Secure Access Service

Edge (SASE)

Gustavo Noites
Systems Engineer - Brasil
 A TRANSFORMAÇÃO
DIGITAL ESTÁ SE
ACELERANDO Internet Aberta

ADOÇÃO DE MÚLTIPLAS
NUVENS E SAAS
IMPULSIONANDO A Data Center
SaaS
NECESSIDADE DE UMA
NOVA ARQUITETURA DE
REDE E SEGURANÇA
Nuvem pública

Em vez de o perímetro de segurança

estar limitado à uma caixa na borda Site a Site Do cliente para
do data center, o perímetro agora a nuvem
está em todos os lugares em que uma
empresa precisa que ele esteja —
uma borda de serviço de acesso
seguro baseada em políticas criada
Os usuários estão se Dados confidenciais estão Mais aplicativos agora
dinamicamente. conectando de todos localizados mais vivem fora do perímetro
os lugares nosserviços de nuvem do
Gartner: O futuro da segurança de rede que dentro do próprio
está na nuvem perímetro seguro
 Modelo de Segurança Tradicional
Perímetro centralizado único para proteção contra
ataques e aplicação de políticas de segurança

DDoS
Attacks

Data Leak

Malwar
Impersonati e
on
HQ/ Data Center Phishing
DNS
Attacks
Home Offices

Branch Offices

Regional Offices
Remote Workers
 A transição para a nuvem e a expansão de usuários e
dispositivos requerem uma nova arquitetura
Maior superfície de ataque e ameaças criam:
• Complexidade devido ao aumento de volume e ferramentas
• Visibilidade fragmentada
• A falta de automação causa lacunas na cobertura
DDoS Attacks

Data Leak

Filiais
Malware
HQ/ Data Center Impersonation
Escritórios
Regionais
Phishing
DNS Attacks

Trabalhadores
remotos

Home Offices
Superfície de ataque expandida com nuvem/SaaS e força de
trabalho distribuída

Segurança Corporativa
Primeira linha de defesa contra ameaças DDoS Attacks

Exfiltration

Identificar Detectar
Proteger
Inteligência Máxima Malware

Impedir ameaças Impersonation

Automatizada Visibilidade
globalmente
de Ameaças das Ameaças Phishing
DNS Attacks

Filiais
HQ/ Data Center Responder Recuperar
Escritórios Reagir a Recuperação rápida
Regionais Ameaças De Incidentes
Rapidamente

Trabalhadores
remotos

Home Offices
 SASE é o futuro, e o
futuro é agora
Estende o SD-WAN Seguro para todos os usuários, em todos os lugares

Entrega SD-WAN diretamente para matrizes, filiais, home

offices, usuários remotos e móveis

Endereça de forma homogênea as diversas demandas

regulatórias, de privacidade e de performance

Impõe políticas consistentes por toda a rede baseadas no

modelo de Zero Trust Security

Em outras palavras...

Serviço de rede e segurança em qualquer lugar = SASE

Requisitos da solução SASE
Conectividade e Segurança convergentes via núvem, no local ou combinação de ambos.
Applications

Private DC SaaS Leisure Cloud

Internet Edge
Network Services Security Services

PBF SD-WAN QoS CASB DLP RBI

Cloud
or
DHCP CGNAT Shaping NGFW UEBA SWG
On-Prem
Routing Switching Acceleration DNS Obfuscation ZTNA

Services Edge
Users

Regional Offices Branch Offices Home Offices Anywhere

A SOLUÇÃO DA VERSA INCLUI…
Versa Operating System (VOSTM)

“Next Generation Firewall” integrado com Portais e orquestração específicos para cada tipo de
“Unified Threat Management” mercado alvo (Operadoras, Grandes e PME)
+
SD-WAN Completo Multi-Tenancy genuíno

+
Roteamento escalável e avançado API’s abertas para tudo
+
Plataforma de software – implantação flexível Análise sofisticada de rede e segurança

Appliances da família Versa CSG e Versa Secure Access Client (VSAC)

Soluções Versa
Versa Concerto or Titan

Painel único de gerência,

monitoramento e visibilidade

HQ / DC

MPLS SASE Fabric

Internet

3rd Party VSA

VSA
Router/SD-WAN Clientes em todas
as plataformas
Branch Office Branch Office Home Home Anywhere

Local – Secure SD-WAN / Titan SSE – VSA / SWG

O SASE da Versa entrega uma borda global de rede “Zero Trust”
Os recursos SASE mais abrangentes do mercado mundial
Firewall as a Service (FWaaS)
Protege todos os seus usuários, dispositivos e aplicativos
(on-prem ou na Nuvem) de ameaças internas e externas

Cloud Access Service Broker (CASB)

Acesso seguro aos aplicativos em nuvem, micro Unified Threat Management (UTM)
segmentação de aplicativos, descoberta e controle do Protege seu ambiente contra conteúdo malicioso, como
“Shadow IT” e garantia de conformidade ransomware, spyware/adware, trojans, worms e bots.

