner recomenda que o SASE seja conduzido por um executivo do nível do CIO, porque ele exigirá segurança e rede para funcionar juntos.

Deve-se levar em conta que o SASE é um princípio ou uma estrutura norteadora, não um produto específico ou uma política de conformidade. Como acontece com qualquer tecnologia, você precisa interpretar seus recursos, adaptá-los aos requisitos e escolher fornecedores com base em sua análise.