O que é Secure Access Service Edge (SASE)?

A Secure Access Service Edge, ou SASE (pronuncia-se “séssi”), é um modelo de arquitetura de segurança empresarial para redes criado para apoiar as necessidades de acesso rápido a aplicativos da força de trabalho dos dias de hoje. As arquiteturas SASE reúnem redes e a segurança e fornecida na nuvem em uma arquitetura de passagem única e alto desempenho com gerenciamento unificado.

Explore outros tópicos sobre SaaS:

O que é SASE

Para que a SASE é usada?

Existem três principais tendências de mercado que estimulam a adesão da SASE em rede e segurança:

  1. Os aplicativos estão mudando para o SaaS: Nas arquiteturas tradicionais de rede no local, o backhaul de tráfego SaaS para o datacenter para aplicar medidas de segurança aumenta a latência e os custos da rede. À medida que os ambientes de nuvem se tornam mais presentes, a SASE permite às organizações mover os serviços de segurança de rede do datacenter para os usuários remotos.
  2. Os trabalhadores estão cada vez mais remotos e usando dispositivos móveis: Os funcionários esperam a mesma experiência e segurança independentemente de onde estejam. Infelizmente, as VPN tradicionais não oferecem controles de segurança granulares e, por sua vez, pioram essa experiência.
  3. As ameaças estão evoluindo rapidamente: As equipes de segurança precisam fazer o upgrade e a atualização continuamente de sua infraestrutura para acompanhar novas ameaças. Esse é um trabalho complexo e demorado, que ainda deixa muitas organizações vulneráveis a ameaças cibernéticas.

A empresa do presente precisa capacitar todos os funcionários com uma experiência de espaço de trabalho digital rápida, consistente e segura, independentemente da localização ou dispositivo. Ao mesmo tempo, as equipes de TI precisam ficar mais ágeis para focar na prestação de novos serviços digitais, em vez de gastarem a maior parte do tempo gerenciando redes complexas e conjuntos de recursos de segurança. Ao garantir que a rede e a segurança evoluam e sejam unificadas, o quadro da SASE permite:

  • Administração ágil, unificada, em painel único, que inclui provisionamento, bem como visibilidade e controle granular de políticas.
  • Acesso sempre rápido e seguro a aplicativos, em qualquer lugar, graças às capacidades de WAN que superam a imprevisibilidade de interrupções locais da internet.
  • Aplicação consistente de políticas de conformidade de segurança por meio de uma nuvem de segurança global, para todos os usuários, independentemente de onde estejam.

O que está incluído na SASE?

O modelo SASE une funções abrangentes de SD-WAN e segurança de rede em uma arquitetura de passagem única, administrada por meio de um plano de gerenciamento unificado de rede e cibersegurança. O Gartner, que criou o termo SASE, listou capacidades “básicas” e “recomendadas” para arquiteturas de SASE.1

As capacidades básicas da SASE incluem:

SD-WAN

A SD-WAN permite uma conectividade resiliente e de baixa latência em qualquer tipo de transporte de rede, ao mesmo tempo em que permite reduzir a complexidade em comparação com as soluções tradicionais baseadas em roteador. Aplicações nativas em nuvem e em tempo real, em particular, beneficiam-se de SD-WANs. As SD-WANs conseguem isso por meio de capacidades como seleção de rotas com base na avaliação da qualidade da rota, otimização de WAN e emparelhamento com aplicativos SaaS. Além disso, algumas SD-WANs incluem medidas de segurança de rede, como sistemas integrados de detecção/prevenção de intrusão (integrated intrusion detection/prevention systems, IDS/IPS) e configuração simplificada de túneis de VPN entre filiais e aplicativos SaaS.

Gateway de web seguro

Um gateway de web seguro (secure web gateway, SWG) é uma solução de cibersegurança corporativa, normalmente implementada em linha como um serviço em nuvem, que atua entre os usuários e a web. O tráfego de usuários é encaminhado para o SWG para inspeção e ação adicional conforme necessário, por meio de capacidades de segurança de rede incorporadas, como filtragem de URL, controle de aplicativos e defesa contra malware.

