SASE es un enfoque seguridad de red que combina prestaciones de seguridad de red y redes en un servicio único en cloud. La principal diferencia entre SASE y la seguridad de red tradicional es que, en lugar de direccionar todo el tráfico de nuevo a un centro de datos para aplicar políticas de seguridad, SASE ofrece prestaciones de seguridad y otros servicios más cerca del punto de conexión de los usuarios y los puntos finales, es decir, en el perímetro de la red.

El modelo SASE ofrece un gran potencial para reforzar la seguridad de red, simplificar la gestión del rendimiento de la red y mejorar la experiencia del usuario en general.

Según vaya aumentando el número de organizaciones que persiguen la transformación digital —y dada la creciente adopción de entornos en cloud, edge computing y modelos de trabajo híbrido o teletrabajo—, aumentarán también los usuarios y los recursos de TI que residen fuera del perímetro de red tradicional. SASE permite a las organizaciones proporcionar conexiones directas, seguras y de baja latencia entre los usuarios y dichos recursos, independientemente de su ubicación. Puede que SASE sea una tecnología relativamente nueva —Gartner, analista del sector, definió el concepto en 2019—, pero son muchos los expertos en seguridad que creen que representa el futuro de la seguridad de red.

SASE es la combinación, o convergencia, de dos tecnologías básicas: las redes de área amplia definidas por software, o SD-WAN, y el perímetro de servicio seguro, o SSE. Comprender el funcionamiento de SASE resulta más sencillo si entendemos primero qué hace cada una de estas tecnologías.

SD-WAN

Una SD-WAN es una red de área amplia que se ha virtualizado, de la misma manera que se virtualizan los servidores. Separa la funcionalidad de red del hardware subyacente (conexiones, conmutadores, direccionadores, pasarelas) para crear una serie de prestaciones de seguridad de red y de capacidad de red que se puede dividir, agregar y aplicar al tráfico mediante control de software.

Las redes de área amplia (WAN) tradicionales se diseñaron para conectar a los usuarios de las sedes corporativas con las aplicaciones del centro de datos corporativo central, por lo general mediante costosas conexiones de red de línea alquilada, dedicadas y privadas. Los direccionadores instalados en cada sede controlaban y priorizaban el tráfico para garantizar el rendimiento óptimo de las aplicaciones más importantes. Las funciones de seguridad, como la inspección de paquetes y el cifrado de datos, se aplicaban en el centro de datos central.

Originalmente, el concepto SD-WAN se desarrolló para permitir que las organizaciones duplicaran sus prestaciones de WAN en una infraestructura de Internet más escalable y de menor coste. Sin embargo, la demanda de SD-WAN se aceleró con el aumento del número de empresas que comenzaron a adoptar servicios cloud sin estar del todo preparadas para confiar en la seguridad de Internet. El modelo de seguridad WAN planteaba ciertas dificultades: direccionar volúmenes cada vez mayores de tráfico destinado a Internet a través del centro datos corporativos creaba un cuello de botella con un coste muy elevado, y se degradaban tanto el rendimiento de la red como la experiencia de usuario.

SD-WAN elimina este cuello de botella, ya que permite aplicar la seguridad al tráfico en el punto de conexión, en lugar de obligar a direccionar el tráfico hacia la seguridad. Permite a las organizaciones establecer conexiones directas, seguras y optimizadas entre los usuarios y los recursos que necesiten, como SaaS (software como servicio), recursos en cloud o servicios de Internet público.

SSE

SSE, otro término acuñado por Gartner, es «la parte de SASE que corresponde a la seguridad». Gartner explica SSE como la convergencia de tres tecnologías clave de seguridad nativa en cloud:

Pasarelas web seguras (SWG). Una SWG es como un guardia de tráfico de Internet bidireccional. Evita que el tráfico malicioso llegue a los recursos de red, utilizando técnicas como los filtros de tráfico y la inspección de consultas de sistemas de nombres de dominio (DNS) para identificar y bloquear el malware, el ransomware y otras ciberamenazas. Impide, además, que los usuarios autorizados se conecten a sitios web sospechosos: en lugar de conectarse directamente a Internet, los usuarios y los puntos finales se conectan a las SWG, a través de las cuales solo pueden acceder a recursos aprobados (por ejemplo, centros de datos locales, aplicaciones empresariales y servicios y aplicaciones en cloud).

