El entorno empresarial actual está fuertemente centrado en la nube. Las tendencias emergentes que vemos no muestran signos de ceder. Las cargas de trabajo que se trasladan a la nube, el creciente número de dispositivos que acceden a las aplicaciones y los datos, y la naturaleza más distribuida de la fuerza de trabajo se han acelerado por los acontecimientos sanitarios mundiales registrados el año pasado.
Aunque la seguridad centrada en el datacenter facilita el uso y la gestión, en el entorno moderno actual este modelo centralizado y desplegado no es tan eficaz. Con el aumento de la cantidad de tráfico que fluye por los enlaces de red antes de salir a Internet, combinado con un número creciente de empleados que trabajan desde sucursales o ubicaciones remotas, la latencia es abrumadora.
El acceso seguro a los servicios debe estar en todas partes, no sólo en el datacenter. Aquí es donde entra en juego la plataforma SASE: Secure Access Service Edge.
¿Qué es el Secure Access Service Edge (SASE)?
SASE (pronunciado «sassy») es un modelo o arquitectura basado en la nube que aborda las limitaciones de la infraestructura de red tradicional «hub-and-spoke» que conecta a los usuarios en múltiples ubicaciones (spokes) con los recursos alojados en centros de datos centralizados (hubs), que alojan las aplicaciones y los datos. El acceso a estos recursos requiere una red privada localizada o una red secundaria que se conecte a la red principal mediante una línea alquilada segura o una VPN.
Problemas con el hub-and-spoke
En teoría, el modelo hub-and-spoke es sencillo. Sin embargo, el modelo no puede manejar las complejidades que implican los servicios basados en la nube, como el software como servicio (SaaS) y el aumento de las fuerzas de trabajo distribuidas. A medida que más cargas de trabajo, aplicaciones y datos corporativos sensibles se trasladan a la nube, las organizaciones deben reevaluar cómo y dónde se inspecciona el tráfico de red y cómo se gestionan las políticas de acceso seguro de los usuarios.
Redirigir todo el tráfico a través de un centro de datos centralizado no es práctico (debido a la latencia) cuando muchas aplicaciones y datos se alojan en la nube. Además del problema de la latencia, los usuarios remotos pueden sufrir cuando utilizan una VPN para conectarse a una red corporativa. No es raro que los usuarios frustrados accedan a los recursos de la empresa a través de una conexión no segura, exponiéndose a riesgos de seguridad adicionales.
SASE al rescate
Entra en escena SASE, que coloca los controles de la red en el borde de la nube en lugar de en el centro de datos corporativo, más cerca del servicio al que se accede. Las implantaciones de SASE eliminan los servicios en la nube por capas que requieren una configuración y gestión separadas, simplificando los servicios de red y seguridad para crear un borde de red seguro y sin fisuras.
Una de las características clave de SASE es el uso de políticas de acceso basadas en la identidad y de confianza cero en la red de borde. Con ello, las organizaciones pueden proporcionar acceso específico sólo a las aplicaciones y datos que los usuarios necesitan para completar sus tareas, sin tener que conectarse a la red a través de una VPN. La empresa obtiene un control más granular sobre las políticas de seguridad de la red y puede prescindir de hardware heredado como VPN y firewalls.
Lo mejor de las funciones de seguridad actuales
Para dar soporte a las siempre cambiantes necesidades de acceso seguro de muchas organizaciones hoy en día, SASE incorpora varias funciones de seguridad de red como la pasarela web segura (SWG), los agentes de seguridad de acceso a la nube (CASB), el cortafuegos como servicio (FWaaS) y el acceso a la red de confianza cero (ZTNA). Estas capacidades se suministran junto con SDWAN y son principalmente «as-a-service», utilizando la identidad del usuario o dispositivo que se conecta, el contexto en tiempo real y las políticas de seguridad o de cumplimiento.
Esencialmente, SASE es un nuevo paquete de funciones de seguridad que incluye las tecnologías antes mencionadas como capacidades principales. Utilizando estas funciones de seguridad, los ejemplos de lo que el modelo SASE puede lograr para las organizaciones incluyen la identificación de datos sensibles o malware (utilizando DLP), el descifrado de contenido a velocidad de línea (utilizando NGFW, SWG o dispositivos de descifrado SSL/TLS) y la supervisión continua de las sesiones para los niveles de riesgo y confianza.
¿Cuáles son los objetivos de SASE?
El objetivo principal del marco SASE es ayudar a modernizar las redes y la seguridad para mantenerse al día con los requisitos empresariales en constante evolución. De este modo, SASE proporciona una seguridad unificada para todos los usuarios, independientemente del lugar en el que trabajen, y ofrece visibilidad y control sobre lo que se puede acceder.
