Durante décadas, a segurança corporativa foi construída sobre uma premissa simples: existe um "dentro" e um "fora". Dentro ficavam os funcionários, os servidores e os dados, protegidos por um perímetro de firewalls no data center. Fora ficava a internet, tratada como território hostil. Essa arquitetura fazia sentido quando tudo estava fisicamente no escritório. Hoje, com aplicações na nuvem, força de trabalho remota e SaaS em toda parte, o perímetro tradicional deixou de existir. SASE e SSE são as arquiteturas propostas pela Gartner para responder a essa mudança, convergindo rede e segurança em um serviço entregue na borda da nuvem.

Por que o perímetro morreu

O modelo clássico de segurança de rede assumia que os ativos valiosos estavam concentrados em um data center corporativo, e que o tráfego dos usuários passava obrigatoriamente por esse ponto central. O firewall de perímetro inspecionava tudo que entrava e saía. VPNs estendiam esse perímetro até o notebook do funcionário em viagem. Funcionou bem enquanto três condições se mantiveram: as aplicações viviam no data center, os usuários trabalhavam majoritariamente no escritório e os dados não vazavam para serviços de terceiros.

Nenhuma dessas três condições é verdadeira hoje. As aplicações migraram para IaaS e PaaS (AWS, Azure, Google Cloud) e o consumo de software virou SaaS: e-mail, CRM, ERP, colaboração e armazenamento agora rodam fora das paredes da empresa. A força de trabalho se distribuiu — home office, escritórios satélite, dispositivos móveis e terceiros acessando recursos de qualquer lugar. E os dados corporativos passaram a residir em dezenas de serviços de nuvem que a equipe de segurança muitas vezes nem sabe que existem.

Nesse cenário, forçar todo o tráfego a "voltar" para o data center corporativo antes de sair para a internet — o chamado hairpinning ou backhaul — gera latência, aumenta custo de link e degrada a experiência do usuário. Pior: grande parte do tráfego moderno nunca precisaria tocar o data center, porque vai direto de um usuário remoto para um SaaS. O perímetro físico não apenas perdeu relevância; tornou-se um gargalo. A segurança precisava se mover para onde os usuários e os dados realmente estão — na borda da nuvem.

O que é SASE

SASE (Secure Access Service Edge, pronuncia-se "sassy") é um termo cunhado pela Gartner em 2019 para descrever a convergência de funções de rede de longa distância (WAN) com funções de segurança de rede, ambas entregues como um serviço unificado a partir da nuvem, próximo ao usuário. Em vez de comprar caixas de hardware separadas — um SD-WAN de um fornecedor, um firewall de outro, um proxy web de um terceiro — a organização consome um único serviço de borda que integra conectividade e segurança.

A ideia central é a convergência. Historicamente, rede e segurança evoluíram como silos, com times, fornecedores e consoles distintos. O SASE parte do princípio de que, quando a política é baseada em identidade e contexto (quem é o usuário, de qual dispositivo, para qual aplicação, com qual risco), faz mais sentido decidir conectividade e segurança no mesmo ponto e com a mesma inteligência. O acesso passa a ser concedido dinamicamente conforme a identidade da entidade, o contexto em tempo real e as políticas corporativas — não conforme a localização física na rede.

Arquiteturalmente, o SASE é entregue por uma malha global de pontos de presença (PoPs) na nuvem. O tráfego do usuário — esteja ele em casa, no escritório ou num café — sobe até o PoP mais próximo, onde a inspeção de segurança acontece uma única vez, e de lá segue para o destino (internet, SaaS ou aplicação privada) pelo caminho mais eficiente. Isso elimina o backhaul e coloca a política de segurança a poucos milissegundos do usuário.

Os componentes do SASE

O SASE é composto por um lado de rede e um lado de segurança. O lado de rede é essencialmente o SD-WAN (Software-Defined WAN), que otimiza e roteia inteligentemente o tráfego entre filiais, nuvem e usuários, escolhendo o melhor caminho e aplicando qualidade de serviço. O lado de segurança é conhecido como SSE (Security Service Edge) e reúne quatro capacidades principais.

