O que é Secure Access Service Edge (SASE)?

Secure Access Service Edge (SASE) é um componente da arquitetura zero trust que protege elementos de rede dentro e fora de um limite de rede tradicional. Com a transformação digital das empresas, o aumento do trabalho remoto e o uso de serviços em nuvem para executar aplicações, a segurança está migrando para a nuvem e a SASE está fornecendo essa segurança.

Alterando a topologia da rede

As redes de computadores já consistiram em uma rede de escritório e um centro de dados específico para uma empresa. Um funcionário entrava no escritório e se conectava a um computador, acessando os aplicações executadas no data center. Todas as transações da empresa ocorreram dentro do perímetro da rede.

Essa abordagem tradicional de network security estabeleceu um firewall ao redor da rede. Uma vez que um usuário estivesse dentro do firewall, o protocolo de segurança confiaria naquele computador, não verificando as atividades posteriores do usuário na rede.

A transformação digital mudou drasticamente a forma como os funcionários trabalham. Muitos funcionários acessam aplicações no escritório ou remotamente que estão hospedados na Internet fora das proteções do data center corporativo. Por exemplo, um funcionário acessando o Salesforce pode estar em um laptop na mesa da cozinha. A aplicação pode residir na Internet ou o funcionário pode acessar remotamente o aplicativo hospedado no data center da empresa.

No mundo do trabalho de hoje, o perímetro de rede que costumávamos proteger não existe mais porque há pontos de acesso em todos os lugares, e a internet agora é nosso veículo para transferir informações. O desafio nesse ambiente é proteger os gateways de volta ao ambiente corporativo, as "bordas."

Para reforçar os protocolos inadequados de segurança de perímetro neste ambiente disperso, as equipes de TI acabaram com muitos fornecedores, políticas e consoles tentando, mas sem sucesso total, proteger os dados. SASE é uma nova solução para reduzir a complexidade da cibersegurança e melhorar a eficácia para ambientes de acesso disperso.

O modelo SASE

SASE é um conjunto de tecnologias que combina funções de rede (SD-WAN, VPN) e segurança (SWG, CASB, FWaaS, ZTNA). Essas tecnologias são tradicionalmente fornecidas em soluções pontuais isoladas. SASE – ou Zero Trust Edge – combina tudo isso em um único serviço de nuvem integrado.

Componentes do modelo SASE

  • Software-defined Wide Area Network (SD-WAN)
  • Virtual Private Network (VPN)
  • Secure Web Gateway (SWG)
  • Cloud Access Security Broker (CASB)
  • Firewall as a Service (FwaaS)
  • Zero Trust Network Access (ZTNA)

O modelo SASE permite que as organizações unifiquem suas redes e reforcem a segurança para usuários e dispositivos dispersos.

O SASE tem vários benefícios para as empresas

  • Reduz custos
  • Diminui a complexidade
  • Suporta alinhamento de política de rede e segurança
  • Reduz incidentes de segurança
  • Fornece uma experiência perfeita para usuários em qualquer local.

Uma nova arquitetura de segurança

Organizações que buscam avançar seus protocolos de segurança centrados no usuário e de gerenciamento de rede estão adotando a arquitetura SASE para possibilitar o acesso à rede baseado em Zero Trust. O modelo zero trust é sobre nunca confiar, sempre verificar e assumir um compromisso até que uma máquina seja comprovadamente confiável. A internet conecta tudo, e nenhum dispositivo é inerentemente confiável porque é uma plataforma de informação aberta.

SASE é um elemento essencial na arquitetura zero trust. Grande parte do SASE não é uma nova tecnologia, mas uma combinação de tecnologia nova e existente. SASE fornece controles de segurança para o usuário, dispositivo ou local de computação de ponta. Protocolos de cibersegurança anteriores estabeleceram proteção de firewall para um data center, mas o SASE autentica com base na identidade digital, contexto em tempo real e políticas da empresa.

Existem três componentes críticos do SASE:

  1. Secure Web Gateway
  2. Cloud Access Security Broker
  3. Zero Trust Network Access

Secure Web Gateway

Um SWG controla o acesso à Internet e gerencia o que um usuário pode ou não acessar. Se um usuário tentar acessar ou baixar algo de um site suspeito ou tentar acessar um destino proibido, como um site de jogos de azar, o gateway o bloqueará.

Os ataques cibernéticos tornaram-se muito sofisticados. Justo quando começamos a reconhecer o estilo antigo de um e-mail de phishing com palavras mal soletradas e linguagem estranha, os agentes maliciosos se tornaram mais sofisticados. Agora é quase impossível dizer quais e-mails são legítimos e quais são de criminosos, mesmo para usuários experientes.

O treinamento interno de segurança cibernética é essencial para estabelecer uma proteção mais robusta, mas os usuários cometem erros mesmo com o treinamento. O SWG é outra ferramenta que sua equipe de segurança pode usar para ver todo o tráfego de e para sua rede. Se houver uma ameaça, a equipe de segurança pode usar o SWG para mitigá-la.

