Como o potencial combinado de ZTNA e SASE pode mudar o jogo da segurança?
SASE e ZTNA são estruturas de segurança complementares que podem auxiliar as organizações a reduzir sua superfície de ataque e melhorar sua postura de segurança. Ao combinar SASE (borda de serviço de acesso de segurança) e ZTNA (acesso à rede de confiança zero), as organizações podem criar um ambiente mais abrangente e seguro, mais adequado aos desafios de uma força de trabalho remota.
A rápida mudança para o trabalho remoto há alguns anos e o aumento da superfície de ataque alteraram drasticamente a maneira como as organizações abordam a rede e a segurança da rede. Ransomware e ataques de extorsão, como o venerável Ferrari enfrentaram no mês passado, representam um sério risco para as organizações que lidam com informações confidenciais de clientes. Mesmo informações básicas de contato, como nomes e endereços de e-mail, podem ser usadas como arma para criar golpes de spear phishing altamente direcionados.
Esse cenário evoluído aumentou a popularidade dos modelos de segurança que prometem segurança abrangente e onipresente em todos os endpoints e recursos, não importa onde estejam. Nesse contexto, SASE e ZTNA se tornaram palavras de ordem na comunidade de segurança cibernética. No entanto, as partes interessadas que lutam com tantos acrônimos jogados para eles muitas vezes se perguntam exatamente como essas duas estruturas se comparam.
O ZTNA é um modelo de segurança focado exclusivamente na habilitação de identidade e políticas de acesso baseadas em contexto no nível do recurso. Ele foi projetado para reduzir a superfície de ataque, garantindo que apenas usuários e dispositivos autorizados possam acessar recursos confidenciais. O SASE, por outro lado, é uma arquitetura baseada em nuvem que integra serviços de rede e segurança, incluindo SD-WAN, SWG (gateway da web seguro), CASB (agente de segurança de acesso à nuvem), FWaaS (firewall como serviço), e por último, mas não menos importante, e talvez até esperado, ZTNA, em uma plataforma única e coesa.
Dado que o ZTNA é essencialmente um componente central da arquitetura SASE (pronunciado “atrevido”), comparar os dois na esperança de escolher um parece injusto. Na verdade, ambas as estruturas têm muitas funcionalidades sobrepostas e se complementam bastante. Para implementar com sucesso o ZTNA como parte da rede holística e estratégia de segurança da SASE, é necessário um profundo entendimento de suas semelhanças e como eles se reforçam mutuamente.
Identidade e acesso são fundamentais para ambos
SASE e ZTNA adotam uma abordagem de nunca confiar, sempre verificar para acessar recursos organizacionais, independentemente da localização. Os usuários autenticados só conseguem acessar os recursos para os quais estão autorizados a acessar. No entanto, isso requer que os modelos de segurança identifiquem primeiro “quem” está acessando “o quê”. Isso significa que SASE e ZTNA são orientados por identidade e exigem a identificação do usuário, dispositivo ou serviço para tomar decisões de acesso inteligentes.
Embora o ZTNA elimine a confiança de todas as tentativas de acesso, ele ainda requer acesso a armazenamentos de dados históricos e mecanismos de identidade para tomar decisões de acesso seguras. O SASE fornece esses dados históricos e informações de identidade, fornecendo os meios para considerar “em que circunstâncias” para conduzir a aplicação dinâmica de políticas com base na natureza das solicitações de acesso.
SASE permite a consciência contextual para políticas dinâmicas
Os modelos de confiança zero precisam de automação para permitir decisões políticas dinâmicas e com reconhecimento de contexto. A identidade do usuário/dispositivo/serviço pode separar as solicitações autorizadas das não autorizadas, mas uma abordagem de acesso exclusivamente orientada por identidade ignora as ameaças internas, como as que envolvem pessoas mal-intencionadas ou credenciais comprometidas. Além da identidade, o ZTNA precisa de informações comportamentais e contextuais para determinar os níveis de confiança associados a uma solicitação específica.
Um mecanismo de confiança/risco que aplica recursos de pontuação contextual é crucial em um Núcleo de Autorização de Confiança Zero, e o SASE fornece um meio de realizar isso por meio da tecnologia de componente principal. O componente de rede do SASE permite ver todos os fluxos de rede e correlacionar dados de rede e segurança para uma contextualização precisa. Ele facilita decisões de políticas automatizadas e dinâmicas com base no monitoramento de comportamentos de usuários e dispositivos. Ele aproveita as informações contextuais, como localização do dispositivo, hora do dia, a sensibilidade da solicitação de acesso, etc., e as mede em relação a uma linha de base pré-estabelecida de rede normal e comportamentos do usuário. Os níveis de confiança com reconhecimento de contexto habilitados para SASE e as linhas de base comportamentais também facilitam a detecção e revogação de solicitações de acesso mal-intencionado de usuários aparentemente legítimos.
ZTNA complementa SASE além da segurança
O ZTNA também complementa o SASE na solução de outro problema enfrentado pelas empresas modernas, segurança em todas as bordas da rede sem a expansão do dispositivo e o aumento da complexidade da rede. Uma VPN tradicional é normalmente implementada como uma solução pontual implantada individualmente para cada usuário ou local remoto. As organizações também devem implantar outros dispositivos, como SD-WAN e NGFW (firewall de próxima geração), em cada site para funcionalidade de segurança adicional.
O SASE visa principalmente superar essa expansão de dispositivos, e o ZTNA, sendo uma solução nativa da nuvem, não requer dispositivos de hardware adicionais. A função do controlador ZTNA simplesmente se torna parte dos pontos de presença SASE (PoPs) e sua funcionalidade se estende a todos os dispositivos ou usuários conectados ao PoP. Os usuários e dispositivos são validados uma vez no PoP por meio do mecanismo de nuvem de passagem única (SPACE) do SASE, que essencialmente oferece um conjunto completo de recursos de rede e segurança para todos os usuários e dispositivos que se conectam ao PoP de qualquer lugar do mundo.
No geral, os princípios ZTNA são fundamentais para o SASE, e as tecnologias SASE permitem a implementação holística de redes de confiança zero por meio de identidade com reconhecimento de contexto e mecanismos de risco/confiança.
Dito isto, olhar para o SASE simplesmente como um meio de implementar o ZTNA pode ser um exagero. O SASE vai além da autenticação, autorização e acesso seguro para integrar SD-WAN e outras funções de rede. Ele transforma completamente como as organizações abordam a rede e a segurança e requer uma mudança cultural e organizacional fundamental.