Secure Web Gateway (SWG)

Data Loss Prevention (DLP)
Protege os usuários contra ameaças baseadas na
Protege seus dados corporativos
Web e impõe políticas corporativas para tornar o
confidenciais e regule a conformidade
acesso à Internet mais seguro
regulatória

Zero Trust Network Access (ZTNA) Secure SD-WAN

Fornece conectividade Zero Trust para SASE Versa Oferece alto desempenho e qualidade de
usuários remotos sem colocá-los na rede experiência para usuários, aplicativos e Nuvens
públicas ou Privadas.

Usuários Filiais Nuvem Privada Nuvem Pública

Nosso software multi-tenant VOS™ é líder na indústria

VERSA SASE SSE
SECURE SERVICE EDGE
PILHA DE SEGURANÇA VERSA (NUVEM OU NO LOCAL)

NGFW

NG-IPS

SECURE THE ENTERPRISE BRANCH NETWORK

A VERSA INTEGRA TODAS AS FUNCIONALIDADES MODERNAS DE SEGURANÇA E REDE EM
UM ÚNICO SOFTWARE: O SISTEMA OPERACIONAL VERSA (VOS) ...
EM QUALQUER LUGAR QUE VOCÊ IMPLANTAR UM DISPOSITIVO VOS
(NUVEM/VIRTUAL/FÍSICO), VOCÊ TEM SEGURANÇA E REDE DISPONÍVEIS

Modern
Security Stack
Modern
VOS Network Stack

ARQUITETURA DE PROCESSAMENTO PARALELO VERSA DE PASSAGEM ÚNICA

ENTRADA DOS,
Routing &
IPSec SFW SSL Proxy App-ID
Next Gen Captive User-ID,
Malware
Detection
… VPNs QoS
SAÍDA
Carrier Firewall Portal Policies and
Grade NAT Prevention
ARQUITETURA DE PROCESSAMENTO DE PACOTE DE
PASSAGEM ÚNICA
VERSA SASE SECURITY SERVICES EDGE

Segurança Filtro Filtro Anti

DNS Arquivos URL Malware

- Listas de permissão - Ações baseadas em - Categorização de URL - Verificação e inspeção de

- Listas de negação metadados de arquivo
- Ações baseadas em - Ações Baseadas em
reputação Reputação
- Ações baseadas em - Verificação em tempo real
conslultas DNS na nuvem
- DNS proxy - Listas de permissão
- Listas de negação
- Descriptografia SSL/TLS
- Inspeção SSL/TLS
- Proxy Explicito
- Proxy Transparente
- Arquivo PAC
- Autenticação
arquivos em conexões
criptografadas
- No local ou na nuvem
- Perfis de proteção
- Proteção em ftp, http,
http2, https, imap, mapi,
pop3, smtp
VERSA SASE SECURITY SERVICES EDGE

Proteção NGFW NG-IPS Filtro Usuário Remoto

DDoS IPs

- Proteção de zonas - Controle de aplicações - IDS/IPS - Geolocalização - ZTNA

- NGFW - FW Stateful Inspection - Detecção de anomalias e - Ações Baseadas em - Autenticação de usuário e
- Fluxos - Inspeção de aplicações baseada em assinatura Reputação dispositivo
- Varredura de portas (ALGs: ftp, sip, pptp, - Proteção em tempo real - Pesquisa reversa de IP - Obfuscação de rede
- Ataques basados em tftp, ike) - Assinaturas OT (Scada, - Listas de permissão - Alto desempenho em
pacotes - Geolocalização modbus, dnp3, etc.) - Listas de negação conexões de nuvem
- Integração com - Formato SNORT - Opções avançadas de
sistemas de - Personalização de conectividade
autenticação assinaturas - Controle de acesso
- Atualização automática granular
VERSA SASE SECURITY SERVICES EDGE

