Você já ouviu falar de SASE?

SASE, muito prazer! Para que não conhece, é um conceito concebido pelo em 2019 com uma nova abordagem para conexão e segurança nas redes. O relatório da firma de analistas descreve um conjunto de tecnologias  batizado de Secure Access Service Edge (SASE) que visa atender às demandas dinâmicas de acesso seguro das organizações em um mundo que está cada vez mais nas nuvens (sem trocadilhos, por favor).

Segundo o Gartner, o crescimento dos negócios digitais, a adoção de serviços baseados na nuvem e  o surgimento de plataformas de edge computing acabaram por inverter as demandas de acesso, com mais usuários, dispositivos, aplicações, serviços e dados agora ficando localizados mais fora do que dentro dos ambientes corporativos. Qual é a solução para acompanhar essa tendência? Como sugere o próprio título do relatório, o futuro da segurança das redes está na nuvem (The future of network security is in the cloud) –  e baseado no modelo SASE. A ideia é fornecer uma pilha de controle de acesso e segurança para redes a partir da própria nuvem.

Muitas tecnologias atuais não foram desenvolvidas para lidar com todos os tipos de tráfego ou ameaças de cibersegurança. O resultado é que muitos ambientes de TI são obrigados a adotar soluções específicas para cada tipo de demanda, como firewalls, VPNs e SD-WANs (Software-Defined Wide Area Networks, usada para criar WANs de alto desempenho por meio conexões de baixo custo). Além disso, as empresas se vem em uma encruzilhada, tendo que escolher entre desempenho, segurança e redução de custos.

A abordagem SASE combina recursos WAN com funções de segurança de rede, como SWG (Secure Web GatewaY), CASB (Cloud Access Security Broker), FWaaS (Firewall as a Service) e ZTNA (Zero Trust Network Access; “nunca confie, sempre verifique), entre outras. Pode ser vista como a convergência entre diferentes métodos de acesso e funções de segurança para redes.

Por que SASE é diferente?

Esse conceito se baseia em uma arquitetura na nuvem que permite garantir acesso seguro, independentemente de onde usuários, aplicações ou dispositivos estejam localizados. Concentra-se no usuário e não nos mecanismos de conexão e proteção.

O modelo SASE pretende eliminar o malabarismo que, no cenário atual, é necessário fazer para rotear o tráfego de e para os data centers corporativos quando muito pouco do que o usuário precisa ainda está nesses data centers. Em vez de forçar o tráfego na direção dos mecanismos de inspeção nesses centros, o SaSE oferece, a partir da nuvem, esses mecanismos para usuários, dispositivos, aplicações ou serviços – que podemos chamar de entidades.

A identidade dessas entidades é uma das partes mais significativas nesse contexto. No entanto, existem outras informações relevantes devem ser conhecidos, como localização da identidade, horário, avaliação de risco ou confiança do dispositivo do usuário e criticidade da aplicação ou dados. Com base nesses critérios, é possível escolher as tecnologias disponíveis na pilha SASE que devem ser aplicadas em cada situação.

Abaixo está ilustrada a aplicação dinâmica da pilha de tecnologias SASE para três entidades fictícias:

1. Primeira entidade
   Perfil: Profissional de uma empresa terceirizada que precisa ter acesso via Web a uma aplicação corporativa hospedada em um data center do cliente usando um dispositivo não gerenciado;
   
   Tecnologias aplicadas a partir da pilha: Acesso do tipo ZTNA a locais específicos; proteção contra ataques usando serviços WAAP (Web Application and API Protection); monitoramento para evitar perda de dados confidenciais inspecionando o tráfego criptografado.
   
2. Segunda entidade
   Perfil: Profissional de vendas que precisa acessar um sistema CRM usando Wi-Fi do aeroporto, enquanto também navega pela Internet, usando um dispositivo gerenciado;
   
   Tecnologias aplicadas a partir da pilha: Conexão otimizada por QoS – que controla e gerencia recursos de rede, definindo prioridades por tipos de dados -; SaaS Accelerator com DLP (Data Loss Prevention – prevenção contra perda de dados); inspeção de malware; UEBA (User and Entity Behavior Analytics – análise de comportamento de usuários e entidades); proteção para Wi-Fi; proteção SWG (Secure Web Gateway) com DLP para navegação na Internet.
   
3. Terceira entidade
   Perfil: Conjunto de turbinas eólicas que precisa de rede baseada em edge computing, acesso para análise dos dados coletados por sensores e meios para transmitir os resultados para AWS, sem informações da localização das turbinas;
   
   Tecnologias aplicadas a partir da pilha: Acesso do tipo ZTNA de baixa latência que ocultando os endereços IP e estabelece uma conexão criptografada com AWS menos sensível à latência com proteção para APIs; FWaaS para proteger o ambiente de edge computing é protegida contra ataques;

O que vai mudar entre essas entidades descritas como exemplos e qualquer outra situação é a política de acesso serguro que será aplicada.