Agente de segurança de acesso à nuvem

Com um agente de segurança de acesso à nuvem (cloud access security broker, CASB), uma empresa pode gerenciar o controle de acesso a todos os aplicativos SaaS aprovados e não aprovados. As soluções de segurança CASB são baseadas em quatro pilares principais:

  • Maior visibilidade, incluindo aplicativos de Shadow IT
  • Segurança de dados para proteger dados confidenciais contra acesso não autorizado
  • Prevenção de ameaças por meio de capacidades como análise comportamental
  • Prova de conformidade simplificada

Zero trust network access (Acesso à rede de confiança zero)

O acesso a rede de confiança zero (zero trust network access, ZTNA) reforça o princípio do menor privilégio para usuários autorizados que acessam aplicativos sancionados. Também oferece reconhecimento de identidade e contexto, avaliando as tentativas de acesso com base nas informações de identidade dos serviços em nuvem, como o Microsoft Azure Active Directory, e em parâmetros como o horário e a localização. Pode até ser concedido acesso a aplicativos em vez da rede, para evitar o movimento lateral da ameaça. No geral, o ZTNA proporciona uma melhor experiência de usuário, controles de segurança mais rígidos e menor complexidade, em comparação com soluções de VPN tradicionais.

Firewall como serviço

O firewall como serviço (Firewall as a service, FWaaS) implementa controles de segurança de entrada e saída em uma rede corporativa para garantir que apenas o tráfego confiável possa passar. Mais especificamente, uma solução de FWaaS pode integrar detecção de ameaças (sem assinatura) baseada em anomalias, isolamento de rede, geolocalização, software antimalware e soluções IDS/IPS. O FWaaS é muitas vezes integrado com soluções de análise de segurança para uma proteção abrangente de centros de dados, instâncias em nuvem e filiais.

Proteção contra perda de dados

A proteção contra a perda de dados (também chamada de prevenção contra ameaças) é integrada na arquitetura de passagem única de uma plataforma SASE. Um mecanismo de proteção contra perda de dados oferece visibilidade dos dados em uso, em movimento e em repouso. Ele pode colocar em quarentena dados ou atividades de risco, aplicar criptografia e enviar alertas de segurança de rede para reduzir o risco geral de uma violação de dados.

Criptografia/descriptografia de conteúdo em velocidade de linha, em escala

A arquitetura de passagem única da SASE permite que o tráfego criptografado seja aberto e inspecionado apenas uma vez para reduzir a latência dos conjuntos de recursos de segurança tradicionais com mecanismos de inspeção em série por serviço.

As capacidades recomendadas de SASE incluem:

Proteção de API e aplicativos da Web

À medida que o uso de aplicativos da Web aumenta, é importante manter afastados o tráfego e solicitações mal-intencionados. A proteção de aplicativos da Web e API (Web application and API protection, WAAP) pode integrar soluções de segurança, como Rate Limiting (ou limitação de velocidade) avançada, proteção automática de aplicativos de tempo de execução e mitigação de DDoS.

Isolamento de navegador remoto

O isolamento remoto do navegador permite proteger a rede corporativa contra ataques feitos através de navegadores. Os dados de websites, incluindo os possivelmente comprometidos, não são transferidos para dispositivos de usuário final, reduzindo assim a possibilidade de uma violação ou infecção.

Isolamento de rede

Um isolamento (sandboxing) de rede envia conteúdo suspeito para um ambiente isolado, onde pode ser executado sem afetar outros aplicativos. As soluções de FWaaS na plataforma de SASE podem então inspecionar e bloquear arquivos e ativos mal-intencionados, caso sejam detectados.

Suporte para dispositivos gerenciados e não gerenciados

Uma plataforma de SASE oferece um quadro melhor para proteger dispositivos fornecidos pela empresa e pelos funcionários, com várias soluções de segurança que protegem contra ameaças, como perda de dados, acesso não autorizado e malware.

As capacidades da SASE são fornecidas num modelo de serviço unificado “leve em filial e pesado em nuvem”: a funcionalidade de SD-WAN é oferecida como um dispositivo de filial “leve” (thin), enquanto a funcionalidade de segurança é fornecida como um serviço em nuvem “pesado” (heavy).

