O que é o SASE? O SASE (Secure Access Service Edge) é definido pelo Gartner.
As funções de segurança de rede não são novas, e a SD-WAN não é nova no setor.
O SASE as fornece como um serviço em nuvem.
Simplificando, o SASE combina SD-WAN, funções de segurança de rede e as fornece como um serviço em nuvem.
Os provedores de SD-WAN fornecem conectividade determinística e confiável para empresas com vários escritórios em diferentes locais por meio da infraestrutura de PoP distribuída geograficamente.
O serviço SD-WAN também fornece acesso remoto seguro baseado em VPN para conectar usuários WFH (Work-From-Home) e Roaming às redes corporativas.
Muitos serviços de SD-WAN também incluem componentes básicos de segurança, como Firewall e NAT.
A combinação das funções de proteção contra ameaças – firewall de última geração, antimalware, filtragem de URL e funções de prevenção contra perda de dados para proteger vários ativos da empresa com a SD-WAN – oferece vários benefícios para as empresas.
Os benefícios incluem uma infraestrutura de rede menos complexa, aumento/abaixamento mais rápido com mudanças nos sites corporativos, serviços em nuvem, serviços SaaS, força de trabalho distribuída e expansão mais rápida com o aumento da carga dos aplicativos corporativos.
Os administradores da empresa também veem um único painel de controle para gerenciamento e observabilidade de políticas.
Os pontos de aplicação distribuídos de rede e segurança proporcionam uma experiência consistente e determinística aos usuários e aplicativos, onde quer que estejam. O que é o SASE? A imagem abaixo fornece uma visão consolidada do SASE.
O serviço SASE fica entre as entidades do cliente e os ativos de aplicativos/dados da empresa.
Os clientes podem ser clientes humanos, dispositivos e programas.
Os clientes podem estar em qualquer lugar.
Os aplicativos e dados corporativos com transformação digital não se limitam aos locais On-Prem e Colos da empresa.
As empresas estão implantando os aplicativos em várias regiões e em várias nuvens por motivos de resiliência, redundância, baixa latência e regulamentares.
As empresas também estão usando cada vez mais os serviços SaaS, que também são implantados em vários locais.
Devido ao fato de os clientes estarem em qualquer lugar e os serviços estarem em qualquer lugar, o serviço SASE também é fornecido como serviço distribuído, mas, é claro, com um plano de gerenciamento comum.
Os principais componentes do SASE são: SD-WAN: a SD-WAN fornece conectividade segura, otimizada, determinística e confiável entre escritórios e data centers por meio de vários PoPs com gerenciamento central.
Os serviços de SD-WAN estão se tornando mais inteligentes.
Eles não têm mais recursos básicos relacionados à substituição de MPLS, mas também oferecem roteamento/QoS com reconhecimento de usuários e aplicativos, aceleração de SaaS por meio de roteamento inteligente, otimização de WAN e cache para acesso de baixa latência a dados redundantes e até mesmo serviços básicos de segurança, como NAT, Firewall e VPN. Firewall de próxima geração (NGFW): É a tecnologia de segurança fundamental para qualquer tipo de acesso.
Normalmente, ele fornece serviços de NAT, inspeção de estado e IDS/IPS (Intrusion Detection and Prevention System).
Para atender aos requisitos do Zero Trust, espera-se que o NGFW na arquitetura SASE ofereça suporte à funcionalidade de acesso com reconhecimento de identidade. Acesso à rede Zero Trust (ZTNA): A funcionalidade ZTNA protege os aplicativos corporativos e os dados associados.
Os serviços de SD-WAN têm a funcionalidade básica de ZTNA por meio de VPN e firewall de inspeção de estado.
Isso não é suficiente para chamá-lo de ZTNA na arquitetura SASE.
A funcionalidade da ZTNA inclui acesso a aplicativos com reconhecimento de identidade, acesso granular baseado na função do usuário a aplicativos para atender ao princípio do “acesso com privilégios mínimos”, engenharia de tráfego para várias instâncias do aplicativo em nuvens e data centers, gerenciamento de acesso privilegiado a serviços essenciais e muito mais.
As estruturas diferenciadas do ZTNA são ampliadas com WAF (Web Application Firewall), segurança de API, DLP (Data Loss Prevention) e funcionalidade antimalware para proteção contra ameaças e para impedir qualquer tentativa de exfiltração de dados. Corretor de segurança de acesso à nuvem (CASB): A funcionalidade CASB protege os dados corporativos nos serviços SaaS, garantindo que os usuários genuínos acessem os recursos permitidos.
Mais importante ainda, ela oferece visibilidade dos usuários e dos recursos que estão sendo acessados.
Os CASBs também ajudam a impedir o acesso a sites de SaaS não sancionados.
Como os CASBs estão no caminho do tráfego, eles também podem identificar qualquer acesso de TI invisível e identificar se há algum vazamento de dados entre contas corporativas e contas pessoais.
Alguns fornecedores de SaaS não recomendam a segurança em linha.
Para atender aos requisitos de segurança das empresas para esses serviços de SaaS, espera-se que os CASBs de nível de API estejam presentes na solução SASE. Os CASBs em nível de API trabalham com APIs de provedores de SaaS para automatizar privilégios e verificar o conteúdo em busca de malware e vazamentos de dados (confidenciais, PII). Secure Web Gateway (SWG): A funcionalidade do SWG protege os ativos do cliente corporativo durante o acesso à Internet.
