Negócios na nuvem ganham segurança com a arquitetura SASE
Fernando Freitas*
A nuvem conquistou o mundo e, com isso, o perímetro se reinventou. O novo ambiente digital das empresas está se expandindo em alta velocidade, aglutinando profissionais em Home Office, filiais de escritórios localizadas fora de grandes centros e organizações pulverizadas por centenas ou milhares de pontos remotos. Isso está levando o time de ICT Security a revolucionar sua política de acessos, buscando levar infraestrutura de rede e segurança a todos os pontos da empresa. A base dessa realidade é a nuvem (pública, privada ou híbrida) e o uso de SaaS (software as a service) em todas as modalidades possíveis.
Esses avanços explicam a demanda pela arquitetura SASE (Secure Access Service Edge). Adere ao SASE a empresa que compreendeu que dados críticos podem, por meio da nuvem, ser acessados com segurança de qualquer ponto.
O SASE foi divulgado pelo Gartner pela primeira vez em 2019.
Segundo esse instituto de análise de mercado, até 2024 40% das organizações de todo o mundo contarão com estratégias de implementação do SASE. Em 2018, essa proporção era de apenas 1% das empresas. Para o instituto de pesquisas Market Watch, até 2026 esse mercado vai atingir a marca de quase 4 bilhões de dólares. A demanda pelo SASE é reforçada, ainda, pela crescente adoção de dispositivos IoT no Brasil.
O que é, então, o SASE?
O SASE é uma arquitetura híbrida, que integra soluções de infraestrutura de rede e de segurança. Do lado da rede entram em cena recursos como SWG (Smart Edge Secure Web Gateway), tecnologia que provê melhor performance, escalabilidade e segurança para a rede e SDWAN. Do lado da cyber segurança, a arquitetura SASE inclui FWaaS – Firewall as a service, com ênfase nos recursos de filtro de conteúdo Web, IPS (Intrusion Prevention System) e antimalware. O SASE tem de suportar, também, o ZTNA, Zero Trust Networking Access, acessos Zero Trust à rede.
Em alguns casos, é importante estudar, ainda, a inclusão de recursos de CASB (Cloud Access Security Broker) e DLP (Data Loss Prevention) nessa configuração. O CASB explora recursos de IA para, por meio do uso de APIs, proteger as informações corporativas trafegadas ou armazenadas em soluções SaaS. O DLP, por outro lado, destaca-se por sua capacidade de detectar ameaças e evitar o vazamento de dados críticos. A adoção de CASB e DLP no SASE é uma estratégia indicada no caso de empresas usuárias de grandes plataformas na nuvem como Office 365, GoogleDocs e SalesForce.
O SASE nada mais é do que um broker que concentra serviços de segurança em todos os ambientes da nuvem, seja na borda da rede (o Edge), seja em localidades mais centrais. O critério correto para implementar o SASE não é o quão distante o ponto de acesso está dos headquarters da empresa.
O caso de uso que justifica o SASE é reconhecer que a mobilidade nunca foi tão necessária, e que, através dessa mobilidade, dados críticos estão navegando na nuvem. Isso exige que se leve segurança para pontos que, antes, eram vistos como secundários em demandas de segurança e rede.
O modo como o SASE será implementado na empresa é crítico para o sucesso do projeto.
Trata-se de uma arquitetura sofisticada, que interliga intimamente tecnologias de networking e de segurança digital que, até agora, eram projetadas, implementadas e gerenciadas de modo estanque. Todo projeto SASE aproxima os times de infraestrutura e de segurança, exigindo a criação de comitês multidisciplinares e troca de experiências críticas para o sucesso da empreitada.
É recomendável que a adoção do SASE aconteça em fases, começando com as soluções de acesso seguro à nuvem e, conforme o contexto, avancem num segundo momento para a implementação dos recursos CASB e DLP. Numa etapa posterior seriam equacionados os requisitos de governança, algo muito estratégico num momento em que o mercado se prepara para o início da fiscalização das empresas em relação à conformidade à LGPD.
O caminho da adoção do SASE traz alguns desafios.
– Serviços inconsistentes: é o que acontece quando a empresa usuária do SASE não entrega, aos seus usuários, os serviços digitais que eles necessitam para realizar suas atividades. A origem dessa falha diz respeito a problemas no mapeamento de direitos e bloqueios de acesso dos usuários. O SASE é, por princípio, baseado em políticas de acesso. Se a implementação acontecer seguindo as configurações padrão da arquitetura, alguns colaboradores da empresa usuária poderão ficar sem acesso a recursos críticos para seu trabalho. Para evitar isso, é aconselhável que a plataforma SASE inclua recursos de gestão de identidade do usuário na nuvem.
– Dificuldade de gerenciamento: isso acontece quando a empresa usuária opta pelo SASE construído no formato de uma colcha de retalhos, com, por exemplo, um Firewall as a service de um fornecedor e o DLP de outro. A arquitetura SASE reúne várias camadas de segurança com funções específicas, mas que, ao final do dia, atuam de forma integrada para garantir a segurança do acesso à nuvem. A dificuldade em ganhar visibilidade sobre todos os elementos do SASE e identificar, por exemplo, pontos de falha, acaba levando a empresa usuária a ter de dispender muito tempo e energia com a gestão dessa tecnologia. Quem escolher uma plataforma SASE de um único fornecedor terá acesso a uma visão de gerenciamento centralizada e integrada.
– Alta latência: esse desafio está diretamente ligado ao DNA híbrido do SASE, com componentes que endereçam a infraestrutura de rede e a segurança do acesso à nuvem. No mundo pós-pandemia, conexão é tudo – sejam links múltiplos à disposição dos headquarters, sejam serviços de internet de baixa banda contratados pelo trabalhador em Home Office. A solução para esse desafio é, desde a fase do projeto, identificar os gaps da rede, desenhando caminhos para padronizar ao máximo a velocidade da conexão de cada usuário à nuvem.
Na jornada em direção ao SASE, é fundamental contar com o apoio de um parceiro de serviços que traga em seu curriculum projetos bem-sucedidos.
O time dessa consultoria – com profissionais treinados e certificados nas tecnologias que compõem a arquitetura SASE – deve mesclar conhecimentos de negócios e da cultura da organização que caminha em direção ao SASE com informações sobre tecnologias de segurança e de networking, além de detalhes do funcionamento das principais nuvens. Como tudo que diz respeito à nuvem, o SASE é uma arquitetura fluida e em constante transformação, que demanda contínuos investimentos em treinamento e certificação dos experts nessa área.
Em 2021, veremos as empresas que adotarem simultaneamente a nuvem e o SASE avançarem como nunca, tornando-se benchmarks em suas verticais. A solidez desta arquitetura garante que a gestão de segurança de todos os pontos de acesso à nuvem será feita a partir das políticas da empresa, algo estreitamente ligado à lógica dos negócios. Estudar o que o SASE agrega à economia digital brasileira é, portanto, urgente.
*Fernando Freitas é Cybersecurity Technical Director da Cyberone.