O que é Security Service Edge (SSE)?

Por que a SSE é importante?

Como uma tendência crescente no setor, a SSE resolve desafios fundamentais que as empresas enfrentam em relação ao trabalho remoto, à nuvem, à computação de borda segura e à transformação digital. À medida que as empresas adotam ofertas de software e infraestrutura como serviço (SaaS, IaaS), assim como outros aplicativos na nuvem, os dados ficam mais distribuídos fora de data centers locais. Além disso, um número crescente de usuários está móvel e remoto, se conectando de qualquer lugar, por qualquer conexão, a aplicativos e dados na nuvem.

Proteger aplicativos na nuvem e usuários móveis é difícil com abordagens tradicionais de segurança de rede porque:

• Tecnologias legadas não conseguem seguir as conexões entre usuários e aplicativos na nuvem, pois estão presas ao data center.
• Retransmitir ("hairpinning") o tráfego de usuários para um data center para inspeção pela VPN tradicional torna tudo mais lento.
• A administração e a manutenção de hardware encarecem as abordagens tradicionais de data centers.
• VPNs são fáceis de explorar devido à falta de correções.

Para piorar a situação, as atuais pilhas de segurança dos data centers cresceram de forma orgânica e se tornaram coleções de produtos pontuais complexas e difíceis de integrar. Essa complexidade naturalmente deixa lacunas entre soluções de segurança diferentes, aumentando ainda mais o risco de ameaças avançadas ou ataques de ransomware.

Benefícios da SSE

• Segurança baseada em nuvem mais forte e consistente que estende a proteção desde a sede até filiais e usuários remotos/móveis
• Desempenho de rede e segurança otimizado e de baixa latência, porque o tráfego não fica preso a um data center central para controle
• Capacidade de dimensionamento para se adaptar às necessidades dinâmicas de uma organização, como a adoção de novos serviços na nuvem e o crescimento ou mudanças nas equipes
• Gerenciamento simplificado de segurança e rede por meio de uma plataforma centralizada e disponibilizada na nuvem para serviços críticos de segurança
• Custos mais previsíveis e sobrecarga operacional reduzida através da minimização da necessidade de implantações de hardware no local

Qual é a diferença entre SASE e SSE?

Na estrutura SASE, os serviços de rede e segurança devem ser consumidos com uma abordagem unificada e disponibilizada na nuvem. Os aspectos de rede e segurança das soluções SASE focam em melhorar a experiência do usuário em relação ao aplicativo na nuvem e, ao mesmo tempo, reduzir os custos e a complexidade.

A plataforma SASE pode ser dividida em duas partes. A parte de SSE lida com a unificação de todos os serviços de segurança, incluindo SWG, CASB e ZTNA. A outra parte, de borda da WAN, foca nos serviços de rede, incluindo redes de área ampla definidas por software (SD-WAN), otimização da WAN, qualidade do serviço (QoS) e outros meios de melhorar o roteamento para aplicativos na nuvem.

Principais recursos de SSE

Os quatro principais serviços essenciais da SSE são:

• Secure Web Gateway (SWG): uma solução de segurança que impede que tráfego de internet não seguro entre na rede interna de uma organização
• Acesso à rede zero trust (ZTNA): um modelo de confiança adaptativo, onde a confiança nunca é implícita, que permite acesso seguro a aplicativos internos para usuários remotos
• Agente de segurança de acesso à nuvem (CASB): um ponto de controle entre usuários de aplicativos na nuvem e serviços na nuvem para proteção de dados e proteção contra ameaças
• Firewall como serviço (FWaaS): uma tecnologia de segurança de rede que oferece recursos de camada 7/firewall de nova geração na nuvem

Fonte: CXO REvolutionaries, "Security Service Edge (SSE) reflete um mercado em evolução: o que você precisa saber"

Vantagens do SSE sobre a segurança de rede tradicional

Fornecido a partir de uma plataforma unificada e centrada na nuvem, o SSE permite que as empresas se libertem dos desafios da segurança de rede tradicional. O SSE oferece quatro vantagens principais:

1. Maior redução de riscos

O SSE garante que a segurança cibernética seja fornecida sem estar vinculada a uma rede. A segurança é fornecida a partir de uma plataforma na nuvem que consegue seguir a conexão do usuário ao aplicativo, não importa a localização. Fornecer todos os serviços de segurança de forma unificada reduz os riscos, pois elimina as lacunas frequentemente observadas entre os produtos pontuais.

A SSE também melhora a visibilidade entre os usuários — onde quer que estejam — e os dados, independentemente dos canais acessados. Além disso, a SSE aplica atualizações de segurança automaticamente pela nuvem, sem o tempo de atraso comum da administração manual de TI.