Benefícios

O modelo SASE vai prover um conjunto de serviços de acesso e segurança para redes de maneira consistente e integrada. Como isso, poderá proporcionar os seguintes benefícios:

1. Flexibilidade: Por ser baseada na nuvem, a arquitetura SASE pode oferecer – sob demanda, de modo fácil e rápido – serviços de acesso, como roteamento e caching, e de segurança, como prevenção contra ameaças, filtragem, sandboxing, proteção contra de perda de dados e políticas de última geração.
   
2. Redução de custos e de complexidades: Ao contratar serviços de acesso seguro de provedores responsáveis pelas pilhas SASE, por meio do modelo de assinatura típico da nuvem, é possível reduzir os custos tanto de aquisição quanto de manutenção de ativos TI e as respectivas complexidades de administração de equipes e ambientes.
   
3. Melhores desempenho e latência: Os principais fornecedores SASE disputarão a atenção de usuários que trabalham com aplicações críticas em termos de desempenho e latência, como videoconferência, ferramentas de colaboração e streaming de vídeo. Para esse tipo de uso, o fluxo de dados poderá ser roteado para estruturas com maior largura de banda, dispensando os usuários da preocupação com esses requisitos.
   
4. Mais segurança e mobilidade: A arquitetura SASE poderá prover acesso consistente, rápido e seguro a qualquer recurso de qualquer entidade em qualquer local.
   
5. Recursos de acesso e segurança sempre atualizados: Os mecanismos de proteção podem evoluir à medidas que mais e novas ameaça surgirem, sem dores de cabeça relacionadas à capacidade de hardware ou aquisição de ferramentas com mais funcionalidades. Além disso, os fornecedores SASE sempre poderão colocar à disposição, em suas pilhas, as tecnologias mais recentes e inovadoras.

Nem tudo são flores

Na visão do Gartner, SASE será tão disruptivo para as arquiteturas de acesso e segurança de redes quanto o IaaS (Infrastructure as a Service) foi para o design de data centers, reduzindo a aquisição de hardware e sofware e complexidades associadas e permitindo acesso seguro independentemente de onde usuários e dispositivos estejam. No entanto, há quem pense diferente.

Uma linha de pensamento afirma que SASE não parece ser um novo mercado, muito menos uma nova tecnologia ou produto. Além disso, é improvável que a maioria das empresas queira comprar tudo de um único fornecedor. Já a firme de pesquis e consultoria IDC, conforme destacado no relatório Five Key Enterprise Networking Trends to Watch in 2020, acredita que o SD-Branch, (filial definida por sofware, em uma tradução livre) será a evolução natural da SD-WAN, podendo ser considerada uma extensão com recursos para outros aspectos das redes. O SD-Branch, por exemplo, permitirá implantar versões baseadas em software de equipamentos como roteadores, switches e firewalls, mas há desafios relaciomados aos encadeamento dessas aplicações. O próprio relatório do Gartner alerta que a prática de encandamento deverá ser evitada quando se trata de SASE.

Perspectivas e cuidados na adoção

Algumas das primeiras empresas a embarcar no mercado de provedores SASE foram Cato Networks, Infoblox e Palo Alto Networks. A VMware também afirmou em 2019 que seu VeloCloud SD-WAN também passaria a ser uma plataforma SASE. Mais players entraram em campo ao longo dos meses. A Cisco, apesar de ser um nome de peso no universo da TI e ter expertise tanto em redes quanto em segurança,  demorou um pouco mais para demonstrar suas ambições no mercado SASE, fazendo isso apenas em meados de 2020.

As atuais perpectivas são de expansão desse cenário que combina as indústrias de segurança e de consolidação de fornecedores.  A afirmação é do 650 Group, que divulgou um relatório em fevereiro de 2021, destacando que esse mercado deve crescer cinco vezes entre de 2020 a 2025. Outro estudo liberado em outubro de 2020, este do Dell’Oro Group, também fez previsões de crescimento, apontando uma taxa composta anual de 116% nos entre 2019 e 2024, atingindo o valor de US$ 5,1 bilhões ao final desse período.

Do lado dos clientes,  a previsão do Gartner é que, até 2024, pelo menos 40% das empresas terão estratégias explícitas para adotar o SASE, em comparação com a parcela de menos de 1% no final do ano de 2018.

O Gartner recomenda cautela para quem deseja avançar nesse caminho. Muitas empresas mantêm equipes diferentes para assuntos relacionados a redes e à segurança da informação. Cada uma pode impor restrições à adoção do conceito SASE ou, por outro lado, querer assumir a frente para gerenciar essa nova arquitetura. Para resolver isso, a iniciativa dever ter uma proposta de valor que inclua os diferentes silos conduzida por profissionais dos níveis de CISO e CIO.