ComponenteCategoriaFunção
SD-WANRedeRoteamento inteligente do tráfego entre sites, nuvem e usuários; otimização de caminho e QoS; substitui MPLS rígido por links flexíveis.
SWG (Secure Web Gateway)Segurança (SSE)Inspeciona o tráfego web de saída, aplica filtragem de URL/conteúdo, bloqueia malware e força políticas de uso aceitável.
CASB (Cloud Access Security Broker)Segurança (SSE)Dá visibilidade e controle sobre o uso de SaaS, descobre TI invisível (shadow IT), aplica DLP e governa dados em aplicações de nuvem.
ZTNA (Zero Trust Network Access)Segurança (SSE)Concede acesso a aplicações privadas por identidade e contexto, aplicativo por aplicativo, sem expor a rede — substituto moderno da VPN.
FWaaS (Firewall as a Service)Segurança (SSE)Firewall de próxima geração entregue na nuvem, com inspeção de todas as portas e protocolos, IPS e segmentação, sem appliance físico.

SWG — Secure Web Gateway

O SWG é o guardião do tráfego web. Ele intermedeia a navegação dos usuários, decifra e inspeciona conexões TLS, aplica filtros de categoria e reputação de URL, bloqueia downloads maliciosos e impede o acesso a sites de phishing ou não conformes com a política. É a evolução do antigo proxy corporativo, agora entregue na nuvem e acompanhando o usuário onde quer que ele esteja.

CASB — Cloud Access Security Broker

O CASB resolve o problema da nuvem invisível. Ele descobre quais serviços SaaS estão sendo usados (inclusive os não autorizados), avalia seu risco, aplica prevenção contra perda de dados (DLP) e controla ações sensíveis como compartilhamento externo de arquivos. Para entender em profundidade essa camada, veja nosso guia dedicado a CASB.

ZTNA — Zero Trust Network Access

O ZTNA é a materialização dos princípios de Zero Trust no acesso a aplicações. Em vez de colocar o usuário "dentro" da rede — como faz a VPN — o ZTNA cria conexões ponto a ponto entre o usuário e apenas a aplicação específica que ele tem permissão para acessar, após verificar identidade e postura do dispositivo. A aplicação nunca é exposta à internet e o usuário nunca "vê" a rede.

FWaaS — Firewall as a Service

O FWaaS leva as capacidades de um firewall de próxima geração para a nuvem: inspeção de todas as portas e protocolos, prevenção de intrusão, controle de aplicações e segmentação, tudo entregue como serviço elástico, sem a necessidade de dimensionar e manter appliances em cada site.

SSE vs SASE — qual a diferença

A confusão entre os termos é comum, então vale fixar: SSE é a parte de segurança do SASE. A Gartner introduziu o termo SSE (Security Service Edge) em 2021 justamente para nomear o subconjunto de segurança — SWG, CASB, ZTNA e FWaaS — separadamente do lado de rede (SD-WAN). Em outras palavras:

  • SASE = SSE + rede (SD-WAN). É a visão completa, convergindo conectividade e segurança.
  • SSE = apenas a camada de segurança na borda da nuvem. É o caminho de adoção mais comum para quem já tem uma estratégia de WAN definida ou quer priorizar a modernização da segurança.

Na prática, muitas organizações começam pelo SSE. A modernização da segurança — substituir VPN por ZTNA, adotar SWG e CASB para proteger o acesso à web e ao SaaS — costuma ter retorno mais rápido e menos dependências do que a transformação completa da rede WAN, que envolve contratos de link e reengenharia de filiais. Adotar SSE primeiro e convergir com SD-WAN depois é uma jornada perfeitamente válida rumo ao SASE.

ZTNA substituindo a VPN

De todos os componentes, o ZTNA é o que mais rapidamente demonstra valor, porque ataca uma dor concreta e universal: a VPN. A VPN tradicional foi projetada para um mundo em que o acesso remoto era exceção. Ela funciona colocando o dispositivo remoto "dentro" da rede corporativa, concedendo — na maioria das implementações — amplo acesso lateral. Isso cria três problemas graves: o dispositivo comprometido de um usuário vira porta de entrada para toda a rede; a superfície de ataque do concentrador VPN fica exposta à internet; e a experiência é lenta por causa do backhaul.

