O que é SASE (Secure Access Service Edge) e como ele ajuda no trabalho remoto?

Tempo de leitura: 15 minutos

O Secure Access Service Edge (SASE) é uma estrutura de segurança que permite que usuários e dispositivos tenham acesso seguro à nuvem e seus aplicativos, dados e serviços, de qualquer lugar e a qualquer momento.

À medida que as organizações buscam acelerar o crescimento por meio do uso da nuvem, mais dados, usuários, dispositivos, aplicativos e serviços são usados fora da infraestrutura tradicional. Isso significa que o perímetro da empresa não é mais um local, e sim um conjunto de recursos entregues quando necessário como um serviço da nuvem.

Esse novo perímetro dinâmico muda a maneira como as organizações devem abordar a segurança e o gerenciamento de riscos. Agora, é acrescentado uma maior complexidade, gerando mais ambientes, produtos díspares e falta de profissionais qualificados para gerenciar tudo isso. Nessa situação, a cobertura do ambiente, incluindo visibilidade e controle, pode ser facilmente perdida quando usuários, dispositivos e dados são criados e armazenados virtualmente em qualquer lugar.

De acordo com a Gartner, “Os líderes em segurança e gerenciamento de riscos precisam de um serviço de acesso seguro de borda (SASE) entregue na nuvem para lidar com essa mudança.” O modelo SASE da Gartner surgiu como uma estrutura abrangente para permitir segurança e rápida adoção da nuvem.

O SASE converte rede e segurança de rede em uma única solução em nuvem para atender às necessidades de transformação digital de negócios, computação de ponta e mobilidade da força de trabalho. A estrutura SASE da Gartner fornece a criação dinâmica de uma borda de serviço de acesso seguro baseada em políticas, independentemente do local das entidades que solicitam os recursos e do local dos recursos de rede aos quais eles estão solicitando acesso.

As estruturas do SASE não serão implementadas em um único dia. A Gartner declara: “As ofertas abrangentes do SASE estão surgindo agora, com taxas de adoção inferiores a 1%”. O Gartner também afirma: “Até 2024, pelo menos 40% das empresas terão estratégias explícitas para adotar SASE, contra de menos de 1% no final de 2018”.

Como o SASE funciona?

No que diz respeito ao SASE, metade das tecnologias são sobre tráfego de rede; a outra metade é sobre segurança. Ou Velocidade vs. Controle. A estrutura do SASE foi projetada para permitir que os profissionais de segurança da empresa apliquem identidade e contexto para especificar o nível exato de desempenho, confiabilidade, segurança e custo desejado para cada sessão da rede. Sob essas circunstâncias, as organizações que usam a estrutura SASE podem obter maior velocidade e alcançar maior escala na nuvem, enquanto abordam novos desafios de segurança inerentes a esses ambientes na nuvem.

Em um exemplo prático, uma força de vendas precisa de maior eficiência e eficácia por meio da mobilidade, porém, o uso da Internet através de Wi-Fi público pode se tornar um risco de segurança. Logo, acessar aplicativos e dados corporativos de negócios de maneira oportuna e segura tem se tornado um verdadeiro desafio. Nessa situação, a estrutura SASE poderá fornecer a construção para manter maior velocidade de acesso (ou desempenho), além de permitir um controle mais rigoroso dos usuários, dados e dispositivos que atravessam as redes – independentemente de quando, onde e como eles estão fazendo.

Gartner sugere que líderes devem adotar a abordagem estratégica contínua de avaliação de risco e confiança adaptativa (CARTA) (consulte “A confiança zero é um passo inicial no roteiro para o CARTA” e os “Sete imperativos para a adoção de uma abordagem estratégica do CARTA” do Gartner), garantindo que a sessão é monitorada continuamente.

Ao permanecer no caminho dos dados, a sessão pode ser analisada quanto a indicações de risco excessivo (como credenciais comprometidas ou ameaça interna) usando recursos UEBA incorporados. A oferta do SASE deve ser capaz de respostas adaptativas à medida que o comportamento do usuário é analisado e os riscos subsequentes aumentam, ou à medida que a confiança do dispositivo diminui (por exemplo, exigindo autenticação adicional do usuário).

Um passo inicial na implementação do CARTA é a adoção de uma abordagem de confiança zero. O lema básico aqui é “Verificar e, em seguida, confiar” em vez de simplesmente confiar nos usuários dentro da rede por padrão. O Zero Trust assume que a rede foi comprometida e desafia o usuário ou o dispositivo a provar que não são invasores. O Zero Trust exige uma verificação rigorosa de identidade para todos os usuários e dispositivos ao tentar acessar recursos em uma rede, mesmo que o usuário ou dispositivo já esteja dentro do perímetro da rede.