1Relatório Gartner de recursos críticos para infraestrutura de borda de WAN (Critical Capabilities Report for WAN Edge Infrastructure), setembro de 2020

E-BOOK

Sete itens obrigatórios para arquiteturas de Secure Access Service Edge (SASE)

Leia o e-book para saber como a abordagem unificada da Citrix de SASE abrange rede e segurança

Quais são os principais benefícios de segurança da SASE?

As arquiteturas de SASE foram concebidas com o objetivo de criar um ambiente de acesso rápido, confiável e seguro a aplicativos em nuvem por parte de trabalhadores remotos e móveis, ao mesmo tempo em que melhoram a agilidade da TI. Partindo do princípio de que as empresas prestam atenção às nuances na funcionalidade oferecida, como o gerenciamento unificado em toda a rede e segurança, design arquitetônico de passagem única e uma funcionalidade avançada de SD-WAN, as organizações podem aproveitar os seguintes benefícios de uma implantação de SASE:

Experiência de usuário superior. O acesso direto à internet elimina a latência das conexões de backhaul. No entanto, a funcionalidade de otimização de SD-WAN e WAN nas soluções de SASE é necessária para garantir um desempenho consistente, mesmo quando o desempenho da internet varia. As arquiteturas de passagem única garantem que os próprios mecanismos de inspeção e política não acrescentem latência desnecessária.

Segurança aprimorada. O acesso com reconhecimento de identidade e de confiança zero é habilitado para aplicativos sancionados. Isso reduz a superfície de ataque e impede a transmissão lateral de malware dentro da rede corporativa. Para aplicativos da web e não autorizados, a segurança abrangente e fornecida em nuvem garante uma postura de segurança consistente, esteja o funcionário onde estiver.

Maior agilidade de TI. As arquiteturas de SASE podem ajudar a consolidar soluções de pontos em toda a rede e segurança. As soluções de fornecedor único criam integrações mais fortes e unificam o gerenciamento para simplificar a implantação, configuração, relatórios e serviços de suporte. Como as arquiteturas de SASE exigem a transferência de segurança para a nuvem, o volume global de hardware é reduzido, o que, por sua vez, melhora a elasticidade e a escala de arquitetura.

Quais são os elementos essenciais de um quadro de SASE forte?

Embora muitos fornecedores de serviços promovam os componentes individuais de uma arquitetura SASE, fornecer toda a funcionalidade necessária é fundamental, uma vez que o todo unificado é maior do que a soma das partes. Apenas com um “conjunto de recursos de SASE” completo, as empresas podem permitir um acesso rápido, consistente e seguro a todos os aplicativos, em qualquer local e dispositivo, ao mesmo tempo em que melhoram a agilidade da TI. As arquiteturas de SASE mais poderosas incluem os seguintes detalhes que as diferenciam da concorrência:

Integrações profundas

Uma plataforma de SASE combina a segurança da nuvem com uma funcionalidade de WAN abrangente, com ambas as capacidades se beneficiando uma da outra. Embora a segurança da nuvem permita interrupções na internet (para eliminar a latência das arquiteturas de backhaul), ainda está suscetível à imprevisibilidade geral das conexões com a internet. A otimização de SD-WAN e WAN garante que as mudanças no desempenho da rede não afetem a experiência do funcionário.

Gerenciamento em um único painel

Com a SASE, as equipes ganham visibilidade unificada em implementações de infraestruturas (incluindo para cibersegurança), configurações de políticas de rede e relatórios abrangentes. Tudo isso contribui para um controle mais holístico e ágil em toda a arquitetura da empresa.

Arquitetura de passagem única

A cadeia de serviço de funcionalidade frequentemente força a passagem do tráfego por diversas inspeções e mecanismos de políticas, adicionando latência e minimizando quaisquer melhorias de desempenho esperadas da arquitetura de SASE. Porém, as arquiteturas de SASE bem planejadas seguem uma abordagem de passagem única, e isso significa que o tráfego é aberto e inspecionado apenas uma vez por todos os mecanismos de política em paralelo.