O ZTNA inverte o modelo. Nada é confiável por padrão. Cada solicitação de acesso é verificada individualmente com base na identidade do usuário, na postura de segurança do dispositivo e no contexto (localização, horário, risco). O acesso é concedido a uma aplicação por vez, seguindo o princípio do menor privilégio, e nunca à rede inteira. As aplicações ficam "escuras" — invisíveis a quem não está autorizado — reduzindo drasticamente a superfície de ataque. É a razão pela qual analistas projetam a substituição progressiva das VPNs legadas por ZTNA como padrão de acesso remoto corporativo.

Benefícios do modelo SASE/SSE

A convergência traz ganhos que os silos tradicionais não conseguiam entregar:

  • Política única e consistente. Uma mesma política de segurança baseada em identidade se aplica ao usuário no escritório, em casa ou em viagem, para tráfego web, SaaS e aplicações privadas. Acaba a fragmentação de regras entre appliances diferentes.
  • Visibilidade unificada. Todo o tráfego passa pela mesma malha, gerando um registro consolidado de quem acessou o quê, de onde e com qual resultado — insumo essencial para detecção, investigação e conformidade.
  • Menor latência e melhor experiência. A inspeção acontece no PoP mais próximo do usuário e o tráfego segue direto ao destino, eliminando o backhaul e melhorando a performance de aplicações na nuvem.
  • Redução de complexidade e custo. Menos appliances para comprar, dimensionar, atualizar e substituir. A capacidade escala elasticamente na nuvem, acompanhando picos de trabalho remoto sem novos investimentos em hardware.
  • Superfície de ataque menor. Aplicações privadas deixam de ser expostas à internet e o acesso lateral é contido por padrão, alinhado aos princípios de Zero Trust.

Como avaliar e adotar

Adotar SASE ou SSE é uma jornada, não uma compra pontual. Algumas orientações práticas para organizações de qualquer porte:

  • Mapeie o ponto de partida. Identifique quais aplicações são SaaS, quais são privadas, onde estão os usuários e por onde o tráfego passa hoje. Sem esse inventário, é impossível dimensionar a solução.
  • Priorize por dor. Se a VPN é o maior problema, comece pelo ZTNA. Se o risco está no uso descontrolado de SaaS, comece por CASB e SWG. O SSE permite adotar por camadas.
  • Exija convergência real. Prefira plataformas em que SWG, CASB, ZTNA e FWaaS compartilhem um único console, uma única política e um único agente no endpoint — não um conjunto de produtos adquiridos e apenas "embrulhados" sob a mesma marca.
  • Avalie a malha global de PoPs. A qualidade da experiência depende da proximidade dos pontos de presença aos seus usuários. Verifique cobertura, capacidade e SLA de disponibilidade.
  • Ancore em identidade. O SASE só entrega seu valor quando integrado a um provedor de identidade robusto (SSO, MFA) e à avaliação de postura do dispositivo.
  • Meça e itere. Comece por um grupo piloto, valide a experiência e a eficácia das políticas, e expanda gradualmente. A convergência é um processo de amadurecimento.

Referências

  • Gartner — "The Future of Network Security Is in the Cloud" (2019), documento que cunhou o termo SASE.
  • Gartner — Market Guide e Magic Quadrant para Security Service Edge (SSE), que formalizam a categoria de segurança de borda.
  • NIST SP 800-207 — "Zero Trust Architecture", base conceitual para ZTNA e para o modelo de confiança do SASE.

Segurança de borda na prática, com a Decripte

Migrar do perímetro tradicional para uma arquitetura SASE/SSE não é apenas uma decisão técnica — é uma mudança de postura de segurança que impacta desde uma equipe de cinco pessoas até operações com mais de cem mil colaboradores. O ponto de partida certo depende de onde estão seus dados, seus usuários e seus riscos. A Decripte ajuda organizações de todos os portes a mapear essa superfície, priorizar a jornada de adoção e implementar controles de acesso Zero Trust de forma incremental e mensurável.

Quer entender onde sua organização está exposta hoje? Comece grátis pelo nosso centro de inteligência e veja seu risco em minutos, ou conheça nossos planos para uma implementação acompanhada de ponta a ponta.