O SWG oferece várias funções:

  • Filtragem de URL
  • Defesa avançada contra ameaças
  • Proteção do servidor contra malware
  • Aplicação de conformidade com a política da Internet

As restrições podem ser aplicadas a ambientes grandes e pequenos:

  • Os governos controlam o que a população vê
  • Os provedores de serviços de Internet bloqueiam o conteúdo selecionado
  • As empresas gerenciam o que os funcionários acessam
  • As escolas filtram quais sites estão disponíveis para os alunos
  • As bibliotecas escolhem o que os usuários veem

Agente de segurança de acesso à nuvem

O CASB devolve a visibilidade às aplicações SaaS. Conforme um usuário se conecta ao Salesforce, Office 365 ou outra aplicação, sua equipe de segurança pode ver quais dados seus usuários estão transferindo, quais arquivos são carregados ou baixados do OneDrive ou SharePoint, quem fez isso e a que horas.

O CASB é um software localizado no local ou na nuvem. Ele faz a mediação entre usuários e serviços em nuvem com políticas de segurança para acesso à nuvem e rastreia ações na rede.

A segurança CASB pode consistir em vários elementos:

  • Alerta
  • Registro e autenticação
  • Logon único
  • Autorização
  • Mapeamento de credenciais
  • Perfil do dispositivo
  • Criptografia
  • Tokenização
  • Detecção e prevenção de malware

O ponto de partida para relatórios CASB é configurar as opções para cada grupo de usuários dentro da organização. Um grupo pode ser autorizado a fazer upload, mas não fazer download. Outro grupo pode editar documentos e outro pode apenas visualizar documentos. A empresa define a política.

A empresa também define a ação a ser tomada se ocorrer uma ação proibida. Sua equipe de segurança pode definir protocolos para bloquear automaticamente a atividade ou permitir que ela aconteça e relatar o evento ao visualizador de eventos.

Zero Trust Network Access

Os gateways ZTNA são o novo elemento do SASE. ZTNA é uma arquitetura de segurança que apenas concede acesso ao tráfego entre usuários, dispositivos e aplicações autenticados. Nenhum tráfego é confiável e todos os dispositivos finais são suspeitos de terem intenções maliciosas até que se prove o contrário. ZTNA está substituindo as VPNs para autenticar usuários remotamente.

A VPN é a tecnologia que as empresas tradicionalmente usam para conectar usuários remotos à rede corporativa. A VPN tem vários problemas: é cara e muitas vezes estabelece uma conexão instável. Além disso, conexões remotas ineficazes fazem com que os funcionários tenham dificuldade para realizar seus trabalhos, custando dinheiro à empresa em perda de produtividade.

O maior problema da VPN é que ela oferece acesso remoto com poucos controles de segurança. Um usuário que acessa uma rede corporativa via VPN a partir de uma rede doméstica é autenticado e tem acesso total ao front-end e ao back-end da rede. O usuário continua trabalhando no front-end da aplicação. Se um malware chegar ao computador a partir da Internet, ele pode acessar o back-end da mesma aplicação e obter todos os dados, causando uma violação de dados.

O ZTNA remove a capacidade do malware de se mover dentro da rede porque o ZTNA autentica individualmente cada usuário, dispositivo e aplicativo como confiável na rede.

Vulnerabilidades da VPN:

  • Ampla superfície de ataque
  • Uma vez na rede, os agentes mal-intencionados podem se mover lateralmente para explorar vulnerabilidades
  • As VPNs estão expostas à Internet e vulneráveis à interrupção do serviço
  • Os hackers visam qualquer superfície exposta, descobrem vulnerabilidades e atacam

Aborando a Zero Trust

O primeiro passo em direção à zero trust é a organização se comprometer a adotar a arquitetura. Com o tempo, as equipes de TI e segurança podem gradualmente implementar tecnologias de diferentes grupos de produtos para aumentar a maturidade.

Um ponto de partida é entender os problemas em seu ambiente que afetam a organização diariamente. Por exemplo, se o acesso à Internet estiver fora de controle – todos podem acessar tudo e os usuários estiverem baixando malware involuntariamente – o SWG pode ser sua tecnologia inicial de zero trust.

A próxima etapa pode ser determinar quais aplicativos SaaS os funcionários usam e quem pode acessar o quê. Faz sentido aumentar a visibilidade de sua equipe de segurança, para que eles possam conceder acesso adequado para atividades autorizadas e garantir que os usuários permaneçam dentro da estrutura da política.

O resultado final para zero trust é proteger seus dados

Mesmo com os parâmetros de segurança SASE em vigor, sua rede ainda não é totalmente zero trust; você está se movendo em direção a ele. Zero Trust é uma jornada ao longo do tempo para aumentar a segurança da sua rede e, se você continuar no caminho, a segurança ficará cada vez melhor.

Proteger um ativo físico, como um laptop ou servidor, ou um ativo digital, como uma conta de usuário ou aplicação, não é o objetivo principal da cibersegurança. Trata-se de proteger os dados usados pelas operações comerciais, incluindo nomes de usuário, senhas, dados corporativos proprietários, material confidencial e informações de pagamento.

Pesquisas relacionadas

Artigos Relacionados