0
0
Para apoiar estratégias de transformação digital habilitadas para nuvem, uma integração mais rigorosa de segurança e arquiteturas SD-WAN são top de mente para muitos CIOs e CISOs. Isso também inclui a segurança na nuvem e o que agora é conhecido como SASE (Secure Access Service Edge) – a combinação de recursos de rede de borda WAN com funções de segurança fornecidas pela nuvem, tais como:
- Gateway web seguro (SWG)
- Corretor de segurança de acesso à nuvem (CASB)
- Firewall-as-a-Service (FWaaS) e
- Acesso à rede de confiança zero (ZTNA) entregue na nuvem.
À medida que mais aplicativos e cargas de trabalho migram para a nuvem, o papel de um data center corporativo no local foi significativamente reduzido, se não eliminado em alguns casos. Além disso, com a tendência de trabalho em qualquer lugar ficando mais forte, um perímetro de segurança definido foi essencialmente dissolvido. Portanto, uma arquitetura SASE traz uma maneira mais segura e flexível de conectar os usuários a aplicativos hospedados na nuvem, não respaldando o tráfego de aplicativos para um data center antes de encaminhá-lo para a nuvem. E ao realizar uma inspeção avançada de segurança diretamente na nuvem, os usuários desfrutam de um melhor desempenho do aplicativo – uma melhor qualidade de experiência.
A SASE faz a suposição inicial de que nenhum usuário pode ser confiável por padrão e, portanto, mantém o paradigma de acesso menos privilegiado expresso através de recursos. Ele protege dados confidenciais, aplicando políticas de segurança com recursos CASB. Além disso, um SWG protege as organizações contra ameaças baseadas na Web usando várias técnicas, como filtragem de URL e detecção de códigos maliciosos. O FWaaS fornece funcionalidade de firewall de última geração na nuvem para analisar o tráfego de várias fontes. Outros recursos de segurança, como o RBI (Remote browser isolation, isolamento remoto do navegador) isola os usuários da Web da internet, reconstruindo páginas da Web livres de códigos maliciosos.
SD-WAN é uma base crítica para a SASE
À medida que a tendência de trabalho em qualquer lugar persistir, as organizações precisarão continuar operando filiais, exigindo recursos SD-WAN e até mesmo estenderão os serviços SD-WAN para escritórios domésticos e pequenos escritórios. Enquanto isso, eles também devem continuar os esforços para se transformar em uma arquitetura SD-WAN moderna; no entanto, eles também devem considerar os recursos de segurança fornecidos pela nuvem mencionados acima, agora chamado de borda de serviços de segurança (SSE).
A combinação de um SD-WAN avançado e SSE cria uma arquitetura SASE que garante acesso à web, aplicativos em nuvem, serviços em nuvem e aplicativos privados que ainda estão hospedados no data center. As funções SSE também podem incluir controle de acesso, proteção contra ameaças, segurança de dados, monitoramento de segurança e controle de uso aceitável aplicado por integração baseada em rede e baseada em API.
A chave é que o SSE é fornecido como um serviço baseado em nuvem e pode ser complementado por componentes on-premise ou baseados em agentes, como um firewall com segmentação incorporada na pilha de software SD-WAN.
Para proteger dispositivos conectados à Internet (IoT), que normalmente não podem hospedar um agente de acesso de rede de confiança zero ou cliente VPN, o SASE também deve ser aumentado com uma estrutura de controle de acesso baseada em identidade zero que fornece segmentação dinâmica.
Melhor juntos: SD-WAN avançado e SSE
A combinação de um SD-WAN avançado e a SSE capacita as organizações a implementar uma arquitetura SASE abrangente. Como tal, alguns fornecedores de segurança integraram funcionalidades básicas SD-WAN em suas respectivas ofertas. No entanto, esses fornecedores muitas vezes não têm as capacidades críticas de uma solução SD-WAN avançada e, portanto, as organizações podem considerar uma abordagem bifurcada que aproveita o melhor da segurança na nuvem com um SD-WAN avançado.
Afinal, o SD-WAN e a SSE se concentram em dois objetivos diferentes, mas complementares: o SD-WAN é sobre estabelecer uma conexão robusta, mas flexível, enquanto a SSE deve se adaptar constantemente a novas ameaças à segurança cibernética. Ao obter uma solução SD-WAN avançada de um fornecedor SD-WAN estabelecido que está fortemente integrado com o melhor fornecedor de segurança fornecido por nuvem de borda, uma organização pode construir uma arquitetura SASE sem comprometer o desempenho ou a segurança.