Las organizaciones que implantan SASE deben adoptar el enfoque estratégico CARTA (Continuous Adaptive Risk and Trust Assessment). Con CARTA, para obtener una gestión eficaz del riesgo y la ciberseguridad, se necesita:
- Visibilidad completa de los dispositivos y control automatizado
- Microsegmentación de redes para reducir el movimiento lateral y contener las brechas
- Supervisión, evaluación y corrección continuas de los riesgos cibernéticos y operativos
- Productos y soluciones de múltiples proveedores, con nuevos niveles de orquestación, automatización y respuesta
- Gestionar de forma segura y eficaz los dispositivos IoT sin agente y la tecnología operativa (sistemas OT)
- Descubrimiento, evaluación de la postura y corrección/control de los dispositivos físicos y virtuales, así como de la infraestructura y las cargas de trabajo en la nube
La clave para implementar CARTA, y a su vez SASE, es adoptar un enfoque de confianza cero. La estrategia de «Verificar, luego confiar» en lugar de confiar por defecto es fundamental. Con la Confianza Cero, usted asume que su red ha sido comprometida, y los usuarios y dispositivos deben probar que son quienes o lo que dicen ser. Incluso si los usuarios o dispositivos ya se encuentran dentro del perímetro de la red, se requiere una estricta verificación de la identidad.
A alto nivel, el objetivo final de las empresas que desean adoptar SASE es este: aprovechar la tecnología centrada en la nube para reducir las cargas y los costes operativos y, al hacerlo, reducir las amenazas para la organización.
Las tecnologías clave que componen una arquitectura SASE
Es importante entender que la arquitectura SASE no está atada a ningún proveedor o solución, y tiene como objetivo proporcionar la infraestructura de seguridad más flexible posible. Los siguientes componentes de seguridad y red conforman la arquitectura SASE.
- Secure Web Gateway (SWG) para la inspección del tráfico para proteger a los usuarios de los sitios maliciosos y hacer cumplir las políticas de acceso
- Firewall as a Service (FWaaS) para capacidades de firewall de próxima generación (NGWF) para proteger la red contra una amplia gama de amenazas modernas. NGFW no sólo defiende los activos, como los servidores alojados en el centro de datos, sino también a los usuarios que trabajan in situ o se conectan a través de VPN.
- Cloud Access Security Broker (CASB) para una capa adicional de soporte que garantice que el tráfico de red entre los dispositivos locales y los proveedores de la nube cumple con las políticas de seguridad de la organización.
- Soluciones de Acceso a la Red de Confianza Cero (ZTNA) para una conectividad segura y sin fisuras a las aplicaciones, sin colocar a los usuarios en la red ni exponer las aplicaciones a Internet ni depender de las soluciones heredadas.
- SD-WAN para ahorrar costes de WAN y asegurar los dispositivos IoT. Desde un panel de vidrio, SD-WAN permite a las organizaciones ver y gestionar los flujos de datos a través de todos los circuitos de Internet y proporciona la capacidad de priorizar el ancho de banda a las aplicaciones críticas para el negocio.
Beneficios de SASE para una empresa
El modelo SASE anima a las empresas a consolidar estas tecnologías básicas con menos proveedores. Lo ideal es que se gestionen desde un único portal.
Más concretamente, las ventajas de implementar una arquitectura SASE en una organización incluyen:
- Enrutamiento optimizado para la latencia – SASE ayuda a reducir la latencia mediante el direccionamiento del tráfico de red a través de una red de borde global. En el borde, los datos y el tráfico de red se procesan más cerca del usuario o del dispositivo.
- Menores costes y complejidad – Al consolidar los proveedores y las pilas de tecnología, se pueden reducir los costes y las complejidades.
- Agilidad – Los nuevos escenarios empresariales digitales con una adopción más rápida son viables con una menor exposición al riesgo y menos gastos operativos.
- Habilitar más fácilmente la ZTNA – Permitir un acceso seguro a la red basado en la identidad del usuario, el dispositivo o la aplicación con cifrado de extremo a extremo.
- Política centralizada, aplicación local – Obtenga una gestión centralizada basada en la nube mientras mantiene una aplicación distribuida de las políticas.
Al final del día, cuando se implementa correctamente, SASE permite a las organizaciones alcanzar una tecnología centrada en la nube, reducir la carga operativa y el coste, y mejorar la seguridad y reducir las amenazas. Recuerde que SASE no es algo que se pueda comprar de la estantería y que hay muchas maneras de montar una solución SASE.