Benefícios do SASE

De acordo com o relatório da Gartner: “Nos negócios digitais centrados na nuvem, usuários, dispositivos e os recursos de rede aos quais eles exigem acesso seguro estão por toda parte. . . O que os profissionais de segurança e risco de uma empresa digital precisam é de uma malha mundial de recursos de segurança de rede que possam ser aplicados quando e onde conectar entidades a recursos de rede aos quais precisam acessar. ”

Segundo o Gartner, a implementação de uma arquitetura SASE beneficiaria as empresas, fornecendo:

Custos e complexidade mais baixos – O Network Security as a Service deve vir de um único fornecedor. Ao consolidar fornecedores e pilhas de tecnologia, é provável que os custos e complexidade sejam reduzidos.
Agilidade – Habilite novos cenários de negócios digitais (aplicativos, serviços, APIs e dados compartilháveis para parceiros e contratados com menos exposição a riscos).
Melhor desempenho / latência – Roteamento otimizado para latência.
Facilidade de uso / transparência – Menos agentes por dispositivo; menos inchaço de agente e aplicativo; aplicação consistente em qualquer lugar, em qualquer dispositivo. Menos sobrecarga operacional atualizando para novas ameaças e políticas sem novo HW ou SW; adoção mais rápida de novos recursos.
Habilite o ZTNA – Acesso à rede com base na identidade do usuário, dispositivo, aplicativo – não no endereço IP ou no local físico para proteção perfeita dentro e fora da rede; criptografia de ponta a ponta. Estendido para o endpoint com proteção Wi-Fi pública, encapsulando o POP mais próximo.
Rede mais eficaz e equipe de segurança de rede – Mude para projetos estratégicos, como mapeamento de requisitos de negócios, regulamentares e de acesso a aplicativos, para os recursos do SASE.
Política centralizada com aplicação local – Gerenciamento centralizado baseado em nuvem com aplicação distribuída e tomada de decisão.

Como a Infomach se encaixa na estrutura do SASE

Existem dois aspectos principais que formam a base da estrutura do SASE: Rede e segurança da rede como serviço. A primeira metade das tecnologias é direcionada ao tráfego de rede; a outra metade está focada na segurança. O objetivo dos dispositivos de rede corporativa é transmitir pacotes de dados a uma taxa cada vez maior para obter até um milissegundo de desempenho. A segurança, por outro lado, requer contexto, como na identificação do usuário, dos dados, do dispositivo, do local e de quaisquer outros parâmetros importantes na tomada de uma decisão de segurança. Compreender e priorizar riscos permite a adaptação de políticas de segurança. De um modo geral, a segurança da rede precisa de uma visão de 360 graus e de um entendimento do comportamento e do conteúdo do usuário para tomar uma boa decisão sobre a política com base no perfil de risco da organização.

Classificada como um dos maiores e mais experientes fornecedores de segurança cibernética, a Infomach entende dados, dispositivos, usuários, aplicativos e possui o contexto para fornecer proteção abrangente do dispositivo para a nuvem. A abordagem da Infomach de integrar dados em seu portfólio fornece contexto de dados e diferencia faz seu diferencial competitivo.

O portfólio de soluções nativas e entregue na nuvem da Infomach pode ajudar a reduzir a complexidade e permitir a adoção rápida e segura da nuvem, a fim de maximizar a agilidade dos negócios e reduzir os custos operacionais, oferecendo políticas que são definidas uma vez e implantadas em vários locais – ponto final, rede e nuvem.

O Unified Cloud Edge é a primeira solução de um único fornecedor para integrar totalmente as três primeiras tecnologias de segurança listadas na estrutura SASE do Gartner. O MVISION Unified Cloud Edge (UCE) fornece uma solução de segurança convergente para simplificar a adoção de uma arquitetura SASE (Secure Access Service Edge) e ajudar a reduzir os custos e a complexidade da segurança cibernética moderna. O UCE permite acesso seguro à nuvem a partir de qualquer dispositivo, para a máxima produtividade da força de trabalho, por meio da prevenção integrada contra perda de dados, controle de dispositivo/usuário e outras tecnologias de segurança na filtragem da Web (SWG), gerenciamento de terminais e controle na nuvem (CASB).

Para obter uma arquitetura de segurança ainda mais completa para um SASE (Secure Access Service Edge), a McAfee concordou em adquirir a Light Point Security, pioneira no isolamento de navegadores fundada por ex-funcionários da Agência de Segurança Nacional (NSA) que visa expandir os recursos de prevenção de ameaças do Unified Cloud Edge. A McAfee planeja ainda integrar a tecnologia de isolamento de navegador do Light Point Security em nosso gateway da web seguro nativo na nuvem para uso em qualquer política de segurança da web.