Privacidade

Os requisitos regulamentares e de privacidade, como o RGPD, muitas vezes exigem a segregação de dados, a descriptografia seletiva, a visibilidade e o controle sobre como e onde os dados irão fluir. Com a segurança fornecida pela nuvem, cumprir essas obrigações pode ser desafiador, o que torna a avaliação de medidas de conformidade importante para qualquer solução de SASE em potencial.

Gerenciamento unificado de fornecedores

Um dos principais objetivos da SASE é melhorar a agilidade da TI. Ao consolidar os fornecedores, você pode minimizar o número de conversas necessárias para planejar, implantar, gerenciar e dar suporte a uma arquitetura abrangente e unificada com todas as soluções de rede e segurança. Essa consolidação não só acelera as operações, como também ajuda a promover conversas multifuncionais na TI, levando a uma tomada de decisões mais eficiente e mais estratégica. Além disso, de uma perspectiva puramente tecnológica, uma arquitetura de fornecedor único oferece integrações mais profundas entre todas as funcionalidades, se comparado às que recorrem a alianças tecnológicas entre organizações.

Quais são alguns dos casos de uso mais comuns da SASE?

As organizações precisam desenvolver sua infraestrutura de rede e segurança corporativas em resposta a mudanças de padrões de uso, como quais aplicativos são utilizados, e de onde, para satisfazer as expectativas dos funcionários, bem como os requisitos dos negócios. Esta evolução irá apoiar iniciativas estratégicas mais amplas, como permitir aos funcionários de sua equipe a "trabalhar em qualquer lugar" e melhorar a continuidade dos negócios pela implantação de infraestruturas ágeis, elásticas e eficientes.

De modo geral, os casos de uso de TI downstream podem ser divididos em três categorias:

Transformar a arquitetura de rede e segurança

As arquiteturas tradicionais baseadas em arquiteturas de dispositivos do tipo “hub e spoke” adicionam latência, aumentam os custos de WAN e têm um gerenciamento complexo. A sua substituição por uma arquitetura de SASE permite o uso seguro da internet local para acesso rápido, consistente e confiável a todos os aplicativos e em qualquer lugar. A unificação da cibersegurança fornecida pela nuvem e a SD-WAN na arquitetura de SASE permite um melhor desempenho de aplicativos, gerenciamento ágil e visibilidade sem pontos cegos.

Proteger a implantação da SD-WAN

Embora as soluções de SD-WAN sejam fundamentais para melhorar o desempenho dos aplicativos, aproveitar uma SD-WAN juntamente com um conjunto de recursos de segurança baseado no datacenter gera uma latência desnecessária e reduz os benefícios gerais da SD-WAN. A segurança baseada em dispositivos nas filiais também demanda atualizações frequentes, uma vez que o volume de tráfego criptografado aumenta e, junto com ele, os custos e a complexidade operacional. A segurança fornecida pela nuvem é uma alternativa viável, mas deve ser oferecida como arquitetura de SASE unificada de passagem única em conjunto com a solução de SD-WAN. Esta configuração garante que os benefícios esperados da SD-WAN – desempenho mais rápido dos aplicativos, agilidade operacional e OpEx reduzido – sejam maximizados.

Proporcionar um espaço de trabalho digital seguro e produtivo

As soluções digitais de espaço de trabalho permitem uma experiência de funcionário otimizada e produtiva para todos os aplicativos e desktops de trabalho, seja qual for o dispositivo. Contar com uma arquitetura de SASE melhora ainda mais o desempenho de aplicativos, pois garante priorização inteligente de tráfego e otimização de WAN, e segurança reforçada com reconhecimento de identidade, acesso de confiança zero e proteção avançada contra malware para todo o tráfego.

Soluções de SASE da Citrix

As soluções Citrix de SASE garantem que os usuários possam acessar aplicativos de forma fácil e segura, independentemente do local onde trabalham, reunindo todas as capacidades básicas e recomendadas do Gartner numa arquitetura unificada. Estas ofertas de SASE unificadas trazem cinco benefícios principais:

Saiba como fornecer acesso rápido e seguro a aplicativos com a Citrix SASE