O Secure Access Service Edge (SASE) está rapidamente tomando conta do setor de segurança de rede. De acordo com o Gartner, “até 2024, a maioria das empresas de médio e grande porte preferirá um modelo de entrega de nuvem baseado em assinatura para rede e segurança.”
Além da rede como serviço, o SASE incorpora o melhor da tecnologia de segurança de rede atual, para proteger o acesso a aplicativos baseados em nuvem (CASB), impor acesso Zero Trust a aplicativos corporativos (ZTNA), conexões seguras. FWaaS para segurança SD-WAN e acesso seguro à Internet (SWG), tudo em um único guarda-chuva.
O SASE promete simplificar radicalmente a segurança, criando políticas unificadas em uma solução nativa da nuvem que se adapta e escala facilmente — perfeita para a era do trabalho remoto e híbrido. Mas, na prática, pode ser difícil encontrar um roteiro e entender quais etapas seguir primeiro.
Para facilitar pense como seus aplicativos e servidores mais importantes são acessados:
Em datacenters prem-based e são frequentemente acessados remotamente;
Hospedados na nuvem pública (AWS, GCP, Azure, etc);
Exigência de acesso de terceiros, como prestadores de serviço e parceiros, então o acesso à rede Zero Trust deve estar no topo de suas prioridades.
Para certas organizações, proteger o acesso à Internet e à nuvem é uma prioridade. Conexões diretas do escritório para a Internet podem ser protegidas usando FWaaS. Os usuários remotos podem ser protegidos usando um Secure Web Gateway (SWG) entregue na nuvem.
Uma implementação completa e bem-sucedida do SASE também gira em torno de uma etapa essencial, garantir o acesso aos aplicativos. Isso pode ser alcançado com o Zero Trust Network Access (ZTNA). Uma vez que o ZTNA esteja em vigor, você pode ter certeza de que seus ativos e recursos internos mais confidenciais estão protegidos, ao serem acessados remotamente por pessoal interno ou externo e também de dispositivos BYOD e não gerenciados.
Vamos dar uma olhada no que exatamente envolve o SASE e, em seguida, ver por que a ZTNA é uma parte tão central da jornada.
O que é SASE?
O termo Secure Access Service Edge (SASE) foi cunhado pelo Gartner em 2019, à luz dos desafios da segurança moderna em um ambiente distribuído e diversificado. Ele unifica vários serviços críticos de segurança de rede com recursos para criar um modelo de acesso altamente seguro, flexível e escalável.
O SASE estende os benefícios das redes de longa distância definidas por software (SD-WAN), com desempenho de rede rápido e confiável e custos de infraestrutura mais baixo. Muitas organizações já estão usando SD-WAN para melhorar a experiência de rede de seus usuários, virtualizando caminhos em MPLS, VPN tradicional, banda larga e conexões sem fio. Além das vantagens de rede do SD-WAN, o SASE adiciona várias funções importantes de segurança:
Acesso a aplicativos corporativos: Zero Trust Network Access (ZTNA)
Acesso a aplicativos baseados em nuvem: Cloud Access Security Broker (CASB)
Acesso seguro à Internet: Secure Web Gateway (SWG)
Segurança de rede como serviço, substituindo um firewall de perímetro tradicional por um FWaaS
Embora todos esses elementos sejam importantes, o ZTNA não é apenas mais uma peça do quebra-cabeça do SASE. Para muitas organizações, é o ponto de partida para evoluir e dimensionar sua segurança de rede para atender ao novo perímetro, definido pela necessidade de agilidade, nuvem, trabalho remoto e BYOD.
Onde o Zero Trust se encaixa?
Zero Trust Network Access (ZTNA), como o nome sugere, remove a confiança implícita de sua rede, portanto, nenhuma conexão ou tentativa de acesso é confiável por padrão. Em vez disso, a ZTNA cria confiança explícita em pessoas, dispositivos, ativos e dados onde quer que estejam. Com o acesso Zero Trust, apenas o usuário certo, no contexto certo, recebe o acesso aos recursos certos, na função certa.
