Questão nº 119
Questão de Tecnologia da Informação · FGV CGE-SP 2025 (nº 119)
Um órgão estadual está implementando arquitetura SASE (Secure Access Service Edge) para modernizar a segurança de rede e o acesso em contexto de força de trabalho híbrida e a adoção de aplicações SaaS. A solução proposta integra SD-WAN, CASB, ZTNA e FWaaS em plataforma cloud-native.
Um auditor interno questiona a arquitetura, citando que o órgão já possui firewall de borda tradicional, VPN IPsec para acesso remoto e proxy web on-premises.
Nesse contexto, assinale a opção que apresenta corretamente as limitações da arquitetura tradicional e os benefícios da abordagem SASE.
- AA arquitetura tradicional mantém perímetro definido e inspeção centralizada, mas SASE elimina a necessidade de backhauling de tráfego SaaS através do datacenter (hairpinning). Entretanto, SASE exige que todo tráfego corporativo seja roteado por um único PoP regional para garantir consistência de políticas, o que pode gerar latência similar ao modelo VPN tradicional.
- BVPN tradicional concede acesso em nível de rede (layer 3) independente de contexto de sessão, enquanto SASE com ZTNA provê acesso microssegmentado por aplicação baseado em identidade contínua. Porém, SASE depende exclusivamente de DLP em nuvem (CASB), tornando desnecessárias soluções on-premises de prevenção de vazamento de dados e classificação de informações sensíveis.
- CO modelo perimetral tradicional força hairpinning de tráfego SaaS para inspeção centralizada e VPN IPsec provê acesso amplo à rede interna. SASE distribui controles de segurança em PoPs próximos aos usuários, implementa ZTNA com acesso contextual por aplicação, oferece visibilidade/DLP em SaaS via CASB, permite breakout local de tráfego via SD-WAN e consolida políticas através de FWaaS unificado. (alternativa correta)
- DFirewall tradicional e proxy on-premises oferecem inspeção profunda adequada, mas SASE agrega CASB para descoberta de Shadow IT e ZTNA para substituir VPN. A principal vantagem é que SD-WAN em arquitetura SASE elimina a necessidade de links MPLS, mas mantém topologia hub-and-spoke com inspeção centralizada obrigatória para conformidade regulatória em órgãos públicos.
- ESASE permite consolidação de fornecedores e redução de appliances físicos, mas o modelo de segurança permanece baseado em perímetro de rede confiável, apenas transferido para cloud. O ZTNA em SASE funciona como VPN SSL melhorada com MFA, mantendo lógica de confiança implícita pós-autenticação, enquanto CASB apenas replica funcionalidades de proxy web existente para tráfego HTTPS.
Resposta comentada
Gabarito Alternativa C
SASE (Secure Access Service Edge) é uma arquitetura de segurança de rede que combina funções de rede (como SD-WAN) e segurança (como firewall, CASB, ZTNA) em um único serviço entregue na nuvem. Ela foi criada para atender às necessidades de uma força de trabalho distribuída e da crescente adoção de aplicações em nuvem (SaaS), movendo a segurança do perímetro do datacenter para mais perto do usuário, onde quer que ele esteja.
- (A) Incorreta: A afirmação de que SASE exige que todo tráfego corporativo seja roteado por um único PoP regional para consistência de políticas é falsa; SASE utiliza uma rede global de PoPs, roteando o tráfego pelo PoP mais próximo para reduzir a latência, não para mantê-la ou aumentá-la.
- (B) Incorreta: A afirmação de que SASE torna desnecessárias todas as soluções DLP on-premises é muito forte e incorreta; SASE estende o DLP para a nuvem e usuários remotos, mas muitas organizações ainda precisam de DLP para dados e aplicações sensíveis localizadas on-premises.
- (C) Correta: Esta alternativa descreve com precisão as limitações da arquitetura tradicional (como hairpinning para inspeção de SaaS e acesso amplo via VPN IPsec) e os benefícios da abordagem SASE. SASE distribui controles de segurança para PoPs próximos aos usuários, implementa ZTNA para acesso contextual e microssegmentado, oferece visibilidade e DLP para SaaS via CASB, permite breakout local de tráfego via SD-WAN e consolida políticas através de FWaaS unificado, resolvendo os problemas da arquitetura antiga.
- (D) Incorreta: A afirmação de que SASE mantém topologia hub-and-spoke com inspeção centralizada obrigatória é fundamentalmente falsa e a principal "pegadinha". SASE elimina a necessidade de topologias hub-and-spoke e inspeção centralizada, promovendo o breakout local e a inspeção distribuída para reduzir latência e melhorar o desempenho.
- (E) Incorreta: A afirmação de que SASE mantém um modelo de segurança baseado em perímetro de rede confiável, apenas transferido para a nuvem, é incorreta; SASE adota o modelo Zero Trust, que abandona a ideia de perímetro confiável. Além disso, ZTNA não é apenas uma VPN SSL melhorada, e CASB oferece muito mais do que replicar funcionalidades de proxy web.
Fonte: FGV CGE-SP 2025 Auditor Estadual de Controle - Tecnologia da Informação (Caderno Tipo 1). Reproduzida para fins de estudo.