SASE (Sassy) para os íntimos
O ano de 2020 nos brindou com uma nova sopa de letrinhas, SASE, acrônimo para Secure Access Service Edge, e que se pronuncia em inglês como “Sassy”. Mas é preciso mais do que a pronúncia para ser íntimo dele, pois o nome, que em tradução livre é “serviço de acesso seguro ao perímetro” não quer dizer muita coisa. O nome não muito claro, apesar de sonoro, irá causar como de costume bastante confusão no mercado, sobre o que é e o que não é, e se é uma necessidade urgente, que exige a atualização dos produtos de segurança da empresa. O primeiro passo é mergulhar e entender o conceito, e o caminho sãos os documentos do Gartner que o definiram: The Future of Network Security Is in the Cloud, de 30 August 2019; e Emerging Technology Analysis: SASE Poised to Cause Evolution of Network Security, publicado em 22 de outubro de 2019.
Mas há ainda um passo antes, muito importante. O Gartner, em seus documentos, não criou nenhuma nova tecnologia, e sim identificou uma tendência incipiente no mercado e a definiu. Não é algo pronto, que já exista e que que esteja totalmente pronto e acabado. É uma tendência, surgida de uma necessidade, fruto da evolução da TI e de seu caminho em direção à nuvem, e que, portanto, poderá mudar ao longo do tempo até ser finalmente implementada. Esse ponto nos leva à uma conclusão inicial, não menos importante: nenhum fabricante atualmente fornece uma solução que seja 100% aderente o modelo proposto. Até porque, como todos os outros modelos tecnológicos definidos pelo Gartner, esse é também amplo e genérico, como um consolidado que as empresas estão buscando e que o instituto acredita ser importante.
A base do SASE é, como comentei acima, a caminhada firme da TI em direção à nuvem. Nas palavras do Gartner, em tradução minha: “A transformação digital, adoção da nuvem, computação de borda (edge computing) e dispositivos móveis significam que os modelos de segurança de rede baseados em dispositivos (projetados originalmente para proteger arquiteturas locais) estão sendo substituídos”. Acho um pouco precipitado usar o verbo no presente, mas sem dúvida é um processo sem volta para o futuro. É também algo até natural, pois os dispositivos de segurança precisam acompanhar o ambiente de TI. Se este muda, a segurança precisa mudar também. Mas isso também significa que empresas que estão ainda distantes em sua transformação digital podem esperar para mover sua segurança para a nuvem, ou, fazer o movimento em fases, como irem comentar mais a frente, acompanhando a própria evolução da tecnologia.
O Gartner também estabeleceu alguns requerimentos. A começar pelo modelo de precificação, como serviço, com contratação sob demanda. Já alguns dos requerimentos técnicos:
– Baseado em identidade e não em endereço IP. Nem poderia ser diferente. Seria um absurdo falar, em 2020, de políticas de acesso baseadas em IP. Neste ponto introduzimos zero-trust, nativamente concebido para estar centrado na pessoa, assim como serviços de rede por microsegmentação. Ambas tecnologias já maduras e já em uso por muitas empresas.
– Arquitetura nativa em rede. O Gartner acredita que somente uma arquitetura nativa de rede poderá atender a todos os requisitos como elasticidade, flexibilidade e auto recuperação, entre outros. Eu concordo. Réplicas virtuais de produtos como firewall e IPS existem há muito tempo, mas não é por serem virtuais que podem entregar todos os requerimentos. É realmente necessária uma plataforma desenvolvida para a nuvem.
– Suporte a todos os tipos de perímetro. A tradução do termo em inglês não ficou muito boa, em inglês também soa estranho. Mas aqui significa que uma mesma rede poderá atender à escritórios remotos, usuários moveis em qualquer dispositivo e redes corporativas, sem se limitar a estes tipos. Não importa como a empresa ou usuário esteja conectado, eles terão que ser atendidos pela nuvem.
– Distribuição geográfica. Como o propósito é atender plenamente ao usuário onde quer que ele esteja, o serviço requer ampla distribuição geográfica, de preferência global.
O caminho inicial para o SASE pode estar nas redes SD-WAN, já que este está se tornando um padrão para a conexão de escritórios remotos. Hoje, os equipamentos mais modernos de SD-WAN incorporam serviços de segurança, o que acaba por encarecer a solução e limita a incorporação de novas (e necessárias) funcionalidades. Qual então a solução para o imbróglio? Mover todas ou parte das funcionalidades de segurança para a nuvem, e aqui temos parte do conceito de SASE implementado, em rede. Na Cisco temos o serviço do Secure Internet Gateway (SIG), provido pelo fácil, flexível, escalável e de baixa latência Umbrella, que integra nativamente com a solução de SD-WAN.
Um segundo ponto de entrada, não necessariamente após o anterior, pois pode ser adotado em paralelo é o de zero-trust. Aqui o desafio é que muitas empresas ainda não estão preparadas para isso, e preferem ficar no seu ponto mais básico, que é a autenticação com duplo fator. Eu não discordo dessa abordagem, mas o ideal é que a solução de duplo fator possa evoluir naturalmente para zero-trust, sem exigir troca de tecnologia. Esse processo em fases pode ser implementado com o DUO, totalmente nativo em nuvem, cuja passagem de um estágio para outro requer apenas ativação de serviços.
E aqui temos o essencial dessa jornada. Fazê-la junto com a transformação digital da empresa, no mesmo ritmo da transformação de TI, adotando serviços nativos em nuvem e que possam evoluir naturalmente.
Para saber mais sobre as ofertas da Cisco na nuvem, acesse aqui. Experimente as soluções gratuitas, neste link.
Tags: