SASE vs. zero trust: compreendendo as diferenças essenciais

Por que SASE e zero trust são importantes

SASE e zero trust existem devido às deficiências dos métodos tradicionais de segurança e conectividade. Em particular, essas estratégias mais antigas não foram projetadas para fornecer conectividade segura entre aplicativos baseados na nuvem e usuários remotos.

O problema é principalmente de evolução e escala. As organizações costumavam operar com seus funcionários em sua maioria no escritório, acessando aplicativos e dados no data center do escritório. Fazia sentido, nesse caso, que a conectividade e a segurança fossem fornecidas no data center, e que os poucos funcionários que viajavam ou trabalhavam em outros lugares usassem uma VPN que roteasse seu tráfego para o data center.

Hoje, no entanto, na era da nuvem e do trabalho remoto, geralmente há mais atividades fora do escritório do que dentro dele. Usuários, dados, dispositivos e aplicativos podem estar em qualquer lugar. Tentar forçar a adaptação de métodos tradicionais de fornecimento de segurança e conectividade no data center significa redirecionar tráfego de todo o mundo para locais centralizados. Aderir a uma arquitetura centrada em rede dessa maneira aumenta o risco cibernético e adiciona latência, prejudicando a experiência de usuário.

À medida que o trabalho remoto e a adoção da nuvem crescem, a SASE e o zero trust estão transformando as maneiras como as organizações fornecem segurança e conectividade em ambientes descentralizados.

O que é Zero Trust?

O zero trust é uma arquitetura baseada em uma premissa fundamental: "nunca confie, sempre verifique". Ele não estende a confiança a nenhuma entidade (ou seja, usuário, carga de trabalho ou dispositivo conectado) por padrão. Em vez disso, ele faz proxy do tráfego e verifica continuamente qualquer entidade com base no contexto e no risco antes de permitir o acesso.

Em vez de conectar entidades a uma rede confiável para acesso a recursos de TI, a arquitetura zero trust conecta as entidades diretamente aos recursos, sem estender o acesso à rede a ninguém ou a nada. Em outras palavras, ela aplica uma uma microssegmentação altamente granular. Essa comunicação zero trust é fornecida como um serviço, na borda, a partir de uma nuvem global e especialmente desenvolvida.

Uma arquitetura zero trust permite que as organizações superem os riscos das arquiteturas centradas em rede para:

• Minimizar a superfície de ataque, eliminando endereços IP públicos e conexões de entrada
• Impedir comprometimentos, inspecionando todo o tráfego (mesmo em TLS/SSL) e aplicar políticas em tempo real
• Evitar a movimentação lateral de ameaças na rede por meio de conectividade direta aos aplicativos
• Bloquear a perda de dados em qualquer canal de vazamento, incluindo web, SaaS, terminais e outros

O que é SASE?

Secure Access Service Edge (SASE) é um paradigma de rede e segurança que combina a funcionalidade da rede de longa distância definida por software (SD-WAN) com a Security Service Edge (SSE) para criar uma plataforma consolidada de soluções:

• SD-WAN para conectar locais em todo o globo e rotear dinamicamente o tráfego de rede
• Secure Web Gateway (SWG) para filtrar e proteger o tráfego web
• Acesso à rede zero trust (ZTNA) para proteger o acesso a aplicativos privados
• Agente de segurança de acesso à nuvem (CASB) para monitorar e controlar o uso de SaaS
• Prevenção contra perda de dados (DLP) para proteger o acesso a dados sigilosos
• Firewall como serviço (FWaaS) para inspecionar outros tipos de tráfego e reforçar a prevenção de ameaças

Zero trust e SASE: semelhanças e diferenças

Zero trust e SASE compartilham objetivos como melhorar a segurança, aprimorar as experiências de usuário e reduzir a complexidade. A diferença está na forma como eles fornecem conectividade e reduzem riscos. Ao desvincular a segurança e a conectividade do acesso à rede, o zero trust supera os desafios vinculados às arquiteturas centradas na rede e baseadas em perímetro, das quais a maioria das soluções de SASE ainda depende.

Esta tabela detalha algumas das principais diferenças entre zero trust e SASE:

SASE vs. zero trust: duas questões críticas

Discutimos como SASE e zero trust se sobrepõem. Ambas tecnologias visam ajudar as organizações a adotar facetas do trabalho moderno, como trabalho remoto e aplicativos na nuvem, de forma mais eficaz. Ambas consolidam a segurança e a conectividade disponibilizadas na borda. A principal distinção entre SASE e zero trust, no entanto, reside em duas questões:

1. Conectividade segura para quê?
2. Conectividade segura com o quê?

Conectividade segura para quê?
A SASE se concentra principalmente na proteção do acesso para equipes de trabalho, pois foi inicialmente desenvolvida com base em três soluções principais focadas na proteção de usuários: SWG, CASB e ZTNA. Com essas soluções como a base da SASE, os desenvolvimentos da estrutura permaneceram centrados nos usuários.