Intermediarios de seguridad de acceso en cloud (CASB). Los CASB se ubican entre los usuarios y las aplicaciones y recursos en cloud. Los CASB imponen políticas de seguridad de empresa —como cifrado, control de acceso y detección de malware— cuando los usuarios acceden al cloud, independientemente de la ubicación o de la forma de conexión, y pueden hacerlo sin instalar software en el dispositivo de punto final, de modo que son una opción perfecta de protección para BYOD (traiga su propio dispositivo) y otros casos de uso de transformación de la fuerza de trabajo. Hay otros tipos de CASB que también pueden imponer políticas de seguridad cuando los usuarios se conectan a activos desconocidos en cloud.

Acceso a la red de confianza cero (ZTNA). Un enfoque de confianza cero de acceso a la red es aquel que no confía nunca y valida continuamente a todos los usuarios y entidades, tanto si están fuera como dentro de la red. A los usuarios y las entidades validados se les otorga el acceso privilegiado mínimo necesario para realizar sus tareas. Todos los usuarios y entidades están obligados a volver a validarse cada vez que cambia su contexto, y todas las interacciones de datos se autentican paquete por paquete hasta que finaliza la sesión de conexión.

ZTNA no es un producto de seguridad propiamente dicho, sino un enfoque seguridad de red que se implementa mediante diversas tecnologías, que incluyen la gestión de identidad y acceso (IAM), la autenticación de multifactores (MFA), los análisis de comportamiento de entidad y usuario (UEBA) y varias soluciones de detección y respuesta de amenazas.

Las plataformas SASE de determinados proveedores pueden incluir otras prestaciones de seguridad y prevención de amenazas, como el cortafuegos como servicio (FWaaS), la prevención de pérdida de datos (DLP), el control acceso de red (NAC) y las plataformas de protección de puntos finales (EPP).

Funcionamiento en conjunto

Las soluciones SASE utilizan SD-WAN para proporcionar servicios de seguridad SSE a los usuarios, dispositivos y otros puntos finales en el punto de conexión o cerca de él, en el perímetro de la red.

En concreto, en lugar de enviar todo el tráfico de nuevo a un centro de datos central para la inspección y el cifrado, las arquitecturas SASE dirigen el tráfico a puntos de presencia (PoP) distribuidos que están ubicados cerca del usuario final o del punto final. (Los PoP son propiedad del proveedor de servicio SASE o se establecen en el centro de datos de un proveedor externo). El PoP protege el tráfico mediante servicios SSE prestados en cloud, y luego el usuario o el punto final se conectan a los clouds públicos y privados, a las aplicaciones de software como servicio (SaaS), a Internet público o a cualquier otro recurso.

SASE aporta importantes ventajas de negocio a los equipos de seguridad, el personal de TI, los usuarios finales y la organización en conjunto.

Ahorro de costes, o más específicamente, menor gasto de capital. Básicamente, SASE es una solución de seguridad SaaS: los clientes compran el acceso al software para configurar y controlar el SASE, y reciben todas las ventajas del hardware del proveedor de servicios cloud en el que se proporciona. En lugar de direccionar el tráfico desde un direccionador de la sede a un hardware de centro de datos local para aplicar la seguridad, los clientes de SASE direccionan el tráfico al cloud desde la conexión a Internet más cercana.

Las empresas también pueden consumir SASE como una solución híbrida entregada a través del cloud público y de la infraestructura local de la organización, que integra el hardware de redes físicas, los dispositivos de seguridad y el centro de datos con sus equivalentes virtualizados nativos en cloud.