CASB DLP RBI SANDBOXING

- DPI - DLP na camada de rede - Atividades de Navegação - Suporte a vários

- Controle Avançado de - Avaliação de arquivos, em Ambientes mecanismos de detecção
Aplicações metadados, etc... Controlados de malware
- Controle Baseado em - Reconhecimento óptico - Redução drástica de - Proteção “zero-day”
ações de caracteres OCR ataques a navegadores - Suporte a diversos tipos
- Políticas baseadas no - Conformidade - Proteção de usuários de arquivoa
usuário contra sites maliciosos - Portal de sandbox com
- Nível de risco atribuído - Modelo de confiança zero visibilidade detalhada
a aplicações - Mecanismo baseado em
AI/ML para recursos
avançados de
identificação
VERSA É 100% COMPATÍVEL COM OS SEGUINTES
PROVEDORES/PROTOCOLOS DE IDENTIDADE
Versa Secure Access - ZTNA

Painel único de gerência e visibililidade 1 Segurança contextual e do usuário

Titan Concerto Director* • Autenticação de dispositivo e usuário
• Comportamento do usuário, ambiente e contexto de
localização

Branch HQ
laaS 2 Rede focada na experiência das aplicações
• Seleção de gateways inteligente
Rede acelerada multi-acessos
• Direcionamento otimizado de tráfego

3 Segurança de aplicações e de dados

• Ofuscação de rede
Versa Cloud Gateways • Segurança de dados

4 Visibilidade e gerenciamento
• Painel único para gerenciar e monitorar
IoT/
Celular
SDWAN e SASE
VERSA SECURE WEB GATEWAY
Painel único de gerência e visibilidade

Titan Concerto Director Secure Web Gateway

• Conecte com segurança filiais, usuários remotos a
aplicativos SaaS e Internet
Internet SaaS laaS
• Proteja aplicativos SaaS de dispositivos de
usuários/BYOD

Suíte de Segurança aplicada ao tráfego

• IPS integrado, Antimalware, Filtragem de URL,

Versa Cloud Gateway Segurança DNS

• SSL Decryption
Rede acelerada multi-acessos

BYOD
Laptop
Branch /Mobile
HQ
SEGURANÇA DNS
SITUAÇÃO ATUAL E NECESSIDADE

• Esses ataques podem redirecionar o tráfego destinado a

um site para uma cópia falsa do mesmo, transferir
malwares, coletar informações confidenciais do usuário
e expor as empresas a grandes riscos.
• A necessidade de Firewall de DNS surge para proteger os
servidores DNS de ficarem sobrecarregados com
solicitações de usuários/atacantes.
• Necessidade de alguma segurança na camada superior
antes mesmo das interações L3/L4/L7 acontecerem
entre o cliente e o servidor da Web
SEGURANÇA DNS
SOLUÇÃO E FUNCIONALIDADES

Lista de Negação

Lista de Permissão

Categorias

Reputação

Tipo de consultas
VERSA ANTI-VIRUS
SOLUÇÃO E FUNCIONALIDADES

No local ou na nuvem com Versa Secure Web Gateway

Configuração de segurança unificada em gateways distribuídos para
filiais, sedes e usuários em roaming/WFH por meio de templates
Perfis de Anti-Virus para detector Malware escondidos em arquivos
SWG
Capacidade de verificar o tráfego de upload e download
Ampla cobertura de tipos de arquivo para detecção de malware eficaz
e granular
ANTIVIRUS Opções de personalização para criar perfis antivírus definidos pelo
usuário com base nas necessidades da empresa
Melhora a postura de segurança e conformidade bloqueando ataques
de malware

VOS
VERSA ANTI-VIRUS
SOLUÇÃO E FUNCIONALIDADES

FTP HTTP HTTP2 HTTPS IMAP MAPI POP3 SMTP

Os perfis de descriptografia permitem

verificar e inspecionar arquivos ocultos no
tráfego HTTPS criptografado

ALERT DENY
O módulo Antivírus extrai os arquivos e verifica se há vírus:
* Se o antivírus detectar uma carga maliciosa no conteúdo verificado, a ação no ALLOW REJECT
antivírus configurado será aplicada
* Se o AV não detectar uma carga maliciosa no conteúdo escaneado, o último
pacote retido no buffer é liberado e enviado ao destino.
VERSA PROTEÇÃO DDOS/DOS
SOLUÇÃO E FUNCIONALIDADES

ZONE PROTECTION NGFW

Flood Flood
Port Scan
Packet Based
Attack
VERSA PROTEÇÃO DDOS/DOS
PROCESSAMENTO DE PACOTES