Ela impede que os usuários visitem sites ruins que hospedam malware e sites de engenharia social que roubam senhas.
Também impede que os usuários façam download ou upload de conteúdo de malware.
O SWG faz isso incluindo filtragem de malware de URL e funções antimalware.
O SWG também oferece o recurso de filtragem de URL baseado em identidade para fornecer acesso diferenciado aos serviços de Internet com base no grupo/função do usuário. SASE unificada A verdadeira convergência de várias funções de segurança e SD-WAN é fundamental para que as empresas obtenham todos os benefícios da SASE.
As soluções SASE começaram como um acoplamento frouxo de várias funções de segurança fornecidas na infraestrutura SD-WAN.
Embora as empresas vejam um fornecedor para todas as funções de SASE, essa abordagem de solução desagregada (“SASE desagregada”) tem alguns desafios:
- Vários painéis de configuração de políticas: isso pode levar a uma configuração repetitiva e a uma curva de aprendizado acentuada e, portanto, pode levar a erros de configuração.
- Várias pilhas de observabilidade: a falta de observabilidade e correlações de ponta a ponta pode levar à perda de incidentes e a respostas lentas a incidentes.
- Desafios de desempenho com o encadeamento de proxy: vários proxies no caminho do tráfego podem levar a várias terminações de TCP/TLS, autenticações e vários saltos.
Isso pode resultar em maior latência e menor taxa de transferência, afetando a experiência do usuário. - Desafios de desempenho com vários PoPs: as funções de segurança e a SD-WAN em vários PoPs podem levar ao salto de PoP para o tráfego, levando a problemas de experiência do usuário devido à maior latência introduzida pelo salto de PoP.
SASE unificado é o termo associado aos provedores que abordam os desafios acima.
O SASE unificado permite
- Verdadeiro painel único de vidro para configuração e observabilidade
- Objetos comuns de rede/serviço/aplicativo/usuário em funções SD-WAN e funções de segurança.
- Uma determinada sessão de tráfego passa por apenas um PoP para funções SD-WAN e funções de segurança.
- Inspeção do tráfego TLS apenas uma vez.
- Arquitetura de passagem única para uma determinada sessão em funções de segurança e SD-WAN.
- Redução da superfície de ataque no próprio SASE
Dessa forma, as empresas se beneficiam com uma melhor experiência do usuário, custos reduzidos e maior confiança.
Também é importante entender que os provedores de SASE podem não ser capazes de desenvolver todas as funções de segurança por conta própria.
As parcerias tecnológicas são fundamentais, pois alguns fornecedores são especializados em poucas funções de segurança.
É tarefa dos provedores de SASE criar uma solução abrangente com profunda colaboração técnica com os parceiros para concretizar a visão de “SASE unificada”. SASE universal A parte da “borda” da SASE é um conjunto de locais de PoP de um provedor de SASE ou um conjunto de vários PoPs/nuvens de vários provedores de funções de segurança da SASE.
Trata-se de uma arquitetura distribuída, o que significa que os PoPs estão distribuídos em todo o mundo e as funções SASE implementadas em cada PoP tornam o SASE distribuído.
Dito isso, a forma como o SASE é fornecido atualmente não abrange bem todas as sessões de tráfego.
Ele abrange muito bem os fluxos de tráfego que passam pela WAN entre os clientes e os recursos da Internet e da empresa.
Pense nesses fluxos de tráfego.
Eles não são bem tratados pelos provedores de SASE.
- Sessões de tráfego quando as entidades clientes e as entidades de serviços de aplicativos estão no mesmo data center/VPC.
- Sessões de tráfego entre microsserviços em um cluster Kubernetes.
- Fluxos de tráfego entre VPCs que passam por serviços WAN de provedores de nuvem.
- Sessões de tráfego de usuários móveis 5G e aplicativos de borda.
Espera-se que a automação da rede e a aplicação da segurança sejam atendidas por outros mecanismos ou que o tráfego seja fixado nos PoPs SASE.
No primeiro caso, perde-se a uniformidade e, no segundo, pode haver desafios à experiência do usuário.
Daí a exigência de SASE universal.
O serviço SASE não deve se restringir apenas aos locais dos PoPs.
As empresas esperam serviços comuns de rede e segurança para todas as sessões de tráfego de maneira uniforme.
A SASE universal precisa habilitar o plano de dados distribuído nativo da nuvem com uma plataforma de gerenciamento e observabilidade fornecida pela nuvem. Resumo: a jornada da SASE começou em 2019.
Embora a SASE de “primeira geração” tenha começado como funções de segurança e SD-WAN fracamente acopladas, a jornada levaria à SASE unificada e universal para realizar uma verdadeira arquitetura de confiança zero para empresas que têm força de trabalho distribuída e implementações de aplicativos distribuídos.
Nós da Aryaka estamos nessa jornada. Se o senhor quiser saber mais, entre em contato conosco. Recursos adicionais Relatório do Dell’Oro Group: SASE unificado: considerações sobre SASE de fornecedor único
-
Blog CTO Insights
A série de blogs Aryaka CTO Insights oferece liderança de pensamento para tópicos de rede, segurança e SASE.
Para obter as especificações dos produtos Aryaka, consulte as fichas técnicas da Aryaka.