Com a segurança tradicional baseada em perímetro, uma vez que os usuários são autenticados, eles geralmente podem fazer roaming livremente na rede e há pouco controle granular sobre suas ações. Esse tipo de configuração tornou-se cada vez mais difícil de manter com funcionários, terceiros e outros fazendo login remotamente e acessando uma variedade de dados e aplicativos, no local, em nuvens híbridas e multinuvem.
Simplificando: no ambiente de segurança de TI atual, uma infraestrutura baseada em VPN que oferece amplas permissões de acesso não é suficiente. Tampouco é uma estratégia de segurança que se baseia apenas em controles de acesso, como nome de usuário e senha.
Com um modelo ZTNA, todas as etapas da sessão de um usuário são verificadas, tanto pré-login quanto pós-login. A princípio, um usuário é autenticado, usando um provedor de identidade atual ou IdP, como Okta, OneLogin, Ping, etc. Após a autenticação bem-sucedida no serviço, a sessão do usuário é monitorada pelo agente de segurança, por exemplo um serviço ZTNA baseado em nuvem por meio do qual todo o tráfego é roteado e inspecionado, permitindo a aplicação de políticas durante a sessão do aplicativo com controles granulares no aplicativo no nível de comando e consulta. Isso também permite a gravação de sessão e encerramento em tempo real após ações não autorizadas no acesso SSH do administrador a terminais e acesso DevOps a ambientes de produção.
VEJA TAMBÉM: As 10 principais etapas da Segurança Cibernética
Removendo a confiança implícita
A suposição central do ZTNA é que toda interação deve ser verificada antes de conceder acesso. A ZTNA também incorpora o princípio de privilégio mínimo, o que significa que os usuários obtêm acesso apenas aos recursos de que precisam para fins comerciais. Isso cria um nível mais alto de segurança em toda a organização e seus ativos digitais.
Com o plano de identidade autenticando usuários e o plano de dados protegendo o fluxo de tráfego do indivíduo para o datacenter ou nuvem, a confiança zero (Zero Trust) verdadeira é mantida e os riscos da camada de rede são eliminados, incluindo o risco de movimento lateral.
O princípio de acesso de privilégio mínimo implementado por uma arquitetura Zero Trust é o motivo pelo qual as empresas que consideram um modelo SASE geralmente encontram no ZTNA um ponto de partida lógico.
Endpoint versus Zero Trust iniciado pelo serviço
Com uma arquitetura Zero Trust iniciada por serviço, nenhum agente é necessário. No domínio do Zero Trust Network Access, o Zero Trust pode ser iniciado pelo terminal ou iniciado pelo serviço. As conexões iniciadas pelo endpoint dependem de um cliente instalado no dispositivo do usuário para oferecer informações de autenticação e autorização ao agente confiável baseado em nuvem. Conforme explicado pela Tech Target, “uma arquitetura iniciada por serviço usa um dispositivo conector para iniciar uma conexão de saída com a nuvem do provedor ZTNA, onde as credenciais de identidade e os requisitos de contexto são avaliados, eliminando a necessidade de um agente de software de endpoint”.
Ao implantar um único conector para cada datacenter, segmento de rede ou nuvem privada virtual (VPC), todas as tentativas de acesso aos recursos por trás do conector são verificadas e controladas pelo agente de confiança da nuvem.
Outro ponto é que o Zero Trust iniciado pelo serviço faz uso do que é chamado de port-knocking ou autorização de pacote único. Conforme explicado pela Network World, “um método alternativo chamado autorização de pacote único ou porta knocking usa o navegador ou aplicativo do cliente para enviar um conjunto de pacotes para o controlador de perímetro definido por software (SDP) que identifica o usuário e seu dispositivo”, com o Controlador SDP referente ao plano de identidade.