A tecnologia de isolamento do navegador do Light Point Security pega a sessão de navegação na Web do usuário final e isola a página remotamente em um local seguro, depois replica uma imagem interativa da sessão no navegador do usuário com uma técnica chamada “mapeamento de pixels”. Isso fornece ao usuário final proteção contra ameaças baseadas na Web já que o código malicioso não pode sair do navegador isolado, que é remoto do ponto de extremidade. Essa tecnologia complementa o gateway da Web seguro da McAfee, que possui uma abordagem única e líder do setor para prevenção de malware – emulação em tempo real. A emulação remove a grande maioria do malware em milissegundos à medida que o tráfego é processado. A próxima evolução está removendo a capacidade do código mal-intencionado de alcançar um usuário final completamente.

Além do UCE, a McAfee ainda oferece as seguintes soluções/recursos:

UEBA via CASB, que oferece imposição de políticas com base em padrões comportamentais incomuns de tráfego de/para serviços em nuvem.
O McAfee access control ajuda a estabelecer a identidade dos usuários e a confirmar a postura de segurança dos dispositivos antes de permitir o acesso remoto (dispositivos gerenciados versus dispositivos não gerenciados).
Segurança de contêiner via CASB capaz de fornecer controle de vulnerabilidade a contêiner, gerenciamento de postura de segurança na nuvem (CSPM) e ainda a imposição de confiança zero entre contêineres para se defender contra vazamento de dados entre contêineres.

Os clientes da McAfee podem implantar outros elementos do modelo SASE usando tecnologias de outros fornecedores. O programa Security Innovation Alliance (SIA) da McAfee fornece aos clientes soluções integradas de segurança e rede que lhes permitem resolver mais ameaças mais rapidamente e com menos recursos. O Data Exchange Layer (DXL) é um ecossistema aberto, desenvolvido inicialmente pela McAfee, que permite a integração entre diferentes produtos de fornecedores. As empresas que fornecem elementos do modelo SASE que são membros da SIA e / ou podem compartilhar informações usando o DXL incluem:

A McAfee pode integrar suas tecnologias SASE (especialmente o McAfee Secure Web Gateway) a fornecedores de SD-WAN, como o SilverPeak
Infoblox de resolução de DNS
Zero Trust. A integração do SWG e da funcionalidade da Menlo Technology fornece o isolamento do navegador remoto (RBI), uma parte recomendada do SASE. (Também Ericom)
ZTNA com Bufferzone
Fornecedores de rede como Cisco, Extreme Networks, Checkpoint, Attivo Networks, Forcepoint

O que é o MVISION Unified Cloud Edge?

Pode-se dizer que a nuvem agora é o epicentro de TI, dados e computação. Para resolver as preocupações de segurança resultantes, a McAfee convergiu os recursos de suas ofertas premiadas do McAfee® CASB, McAfee® Web Gateway e McAfee® Data Loss Prevention – todas incorporadas na plataforma MVISION ePO – para permitir um ambiente de TI sem fronteiras. Aqui, os serviços em nuvem podem ser usados para transformar e acelerar os negócios, fornecendo às empresas visibilidade e controle completos sobre dados e ameaças em ambientes em nuvem, no local e híbridos.

Proteção unificada de dados e prevenção de ameaças

Características e benefícios

Definição de política centralizada
Para prevenção de ameaças e proteção de dados
Gerenciamento Unificado de Incidentes
Controle de acesso
Sobre dispositivos gerenciados e não gerenciados
Dados na nuvem e controles de permissão por meio de
integrações de APIs
Aplicação de política de uso aceitável
com proteção avançada contra malware

O MVISION Unified Cloud Edge é uma solução nativa e entregue em nuvem, primeira do gênero, que fornece dados unificados e proteção contra ameaças do dispositivo para a nuvem. Também oferece às organizações simplicidade no gerenciamento de políticas, gerenciamento centralizado de incidentes e relatórios e um conjunto combinado de controles para proteger usuários, dispositivos e dados – em qualquer lugar. Esta solução unificada ajuda a interromper as tentativas de violação nativas da nuvem anteriormente invisíveis para a rede corporativa.

O UCE usa recursos e sistemas comuns de gerenciamento baseado em nuvem que compartilham informações (por exemplo, ePO, DXL), para que suas decisões sejam baseadas em vários parâmetros. Ao impor políticas e contexto de dados consistentes em pontos de extremidade, Web e nuvem, o UCE protege os dados à medida que eles saem do dispositivo, viajam de e para a nuvem e dentro dos serviços de nuvem para criar uma nova borda de nuvem segura para a empresa.

Fonte: McAfee | Tradução livre de What is Secure Access Service Edge (SASE)?