2. Acesso zero trust

Plataformas SSE (junto com SASE) devem garantir o acesso de privilégio mínimo dos usuários a aplicativos privados ou na nuvem, com uma forte política zero trust baseada em quatro fatores: usuário, dispositivo, aplicativo e conteúdo. Nenhum usuário deve ser inerentemente confiável, e o acesso deve ser concedido com base na identidade e na política.

Conectar usuários e aplicativos com segurança usando políticas corporativas na internet garante uma experiência remota mais segura, pois os usuários nunca são inseridos na rede. Ao mesmo tempo, as ameaças não conseguem se movimentar lateralmente e os aplicativos permanecem protegidos por trás da plataforma de SSE. Os aplicativos não estão expostos à internet e, portanto, não podem ser descobertos. Isso reduz a superfície de ataque, aumentando sua segurança e minimizando ainda mais os riscos comerciais.

3. Experiência do usuário

Pela definição da Gartner, o SSE deve ser totalmente distribuído ao longo de uma presença global de data centers. As melhores arquiteturas SSE são criadas especificamente para inspeção em todo data center, ao contrário dos fornecedores que hospedam suas plataformas SSE em infraestruturas IaaS.

A arquitetura distribuída melhora o desempenho e reduz a latência porque a inspeção de conteúdo— incluindo descriptografia e inspeção TLS/SSL—ocorre onde o usuário final se conecta com a nuvem SSE. Aliada ao emparelhamento pela plataforma de SSE, isso garante aos usuários móveis a melhor experiência. Eles não precisam mais usar VPNs lentas, e o acesso a aplicativos em nuvens públicas e privadas é rápido e ininterrupto.

4. Vantagens da consolidação

Com a unificação dos principais serviços de segurança, você terá menores custos e menos complexidade. A SSE pode fornecer muitos serviços de segurança essenciais — SWG, CASB, ZTNA, firewall na nuvem (FWaaS), sandbox na nuvem, prevenção contra perda de dados na nuvem (DLP), gerenciamento de postura de segurança na nuvem (CSPM) e isolamento do navegador na nuvem (CBI) — tudo em uma única plataforma. Além disso, caso não precise de tudo imediatamente, você pode adicionar facilmente qualquer um desses serviços à medida que sua empresa cresce.

Com toda a proteção unificada sob uma política, todos os canais que seus usuários e dados percorrem obtêm a mesma proteção consistente.

Principais casos de uso do SSE

1. Proteger o acesso aos serviços na nuvem e o uso da web

A aplicação do controle de políticas no acesso dos usuários à internet, web e aplicativos na nuvem (historicamente realizado por um SWG) é um dos casos de uso principais para o serviço de segurança de borda. O controle de políticas do SSE ajuda a reduzir os riscos conforme usuários finais acessam conteúdo dentro e fora da rede. Aplicar políticas de controle de acesso e de Internet corporativa para conformidade também é um fator fundamental para este caso de uso em IaaS, PaaS e SaaS.

Outro recurso fundamental é o gerenciamento da postura de segurança na nuvem (CSPM), que protege sua empresa contra erros de configuração perigosos que podem resultar em violações.

2. Detectar e mitigar ameaças

Detectar ameaças e impedir ataques bem-sucedidos na Internet, na web e em serviços na nuvem são fatores essenciais para a adoção do SSE e, em menor grau, do SASE. Com usuários finais acessando conteúdo com qualquer conexão ou dispositivo, as empresas precisam de uma forte abordagem de defesa detalhada contra malware, phishing e outras ameaças.

Sua plataforma de SSE deve ter recursos avançados de prevenção contra ameaças, incluindo firewall na nuvem (FWaaS), sandbox na nuvem, detecção de malware e isolamento do navegador na nuvem. Os CASBs permitem a inspeção dos dados dentro de aplicativos SaaS e podem identificar malwares existentes e colocá-los em quarentena antes que causem danos. O controle de acesso adaptativo, que determina a postura do dispositivo do usuário final e, assim, ajusta seu acesso, também é um componente fundamental.

3. Conectar e proteger trabalhadores remotos

Equipes remotas modernas precisam de acesso remoto a serviços na nuvem e a aplicativos privados sem os riscos inerentes da VPN. Permitir o acesso a aplicativos, dados e conteúdo sem permitir o acesso à rede é uma peça crucial do acesso zero trust, pois elimina as ramificações de segurança de colocar o usuário em uma rede plana.

Aqui, é fundamental fornecer acesso seguro a aplicativos privados e na nuvem sem a necessidade de abrir ACLs de firewalls ou expor aplicativos na Internet. As plataformas SSE devem permitir a conectividade de aplicativos nativos de dentro para fora, mantendo os aplicativos "às sombras" na internet. Uma abordagem ZTNA também deve oferecer capacidade de dimensionamento em uma rede global de pontos de acesso, oferecendo a experiência mais rápida a todos os usuários, independentemente das exigências de conectividade.