DoS Packet
Advanced
Level
DDoS NGFW
Protection
VERSA IDS/IPS
SOLUÇÃO E FUNCIONALIDADES
O VOS fornece o recurso IDS/IPS para se
defender contra as vulnerabilidades divulgadas
pelos fornecedores do produto ou pela
comunidade de hackers éticos, que descobrem
as vulnerabilidades usando vários métodos.
O ritmo em que a nova tecnologia está sendo
desenvolvida e implantada leva ao efeito
colateral não intencional de ter vários produtos
de software e hardware com vulnerabilidades
que podem ser exploradas para fins maliciosos.
● Detecção/prevenção baseada em assinatura e anomalia
● Ampla cobertura nos últimos 10 anos
● Mecanismo de detecção de anomalias e assinaturas de
vulnerabilidade
○ Fornece proteção em tempo real
● Cobertura adicional para vulnerabilidades divulgadas
○ Parte da Microsoft Tuesday
● Suporte para assinaturas PCN/SCADA (modbus, dnp3)
● Suporte para formato de regra Snort
● Suporte para assinaturas de vulnerabilidade
personalizadas/definidas pelo usuário
● Atualizações automáticas de assinaturas via Versa
Security Package
DATA LOSS PREVENTION (DLP)
Data Loss Prevention (ou DLP), é uma solução de segurança cibernética que pode detectar e prevenir a exfiltração de dados que leva
a violações. As organizações usam o DLP para bloquear a extração de dados confidenciais para garantir sua segurança interna e
conformidade legal/regulatória.

Prevenção de vazamento de dados

DLP
(Data Loss Prevention)
Segurança de dados
Prevenção de vazamento de dados
Formato de dados
Conformidade
Network DLP * In-line DLP * Cloud DLP
Segurança de dados
• Detecta erros de configuração • Contexto, ID, política baseada em conteúdo
•
•
Criptografia e tokenização
Política de BYOD
•
•
Redação e criptografia
Marca d´água
• Suporte para OCR e vários formatos de • Quarentena
documentos • Integração com terceiros
Formato de dados
Conformidade
• Suportes de protocolo: HTTP, SMTP, FTP etc
• Formatos de documentos: XLS, DOC, PDF etc. • Reconhecer centenas de informações
• Proxy: SSL / TLS, Proxy de e-mail etc. identificáveis
• Requisitos de Conformidade e
Certificação
• Varredura e correção automática

Off Premise On Premise

CLOUD ACCESS SECURITY BROKER (CASB)
O Cloud Access Security Broker fornece um serviço de segurança crítico que ajuda a empresa a definir políticas, monitorar o
comportamento e gerenciar riscos, garantindo o uso seguro de aplicativos e serviços em nuvem para evitar o vazamento acidental de dados.
O CASB pode ser executado no local, em data centers corporativos ou na nuvem; e posicionar-se entre o usuário final e a nuvem.

Visibilidade e Controle Proteção contra ameaças

CASB
(Cloud Access Security Broker)
Visibility & Control
Threat Protection
Data Security
Compliance Management
Reverse Proxy * Forward Proxy * API
• Descoberta de “Shadow TI”
•
•
Ingestão de Log de Firewall
Classificação de risco de nuvem
• Segurança de dados baseada em
políticas
•
Segurança de dados
• Detecta erros de configuração
• Criptografia e tokenização
• Política de BYOD
• Suporte para OCR e formatos de documentos
• Análise de Comportamentos e do
Usuário
• Proteção contra malware
• MFA e Política de Usuário/Grupo
•
Gestão de conformidade
• Integração baseada em APIs
• Auditoria e Relatórios
• Auto-correção
• Modelos de política predefinidos

Off Premise On Premise

REMOTE BROWSER ISOLATION (RBI)

1. As sessões do usuário são verificadas quanto a riscos com base na filtragem e

Benefícios:
• Proteção contra categorização de URL
malware 2. Sites arriscados são renderizados em navegadores remotos
• Navegação Anônima
• Acesso livre à Internet 3. Páginas higienizadas (principalmente como arquivos de imagem) são renderizadas no
sem riscos navegador do usuário
• Garantia de
conformidade

Risky Sites

Secure Sites E.g., O365, Youtube, etc

Policy Decision Point
PARCERIAS DE TESTES DE SEGURANÇA VERSA

Firewall Certification

ISO 27001, SOC-2, PCI Certification

Teste de Vulnerabilidade
Teste de Penetração

TESTE DE PENETRAÇÃO REGULAR PARA GARANTIR QUE O VERSA SASE ESTÁ SEGURO
CERTIFICAÇÕES VERSA
CONFORMIDADE E CERTIFICAÇÕES

Cyber Security
27001:2013 SD-WAN SD-WAN AAA Bureau of the
MPS

FIPS 140-2 level 1 and EAL4, NDcPP

level 2 USGv6

SOC 2
FSS
 Thank You
Obrigado!

Transformando o Negócio de Redes