Existem três razões sólidas pelas quais as organizações devem selecionar um SD-WAN avançado ao implementar um serviço SSE de melhor pão:
Um SD-WAN avançado está fortemente integrado ao SSE. Muitos fornecedores de segurança fornecem recursos básicos de SD-WAN e promovem uma solução SASE “tudo em um”. No entanto, esses fornecedores de segurança provavelmente não estão necessariamente bem integrados com as soluções de outros fornecedores de segurança entregues na nuvem. Isso coloca limites potenciais – ou compromissos – da funcionalidade SD-WAN ou da funcionalidade de segurança para uma organização que adota uma única solução de fornecedor.
Para empresas de algumas indústrias, especialmente as fortemente regulamentadas, os recursos de segurança exigidos pela empresa podem exigir soluções de vários fornecedores. Considerando que, ao adotar um SD-WAN avançado que fornece integrações automatizadas nativas com vários fornecedores de SSE, as empresas têm a liberdade de escolher adotar a solução de serviço de segurança ou soluções que atendam às suas necessidades para proteger seus negócios e atender aos requisitos de conformidade. Através da orquestração automatizada, uma arquitetura SASE de fornecedor duplo é tão fácil de implantar e gerenciar como uma única solução de fornecedor.
Um SD-WAN avançado direciona o tráfego de aplicativos de forma inteligente. Isso inclui o tráfego de direção com base em seus requisitos de desempenho e segurança, conforme ditado pelas necessidades dos negócios. Um SD-WAN avançado pode identificar aplicativos no primeiro pacote e direcionar inteligentemente o tráfego com base nas políticas de segurança definidas pela organização. Para simplificar a configuração da política de implantação e segurança, as políticas são definidas centralmente e empurradas perfeitamente para cada ramo, permitindo que as organizações apliquem uma abordagem de segurança consistente em todas as suas localidades.
Além disso, através de integrações baseadas em API, os SD-WANs avançados podem configurar automaticamente conexões com provedores de nuvem pública que suportam serviços como gateway de trânsito AWS e WAN virtual Azure, com o objetivo de melhorar o desempenho e a segurança. Em ambientes híbridos e multi-nuvem, as cargas de trabalho podem ser facilmente movidas de um provedor de nuvem para outro.
Finalmente, os poderosos SD-WANs também podem acelerar o tráfego de aplicativos para alcançar aplicativos em nuvem e serviços de segurança fornecidos pela nuvem, sempre selecionando a rota de melhor desempenho com base em medições avançadas de saúde e desempenho da rede, bem como resolução local de DNS.
Um SD-WAN avançado incorpora recursos essenciais de segurança necessários na filial. Um SD-WAN avançado inclui os recursos de segurança integrados certos para proteger as filiais, incluindo gerenciamento unificado de ameaças com IDS/IPS integrados e um firewall baseado em zona para suportar micro-segmentação. Esses recursos de segurança permitem que as organizações protejam filiais contra ameaças maliciosas e segmentem usuários, dispositivos e aplicativos para atender aos requisitos de conformidade. Eles também permitem que as organizações vão além do SASE, mitigando os riscos associados ao número explosivo de dispositivos IoT, construindo uma arquitetura de confiança zero, enquanto os dispositivos IoT, na maioria dos casos, empregam uma arquitetura mais simples que não suporta hospedar clientes ZTNA ou VPN.
Portanto, uma estrutura de segurança de confiança zero que fornece controle de acesso baseado em identidade e micro-segmentação deve ser adotada, além do SASE para bloquear a disseminação de malware. Além disso, os recursos de segurança incorporados permitem que as organizações reduzam a expansão de equipamentos em filiais, substituindo vários dispositivos de segurança existentes, reduzindo a manutenção e os custos operacionais gerais.
No final do dia, um SD-WAN robusto é o componente fundamental de uma arquitetura SASE. Ele fornece uma integração rigorosa com os melhores fornecedores de segurança da raça e automatiza a configuração de orquestração e política com seus serviços de segurança fornecidos na nuvem.
Para organizações que não podem se dar ao luxo de não implantar uma arquitetura SASE sem compromisso, uma abordagem de fornecedor duplo com serviços WAN de um provedor SD-WAN e segurança fornecida na nuvem de um provedor SSE superior fornecerá a melhor opção para permitir que a organização continue sua jornada de transformação digital.
FONTE: HELPNET SECURITY