Questão nº 119

Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 119)

FGV2025Auditor Estadual de Controle - Tecnologia da InformaçãoTecnologia da Informação
Gabarito: Cver comentário ↓

Um órgão estadual está implementando arquitetura SASE (Secure Access Service Edge) para modernizar a segurança de rede e o acesso em contexto de força de trabalho híbrida e a adoção de aplicações SaaS. A solução proposta integra SD-WAN, CASB, ZTNA e FWaaS em plataforma cloud-native.
Um auditor interno questiona a arquitetura, citando que o órgão já possui firewall de borda tradicional, VPN IPsec para acesso remoto e proxy web on-premises.
Nesse contexto, assinale a opção que apresenta corretamente as limitações da arquitetura tradicional e os benefícios da abordagem SASE.

Resposta comentada

Gabarito Alternativa C

SASE (Secure Access Service Edge) é uma arquitetura de segurança de rede que combina funções de rede (como SD-WAN) e segurança (como firewall, CASB, ZTNA) em um único serviço entregue na nuvem. Ela foi criada para atender às necessidades de uma força de trabalho distribuída e da crescente adoção de aplicações em nuvem (SaaS), movendo a segurança do perímetro do datacenter para mais perto do usuário, onde quer que ele esteja.

  • (A) Incorreta: A afirmação de que SASE exige que todo tráfego corporativo seja roteado por um único PoP regional para consistência de políticas é falsa; SASE utiliza uma rede global de PoPs, roteando o tráfego pelo PoP mais próximo para reduzir a latência, não para mantê-la ou aumentá-la.
  • (B) Incorreta: A afirmação de que SASE torna desnecessárias todas as soluções DLP on-premises é muito forte e incorreta; SASE estende o DLP para a nuvem e usuários remotos, mas muitas organizações ainda precisam de DLP para dados e aplicações sensíveis localizadas on-premises.
  • (C) Correta: Esta alternativa descreve com precisão as limitações da arquitetura tradicional (como hairpinning para inspeção de SaaS e acesso amplo via VPN IPsec) e os benefícios da abordagem SASE. SASE distribui controles de segurança para PoPs próximos aos usuários, implementa ZTNA para acesso contextual e microssegmentado, oferece visibilidade e DLP para SaaS via CASB, permite breakout local de tráfego via SD-WAN e consolida políticas através de FWaaS unificado, resolvendo os problemas da arquitetura antiga.
  • (D) Incorreta: A afirmação de que SASE mantém topologia hub-and-spoke com inspeção centralizada obrigatória é fundamentalmente falsa e a principal "pegadinha". SASE elimina a necessidade de topologias hub-and-spoke e inspeção centralizada, promovendo o breakout local e a inspeção distribuída para reduzir latência e melhorar o desempenho.
  • (E) Incorreta: A afirmação de que SASE mantém um modelo de segurança baseado em perímetro de rede confiável, apenas transferido para a nuvem, é incorreta; SASE adota o modelo Zero Trust, que abandona a ideia de perímetro confiável. Além disso, ZTNA não é apenas uma VPN SSL melhorada, e CASB oferece muito mais do que replicar funcionalidades de proxy web.

Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.

Continue estudando

Estudar é izi

Pratique milhares de questões como esta, de graça, com explicação e gamificação no Quizinho.

Estudar de graça no Quizinho