O que é Security Service Edge (SSE)?

Qual é a diferença entre SASE e SSE?

O Secure Access Service Edge (SASE), introduzido pela Gartner em 2019, é a convergência de tecnologias de rede e segurança numa única plataforma fornecida pela nuvem para permitir uma transformação segura e rápida da nuvem. Nesta próxima evolução do SASE, a Gartner introduz uma abordagem de fornecedor dupla que reúne uma plataforma de infraestrutura de borda de rede de área ampla (WAN) altamente convergente juntamente com uma plataforma de segurança altamente convergente - conhecida como Security Service Edge (SSE).

Security Service Edge (SSE), é o componente de segurança do SASE que unifica todos os serviços de segurança, incluindo Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) e Zero Trust Network Access (ZTNA), para proteger o acesso à Web, aos serviços em nuvem e às aplicações privadas. A infraestrutura de borda WAN, o componente de rede na estrutura SASE, concentra-se no elemento de conetividade de rede, transformando as arquiteturas de rede para permitir uma conetividade direta à nuvem mais eficiente.

No âmbito da estrutura SASE, tanto a rede como a segurança são consumidas de forma unificada e fornecidas como um serviço na nuvem. O SSE converge com a infraestrutura de borda da WAN para obter uma plataforma SASE completa. Os serviços de segurança SSE incluem:

1. Cloud Access Security Broker (CASB)
   O CASB actua como intermediário entre os utilizadores e os fornecedores de serviços na nuvem à medida que as empresas transferem os seus activos sensíveis para a nuvem, ajudando a colmatar as lacunas na visibilidade, segurança e conformidade dos dados, alargando as políticas de segurança da infraestrutura existente no local e criando novas políticas para conteúdos específicos da nuvem. O CASB integrado num modelo SSE descobre e controla automaticamente os riscos do software como serviço (SaaS) e funciona como um processo de segurança baseado na API para analisar as aplicações SaaS em busca de dados, malware e violações de políticas, ao mesmo tempo que tira partido das capacidades de análise do comportamento do utilizador e da entidade (UEBA) e de inteligência artificial (IA) para a prevenção de ameaças em tempo real.
2. Secure Web Gateway (SWG)
   O SWG é uma barreira cibernética que actua como um ponto de controlo que impede o tráfego não autorizado de entrar na rede de uma empresa. Um SWG permite que os utilizadores acedam a sítios Web aprovados e seguros e protege os utilizadores de ameaças baseadas na Web, ligando o utilizador e o sítio Web enquanto executa funções de proteção, tais como filtragem de URL, visibilidade da Web, inspeção de conteúdos maliciosos e controlos de acesso à Web.
3. Zero Trust Network Access (ZTNA)
   O ZTNA aplica políticas granulares, adaptativas e sensíveis ao contexto para fornecer acesso seguro Zero Trust a aplicações privadas alojadas em nuvens e centros de dados empresariais a partir de qualquer localização e dispositivo remoto. O ZTNA actua como um facilitador essencial para o SASE, transformando o perímetro de segurança numa borda dinâmica, baseada em políticas e fornecida pela nuvem, para suportar os requisitos de acesso da transformação digital.
4. Data Loss Prevention (DLP)
   O DLP permite a classificação baseada em políticas do conteúdo de informação contido num objeto, normalmente um ficheiro, enquanto está armazenado, em utilização ou em movimento numa rede. As ferramentas DLP são utilizadas para aplicar estas políticas em tempo real, de modo a alargar a proteção necessária aos elementos de dados sensíveis e a limitar o acesso e os fluxos destas informações, especialmente fora da organização, conforme exigido pelas políticas da organização.
5. Remote Browser Isolation (RBI)
   O RBI é uma forma poderosa de proteção contra ameaças da Web que contém a atividade de navegação na Web dentro de um ambiente de nuvem isolado. O RBI protege os utilizadores de qualquer malware ou código malicioso que possa estar escondido num site e elimina a oportunidade de o código malicioso tocar no dispositivo do utilizador final.
6. Firewall como um serviço (FWaaS)
   O FWaaS é uma solução de firewall baseada em nuvem que protege dados e aplicativos na Internet. A SSE utiliza o FWaaS para agregar o tráfego de uma variedade de fontes, incluindo centros de dados no local, infraestrutura de nuvem, filiais e utilizadores móveis. O FWaaS também fornece aplicação consistente de políticas de segurança e aplicação de aplicações em todos os locais e utilizadores, ao mesmo tempo que fornece visibilidade e controlo completos da rede.

Como implementar e gerir o SASE?

Há duas direcções que uma empresa pode seguir para criar uma solução SASE eficaz:

1. Abordagem de um único fornecedor. Avalie e contrate uma oferta de um único fornecedor que combine uma infraestrutura de borda de WAN e uma solução de SSE. Embora essa abordagem possa satisfazer os requisitos de SASE de uma organização simplificando as operações, ela pode incluir a renúncia a recursos avançados de segurança que somente um fornecedor de SSE pode oferecer. A longo prazo, a falta de recursos avançados de segurança pode acabar sendo mais cara se for necessário adquirir soluções adicionais de fornecedores de segurança para preencher as lacunas.
2. Abordagem de dois fornecedores. Avalie e contrate uma solução de dois fornecedores que forneça a melhor solução de infraestrutura de borda de WAN e solução de segurança SSE convergindo componentes CASB, SWG, ZTNA, RBI e FWaaS em uma oferta integrada. Essa abordagem de dois fornecedores simplifica e agiliza a implantação, o gerenciamento e a manutenção do sistema a longo prazo.