Gestión y operaciones más sencillas. Los marcos SASE ofrecen una solución única y coherente para proteger cualquier recurso que se conecte —o se intente conectar— a la red; no solo los usuarios, sino también los dispositivos de Internet de las cosas (IoT), las API, los microservicios contenerizados o las aplicaciones sin servidor, e incluso las máquinas virtuales (VM) que se ponen en marcha bajo demanda. Así mismo, eliminan la necesidad de gestionar una serie de soluciones de puntos de seguridad —direccionadores, cortafuegos, etc.— en cada punto de conexión. En su lugar, los equipos de TI o seguridad pueden elaborar una única política central para proteger todas las conexiones y recursos de la red, además de gestionarlo todo desde un único punto de control.

Ciberseguridad más sólida. Si se implementa correctamente, SASE puede mejorar la seguridad a varios niveles. Simplificar la gestión permite reforzar la seguridad, al reducir la posibilidad de errores o configuraciones erróneas. Para proteger el tráfico de los usuarios remotos, SASE sustituye el sistema de permisos de acceso de red privada virtual (VPN) —que es universal e igual para todos—, por el control de acceso ZTNA basado en identidad y contexto —que es más preciso— para aplicaciones, directorios, conjuntos de datos y cargas de trabajo. 

Mejor experiencia de usuario, y más coherente. Con SASE, los usuarios se conectan a la red siempre de la misma forma, tanto si trabajan en su oficina como en una sede, desde casa o durante los trayectos de viaje, e independientemente de si están conectados a aplicaciones y recursos alojados en cloud o en local. Los servicios SD-WAN direccionan automáticamente el tráfico al PoP más cercano y, una vez que se aplican las políticas de seguridad, optimizan las conexiones para obtener el mejor rendimiento posible.

SASE supone una ventaja para cualquier organización que desee apartarse del modelo de centro de datos central de entrega de aplicaciones, pero hoy en día hay algunos casos de uso específicos que están impulsando su adopción.

Protección de las fuerzas de trabajo híbridas sin cuellos de botella de VPN. Durante casi dos décadas, las VPN han sido el medio predominante de protección de los usuarios de dispositivos móviles o remotos. Sin embargo, las VPN no se pueden escalar con facilidad, y muchas organizaciones lo aprendieron de la peor forma posible, cuando todos sus empleados tuvieron que empezar a teletrabajar a causa de la pandemia de COVID-19. Por el contrario, SASE se puede escalar de forma dinámica para facilitar los requisitos de seguridad de los trabajadores remotos, en particular, y de la evolución de la fuerza de trabajo, en general.

Adopción del cloud híbrido y migración al cloud. El cloud híbrido combina infraestructura de cloud público, cloud privado e infraestructura local en un único entorno informático flexible, donde las cargas de trabajo se mueven libremente entre las infraestructuras a medida que cambian las circunstancias. Las soluciones de seguridad WAN no están diseñadas para este tipo de movilidad de cargas de trabajo, pero SASE, que abstrae las prestaciones de seguridad de la infraestructura subyacente, protege el tráfico allá donde va. Además, ofrece a las organizaciones la flexibilidad de migrar las cargas de trabajo al cloud a su propio ritmo.

Proliferación de dispositivos de IoT/OT y edge computing. Edge computing es un modelo de informática distribuida en el que las aplicaciones y los recursos informáticos se ubican fuera del centro de datos centralizado y más cerca de lios orígenes de datos como teléfonos móviles, dispositivos IoT o de tecnología operativa (OT) y servidores de datos. Esta proximidad permite mejorar los tiempos de respuesta de las aplicaciones y agilizar la extracción de información práctica, sobre todo para aplicaciones de inteligencia artificial (IA) y machine learning que procesan volúmenes ingentes de datos en streaming en tiempo real.

Para habilitar estas aplicaciones, las organizaciones o los proveedores de soluciones han desplegado miles de sensores de IoT o dispositivos de OT, que en muchas ocasiones disponen de poca o ninguna configuración de seguridad. Así, estos dispositivos quedan expuestos como objetivos principales de los hackers, que pueden apropiarse de ellos para acceder a orígenes de datos confidenciales, interrumpir las operaciones o perpetrar ataques de DDoS (denegación de servicio distribuida). SASE puede aplicar políticas de seguridad a estos dispositivos en el momento en que se conecten a la red, y proporcionar visibilidad de gestión sobre todos los dispositivos conectados desde un panel de control central.