O Zero Trust iniciado pelo serviço significa que as sobrecargas relacionadas à instalação e manutenção de agentes são eliminadas para os administradores, enquanto os usuários são poupados do barulho da sincronização do cliente e dos problemas de autenticação.
Não menos importante, o Zero Trust iniciado pelo serviço é a melhor escolha para uma experiência de usuário sem atritos. Isso ocorre porque qualquer navegador, em qualquer dispositivo, pode ser usado, para que terceiros contratados e parceiros possam acessar com segurança portais e aplicativos confidenciais de seus próprios dispositivos, e os funcionários podem optar por trabalhar com BYOD ou dispositivos da empresa.
Como funciona o ZTNA?
O ZTNA funciona da seguinte forma:
Primeiro, o usuário se autentica no plano de controle. O plano de controle (também conhecido como controlador de serviço) verifica a identidade do usuário com base em vários atributos, por exemplo, autenticação multifator, endereço IP, dispositivo e localização.
Isso também pode ser concluído usando um provedor de identidade integrado (IdP).
Após a autenticação, o plano de controle abre um portal de usuário de logon único mostrando os aplicativos que o usuário está autorizado a acessar.
Quando o usuário clica em um aplicativo autorizado, a solicitação passa pelo gateway (que controla o plano de dados).
O gateway retorna o aplicativo autorizado. Se a solicitação não for autorizada, ela será bloqueada no nível do gateway.
O controlador e o gateway estão em constante comunicação para que qualquer alteração nas permissões se propague em tempo real. As permissões no aplicativo e no nível do aplicativo são aplicadas dinamicamente à medida que as políticas mudam de um minuto para o outro.
Benefícios do acesso à rede Zero Trust
Os benefícios imediatos da implementação do ZTNA incluem:
Superfície de ataque reduzida para seus recursos corporativos no local e na nuvem pública com acesso de camada de aplicativo com privilégios mínimos, removendo riscos no nível da rede.
Melhor experiência do usuário graças ao acesso sem cliente (que não requer a instalação de um agente), logon único (SSO) e suporte BYOD para funcionários e terceiros.
Implementação rápida à medida que o serviço é implementado com sua infraestrutura atual (nenhum hardware é necessário e nenhum agente é instalado).
Escalabilidade instantânea graças à arquitetura nativa da nuvem.
Visibilidade total da atividade do usuário, incluindo auditoria e gravações de sessão.
Controles granulares de política no aplicativo com aplicação em tempo real.
Embora o ZTNA seja certamente atraente, há também a percepção de que, com os orçamentos e o pessoal do departamento de TI esticados ao limite, é muito complicado e demorado para implementar imediatamente. Mas quando implementado corretamente, o ZTNA começará a aliviar a carga quase imediatamente, permitindo um ROI muito bom.
O ZTNA pode reduzir quase que imediatamente os gastos de capital e operacionais (CAPEX e OPEX); tornar a conformidade regulatória muito mais simples para as indústrias que lidam com dados confidenciais; e incentivar a criação de políticas de acesso universal para melhor proteger toda a organização.
Dando o primeiro passo
Com as ferramentas certas, ZTNA não precisa ser difícil de implementar. O Harmony Connect oferece uma solução ZTNA que pode ser implementada facilmente em toda a sua organização:
Implementação rápida: configuração em cinco minutos, proporcionando escalabilidade imediata e alta disponibilidade de nuvem
Acesso rápido: suporte sem dor de cabeça para usuários e terceiros, com uma arquitetura sem cliente fácil de implementar
Gerenciamento simples: visibilidade clara do tráfego de rede e controle granular no aplicativo, comando e nível de consulta, trilha de auditoria completa e segmentação personalizável ao minuto
Quando você estiver pronto para uma solução de segurança moderna que simplifica a jornada da sua organização para o SASE, o Harmony Connect é um primeiro passo lógico.
Fonte: Check Point
Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.