A arquitetura zero trust, por outro lado, visa proteger o acesso em todo o ecossistema de TI de uma organização. Ela pode proteger qualquer entidade, entre equipes de trabalho (usuários, prestadores de serviço e parceiros B2B), nuvens (cargas de trabalho em diferentes nuvens públicas) e filiais (incluindo dispositivos de IoT/OT dentro delas) à medida que acessam qualquer destino. Portanto, embora o zero trust possa atender às demandas da SASE, o oposto pode não ser verdadeiro.

Conectividade segura com o quê?
A SASE geralmente conecta usuários à rede para oferecer acesso a aplicativos também conectados a ela. Embora ela possa fornecer essa conectividade via SD-WAN, isso ainda equivale a uma arquitetura centrada na rede que opera com base em locais confiáveis, o que está em desacordo com os princípios de zero trust.

Além disso, a maioria das soluções de SD-WAN oferecidas pela SASE dependem de firewalls em cada local para segurança, o que também não está de acordo com princípios de zero trust. Até mesmo o ZTNA, nominalmente uma solução “zero trust”, geralmente funciona conectando usuários a uma rede roteável para estender o acesso a aplicativos privados.

A maioria das ofertas de SASE, apesar de seu posicionamento como estruturas modernas, herdam as deficiências das arquiteturas tradicionais centradas na rede:

• Elas expandem a superfície de ataque expondo endereços IP públicos, que são vulneráveis à descoberta por criminosos cibernéticos e permitem conexões de rede de entrada.
• Elas não conseguem impedir o comprometimento, dependendo de firewalls (como dispositivos virtuais ou de hardware) que têm dificuldade para inspecionar e proteger o tráfego criptografado devido a limitações de expansão.
• Elas permitem a movimentação lateral de ameaças, concedendo aos usuários amplo acesso à rede em vez de limitar o acesso a aplicativos específicos.
• Elas exigem roteamento complexo entre sites, à medida que as redes crescem entre equipes de trabalho, filiais e nuvens, criando desafios administrativos e de gerenciamento.

Resumindo, confiar na SD-WAN tradicional e em outras ferramentas orientadas à rede como parte de uma implementação de SASE entra em conflito com o princípio do zero trust de acesso de privilégio mínimo entre quaisquer entidades e locais. Organizações que desejam implementar uma SASE que atenda às demandas do zero trust precisam de uma forma diferente de SD-WAN: uma SD-WAN zero trust.

SD-WAN zero trust e SASE zero trust

A SD-WAN zero trust é o tecido conjuntivo crítico que permite que uma implementação de SASE se alinhe completamente com a arquitetura zero trust. Ela supera as limitações orientadas à rede da SD-WAN e SASE tradicionais, estendendo o acesso de privilégio mínimo a usuários, dispositivos e cargas de trabalho em filiais, data centers e nuvens. E ela fornece conectividade direta ao recurso solicitado, em vez de à rede onde o recurso reside.

Benefícios da SASE e do zero trust juntos

A incorporação da SD-WAN zero trust em uma estrutura SASE completa alcança a verdadeira SASE zero trust, oferecendo:

• Segurança mais robusta: a verificação contínua e a eliminação da confiança implícita reduzem o risco cibernético entre equipes de trabalho, filiais e nuvens.
• Produtividade superior: a conectividade zero trust direta à nuvem fornece acesso rápido e seguro e experiências perfeitas para usuários distribuídos.
• Economia de custos: consolidar ferramentas de segurança e rede em uma plataforma zero trust nativa da nuvem reduz a complexidade, os custos de tecnologia e a sobrecarga.

Construa um futuro seguro com a SASE zero trust da Zscaler

A SASE da Zscaler com tecnologia de IA foi desenvolvida do zero para oferecer segurança, desempenho e capacidade de dimensionamento. Com mais de 160 data centers globais processando mais de 500 bilhões de transações diariamente e estabelecendo conexões com centenas de parceiros nos principais pontos de troca de tráfego do mundo todo, a Zscaler oferece uma solução de zero trust incomparável em todos os lugares.

• Arquitetura que prioriza a nuvem: consolide e simplifique a TI para acelerar a adoção da nuvem, aprimorar as experiências de usuário e oferecer padronização em todos os locais.
• Inspeção completa de TLS/SSL em linha: forneça proteção abrangente contra ameaças e prevenção contra perda de dados para 100% do tráfego, com uma arquitetura de proxy com tecnologia de IA.
• Otimização de desempenho: otimize o roteamento do tráfego por meio de conexões globais com os principais provedores de aplicativos e serviços para garantir experiências superiores aos usuários.
• Comunicação zero trust: conecte com segurança suas equipes de trabalho, filiais e nuvens, sem confiança implícita e sem nunca trazer entidades para dentro da sua rede.
• Superfície de ataque zero: torne os endereços IP e sua rede invisíveis para a internet e usuários não autorizados. Criminosos não podem atacar o que não conseguem ver.