yblaz - Fotolia
Como a arquitetura SASE se integra à infraestrutura de rede
A arquitetura SASE oferece uma proposta de valor atraente, pois converge serviços de rede e segurança em uma única plataforma de nuvem. Explore como isso funciona com a infraestrutura existente.
A arquitetura do Secure Access Service Edge descreve a convergência de segurança e rede em um serviço de nuvem global. O SASE conecta e protege todos os limites da empresa - sites, usuários móveis, data centers em nuvem, dispositivos SaaS e IoT - com um serviço.
O Gartner cristalizou as principais tendências em rede e segurança no outono de 2019 com o lançamento do SASE. Embora o Gartner possa não ter inventado essa mudança de certos equipamentos para um serviço global convergente, a abordagem sem dúvida pegou. Na SD-WAN Experts, vimos vários de nossos clientes corporativos solicitando elementos SASE em seus pedidos de proposta. Vários fornecedores estão, por sua vez, respondendo com argumentos de venda do SASE.
Por mais radical que a arquitetura SASE pareça, sua implementação faz parte do processo natural de transformação da WAN que permeia o setor há algum tempo. As empresas já estão fazendo a transição do MPLS. Em alguns casos, por exemplo, elas estão adotando WAN definida por software e toda conectividade baseada na Internet; em outros casos, estão mudando para uma implantação híbrida, onde dispositivos SD-WAN se conectam a circuitos MPLS e de Internet. Puxar a nuvem e o acesso móvel para uma rede segura é uma extensão natural.
SASE vs. SD-WAN
A diferença na escolha da arquitetura SD-WAN ou SASE é selecionar uma plataforma que atenda aos requisitos do futuro. Ao construir todos os recursos de rede e a segurança necessária em um serviço, o SASE se torna a plataforma que oferece suporte a mudanças além da substituição de MPLS, que tem sido o caso de uso mais comum para SD-WAN. O SASE permite que as organizações ofereçam suporte à conectividade global, acesso remoto, conectividade em nuvem e muito mais, ativando recursos do serviço. Com o SD-WAN sozinho, cada estágio adicional exigiria que uma empresa saísse para licitar, avaliar novos produtos, selecionar o certo e implantar a oferta.
Um grande exemplo das diferenças entre SASE e SD-WAN foi a recente corrida para fornecer acesso remoto em grande escala durante a crise do COVID-19. O acesso remoto não faz parte do SD-WAN, e as empresas de SD-WAN tiveram que passar por vários obstáculos para ajudar seus clientes a resolver problemas relacionados ao novo coronavírus.
Em contraste, as plataformas SASE criam acesso remoto à rede. Os usuários estão equipados com clientes móveis ou, em alguns casos, acesso sem cliente. Qualquer uma das opções permite a implantação em grande escala para milhares de usuários em minutos e horas - não semanas. Como o acesso remoto é integrado ao SASE, os usuários remotos se beneficiam da pilha de segurança completa e da otimização da rede na arquitetura SASE.
Considerações de implantação de rede e segurança
Conforme as organizações consideram a adoção do SASE, elas devem ser capazes de evitar migrações de empilhadeira. Da perspectiva da rede, as ofertas SASE incluem dispositivos de borda SD-WAN, e as empresas podem até implantar uma oferta SASE como alternativa SD-WAN. Como SD-WAN, as implementações SASE suportam migrações graduais, coexistindo não apenas com os serviços de rede existentes, mas também com os serviços de segurança existentes. O acesso remoto e a conectividade em nuvem devem ser opcionais.
Do ponto de vista de segurança, as ofertas SASE substituem uma ampla gama de funções de segurança, incluindo firewalls de próxima geração, gateways da web seguros, corretores de segurança de acesso à nuvem e acesso à rede de confiança zero. Alguns fornecedores SASE darão suporte a implantações de fornecedores heterogêneas e limitadas de várias maneiras. Nesse caso, significa que eles oferecem suporte à granularidade de implantação site a site; não espere poder trocar alguns de seus componentes de segurança por ofertas de terceiros.
As empresas podem executar sites sem os serviços de segurança do provedor SASE ou apenas ativá-los para proteger alguns locais. No último caso, eles podem conectar firewalls legados à plataforma SASE por meio de túneis IPsec, enquanto os serviços de segurança do provedor SASE protegem o restante dos sites.
Quando as organizações insistem em manter firewalls legados, especialmente na filial, elas podem considerar uma abordagem chamada bursting, ou explosão, de firewall. Como o bursting de nuvem - onde um aplicativo em uma nuvem privada ou data center irrompe em uma nuvem pública quando a demanda por capacidade de computação aumenta - o bursting de firewall mantém o dispositivo de firewall legado na borda, levando o excesso de tráfego para a nuvem SASE para processamento.
Muitos dos meus clientes ficam surpresos ao saber o quanto podem reduzir os custos de segurança com o SASE. Esses custos de segurança tradicionais incluem espaço em rack, energia, conectividade com a Internet, conectividade MPLS, custos de hardware e manutenção. Além disso, os custos operacionais, custos de licença e eventuais custos de atualização e substituição da infraestrutura de segurança podem ser bastante significativos.
Além disso, as empresas enfrentam uma urgência constante para manter a infraestrutura de segurança. Quando as equipes de segurança descobrem um novo ataque ou vulnerabilidade, elas devem correr contra o tempo para atualizar sua infraestrutura. Os próprios provedores de SASE mantêm a infraestrutura de segurança, resolvendo esse problema.
Como os recursos de segurança podem ser licenciados de maneira diferente, as empresas com investimentos em segurança que não estão totalmente depreciados devem decidir ativar ou não os recursos de segurança SASE. Em muitos casos, as empresas podem manter investimentos em segurança até o final do contrato para economizar o custo desse recurso na oferta SASE. Na maioria dos casos, porém, as empresas preferem cancelar esses investimentos devido às eficiências operacionais que a nova oferta apresenta.
A arquitetura SASE é uma opção atraente
O SASE é uma progressão natural do desenvolvimento da WAN. Nuvem, acesso remoto e acesso móvel são essenciais demais para serem pensados separadamente de outros locais. A segurança se tornou inseparável da conectividade. As empresas não podem dar aos usuários acesso a nada se essas conexões não forem protegidas. A adoção do SASE torna-se menos uma questão de se, mas de quando. Acredito que a maioria das empresas vai adotar o SASE nos próximos cinco anos. A proposta de valor é muito atraente.