4. Identificar e proteger dados sigilosos

O SSE permite que você encontre e controle dados confidenciais, não importa onde estejam. Ao unificar as principais tecnologias de proteção de dados, uma plataforma SSE proporciona melhor visibilidade e maior simplicidade em todos os canais de dados. A Cloud DLP permite que dados confidenciais (por exemplo, informações pessoalmente identificáveis [PII]) sejam facilmente encontrados, classificados e protegidos para que atendam aos padrões da Indústria de Cartões de Pagamento (PCI) e a outras políticas de conformidade. O SSE também simplifica a proteção de dados, pois é possível criar políticas DLP apenas uma vez e aplicá-las pelo tráfego em linha e dados em repouso em aplicativos na nuvem via CASBs.

As plataformas de SSE mais eficazes também oferecem inspeção TLS/SSL de alto desempenho para lidar com o tráfego criptografado (ou seja, com a maioria dos dados em trânsito). A detecção da TI invisível (shadow IT) também é fundamental para esse caso de uso, pois permite às empresas bloquear aplicativos perigosos ou não autorizados em todos os terminais.

Dicas para selecionar a plataforma de SSE certa

Você precisa de uma plataforma SSE que ofereça segurança rápida e dimensionável e uma experiência de usuário perfeita com base no zero trust.

Procure uma plataforma que seja:

Especialmente desenvolvida para uma experiência rápida do usuário e do aplicativo na nuvem

O acesso rápido e seguro exige uma arquitetura nativa da nuvem distribuída globalmente em uma grande área de cobertura do data center. As plataformas de SSE criadas para inspeção têm uma vantagem sobre plataformas de SSE hospedadas em nuvens IaaS, que não foram criadas especificamente para as demandas de inspeção de conteúdo em tempo real. Quando cada data center é um nó de inspeção, a segurança é sempre rápida e local para o usuário, não importa onde ele esteja. Além disso, busque um emparelhamento rápido e forte de fornecedores de SSE, para que a experiência de aplicativos na nuvem permaneça otimizada.

Criada do zero com uma arquitetura zero trust

O controle de acesso deve ser regido pela identidade e nunca colocar usuários na sua rede. Busque por fornecedores nativos da nuvem que ofereçam amplo suporte para acesso zero trust entre todos os usuários, dispositivos, IoT, aplicativos na nuvem e tarefas. Aqui também, um fornecedor com uma grande presença global de data centers garantirá que seus usuários sempre tenham uma experiência rápida sem o incômodo de uma VPN. A abordagem ZTNA do seu fornecedor quanto ao SSE deve ter um histórico comprovado em grandes implantações globais, pois a capacidade de dimensionamento é indispensável para a produtividade do usuário remoto.

Capaz de fazer inspeção dimensionável por proxy em linha

A inspeção por proxy encerra as duas conexões, a do dispositivo e a do aplicativo na nuvem. Ficar entre os dois significa que dá para realizar uma inspeção SSL completa e que as conexões não têm permissão de "passagem". Isso garante melhor nível de segurança e inspeção do que os tradicionais firewalls de passagem. Foque em plataformas SSE que possam entregar conteúdo e inspeção TLS/SSL em escala global. Como a inspeção em linha é geralmente realizada no tráfego essencial para os negócios, as interrupções devido a problemas de dimensionamento podem ter um sério impacto. Certifique-se de que o fornecedor SSE escolhido tenha contratos de nível de serviço (SLAs) robustos e um histórico de inspeção de tráfego integrado para grandes corporações globais.

Impulsionadora de mais inovação no crescimento do SSE

Conforme as empresas adotam o SSE como uma plataforma unificada, recursos e serviços de segurança adicionais garantirão que a plataforma SSE seja resistente ao tempo. Um serviço que começa a migrar para o SSE é o monitoramento da experiência digital, que permite que a TI identifique rapidamente os problemas de conectividade na conexão do usuário para o aplicativo na nuvem.

Além disso, conforme definido pela arquitetura SASE, é importante ter a consolidação dos serviços de rede junto com uma plataforma SSE. Isso inclui um forte suporte à conectividade em serviços SD-WAN, conectividade de filiais locais e conectividade multinuvem. Ao focar em provedores de serviços SASE que também estejam impulsionando a inovação em SSE, é possível garantir espaço para crescimento sem adicionar complexidade, conforme o ecossistema de nuvem da sua empresa amadurece.

Zscaler e SSE

A Zscaler resolve seus desafios de nuvem e mobilidade com uma plataforma revolucionária para SSE e muito mais. Ajudaremos você a reduzir os custos e a complexidade com o modelo zero trust, eliminar sua superfície de ataque e proporcionar uma experiência fantástica ao usuário.