Quais são as vantagens da ESS?

Com o aumento das exigências de uma força de trabalho e de uma base de clientes remotas, as empresas têm-se debatido com o desafio de reduzir a complexidade da sua estratégia de segurança, melhorando simultaneamente a segurança e a experiência do utilizador. Security Service Edge As tecnologias consolidadas (SSE) provaram ser eficazes na redução da complexidade da proteção dos pontos terminais, aumentando simultaneamente a segurança dos serviços em nuvem em toda a empresa.

Uma estratégia completa de SSE oferece às empresas um conjunto abrangente de tecnologias de segurança que proporcionam benefícios aos funcionários e às partes interessadas - no local e à distância:

• Acesso direto e seguro à Internet para aplicações, ferramentas, dados e recursos a partir de qualquer parte do mundo, ao mesmo tempo que reduz o tráfego de processamento para acesso não autorizado, dados, riscos e ameaças, melhorando o tráfego de processamento para acesso não autorizado, riscos de dados e ameaças, eliminando a necessidade de encaminhar o tráfego de volta através do centro de dados
• Conectividade mais rápida, segura e eficiente para aplicações Web, na nuvem e privadas ao aceder a recursos de aplicações a partir de qualquer utilizador, qualquer dispositivo, em qualquer lugar
• Monitorização e acompanhamento do comportamento dos utilizadores que acedem à rede
• Defesa contra ameaças dentro da nuvem e a partir de qualquer destino da Web, detectando ataques nativos da nuvem e malware avançado
• Proteção de dados através da Internet, dentro da nuvem e passando de nuvem para nuvem
• Permitir o acesso seguro Zero Trust a dados e aplicações com base na identidade do utilizador, no contexto e no acesso menos privilegiado

Quais são os principais desafios que a SSE enfrenta?

A SSE aborda os desafios de segurança fundamentais do trabalho remoto, da capacitação de negócios digitais e da transformação da nuvem. À medida que a adoção de SaaS, PaaS e IaaS cresce, há mais dados fora do centro de dados, os utilizadores trabalham cada vez mais remotamente e as VPNs são lentas e muitas vezes facilmente exploradas. Tudo isto é difícil de proteger utilizando arquitecturas de rede antigas.

A SSE ajuda as organizações a abordar os principais casos de utilização:

1. Simplificar a administração e a gestão dos controlos de segurança.
   As organizações têm de administrar a nuvem e o local com uma manta de retalhos de controlos de segurança diferentes e díspares que variam entre fornecedores de nuvem e infra-estruturas no local. O SSE ajuda a reduzir os custos e a complexidade, permitindo a adoção e a implementação simplificadas de políticas em ambientes de trabalho locais, na nuvem e remotos.
2. Substituir as VPNs para proteger os trabalhadores remotos que acedem a aplicações privadas.
   As empresas devem implementar uma solução mais segura para se protegerem contra o rápido aumento de trabalhadores remotos que acedem a aplicações privadas em ambientes altamente vulneráveis. As VPNs apresentam um risco de segurança inerente, pois concedem implicitamente acesso irrestrito baseado em confiança a toda a rede corporativa após a autenticação. A capacidade ZTNA da SSE ajuda a fornecer acesso granular a recursos, permitindo os níveis de acesso adequados a qualquer utilizador, em qualquer lugar.
3. Prevenir o malware avançado e o ransomware para proteger os utilizadores da Web.
   As empresas precisam de deteção e mitigação de malware avançado e outras ameaças. Muitos ataques modernos utilizam técnicas como a engenharia social para explorar as funcionalidades dos fornecedores de serviços em nuvem e imitar o comportamento do utilizador com credenciais legítimas. A capacidade SWG da SSE ajuda ao fornecer uma barreira cibernética em linha responsável por monitorizar o tráfego da Web e impedir o tráfego não autorizado.
4. Fornecer visibilidade e controlo sobre aplicações SaaS.
   As organizações precisam de visibilidade e controlo sobre os dados acedidos e armazenados na nuvem, protegendo-os e impedindo as ameaças na nuvem a partir de um único ponto de aplicação nativo da nuvem. O recurso CASB da SSE oferece suporte a vários modos, aplicando políticas granulares para monitorar e regular o acesso a serviços de nuvem sancionados e não sancionados.
5. Proteção de dados sensíveis em qualquer local.
   As organizações exigem a proteção de dados que residem ou se deslocam completamente para fora do âmbito da segurança do perímetro para serem utilizados, partilhados e acedidos de forma segura. O recurso DLP do SSE fornece uma abordagem centralizada e unificada para a proteção de dados, em que as classificações de dados são definidas uma vez e aplicadas em políticas na Web, na nuvem e no endpoint.