¿Qué es el perímetro de servicio de acceso seguro (SASE)?

La diferencia clave entre SASE y la seguridad de red tradicional es que, en lugar de enrutar todo el tráfico de vuelta a un centro de datos para aplicar políticas de seguridad, SASE ofrece capacidades de seguridad y otros servicios más cerca de donde se conectan los usuarios y los puntos finales, en el borde de la red.

El modelo SASE ofrece un gran potencial para fortalecer la seguridad de la red, simplificar la gestión del rendimiento de la red y mejorar la experiencia general del usuario.

A medida que más organizaciones persiguen la transformación digital, y adoptan cada vez más entornos de nube, edge computing y modelos de trabajo desde casa o híbridos, cada vez más usuarios y recursos de TI residirán fuera del perímetro de red tradicional. SASE permite a las organizaciones proporcionar conexiones directas, seguras y de baja latencia entre los usuarios y estos recursos, independientemente de dónde se encuentren.

SASE puede ser una tecnología relativamente nueva (el analista de la industria Gartner definió el término en 2019), pero muchos expertos en seguridad creen que representa el futuro de la seguridad de la red.

SASE es la combinación, o convergencia, de dos tecnologías principales: redes de área amplia definidas por software, o SD-WAN, y perímetro de servicio seguro, o SSE. Es más fácil entender cómo funciona SASE si primero se comprende lo que hace cada una de estas tecnologías.

Una SD-WAN es una red de área amplia que se ha virtualizado, de la misma manera que se virtualizan los servidores. Desvincula la funcionalidad de red del hardware subyacente -conexiones, conmutadores, enrutadores, pasarelas- para crear un conjunto de capacidad de red y capacidades de seguridad de red que pueden dividirse, agregarse y aplicarse al tráfico bajo control de software.

Las redes de área amplia (WAN) tradicionales se diseñaron para conectar a los usuarios de las sucursales corporativas con las aplicaciones de un centro de datos corporativo central, normalmente a través de conexiones de red de línea arrendada dedicadas, privadas y caras. Los enrutadores instalados en cada sucursal controlaron y priorizaron el tráfico para garantizar un rendimiento óptimo para las aplicaciones que más importaban. Las funciones de seguridad, como la inspección de paquetes y el cifrado de datos, se aplicaron en el centro de datos central.

SD-WAN se desarrolló originalmente para permitir que las organizaciones duplicaran sus capacidades de WAN en una infraestructura de Internet menos costosa y más escalable. Pero la demanda de SD-WAN se aceleró a medida que más y más empresas empezaron a adoptar servicios en la nube antes de estar del todo preparadas para confiar en la seguridad de Internet. El modelo de seguridad de la WAN se puso en entredicho: Enrutar volúmenes cada vez mayores de tráfico destinado a Internet a través del centro de datos corporativo creaba un costoso cuello de botella, y tanto el rendimiento de la red como la experiencia de los usuarios se degradaban.

SD-WAN elimina este cuello de botella al permitir que la seguridad se aplique al tráfico en el punto de conexión, en lugar de obligar a enrutar el tráfico hacia la seguridad. Permite a las organizaciones establecer conexiones directas, seguras y optimizadas entre los usuarios y lo que necesiten: aplicaciones de software como servicio (SaaS), recursos en la nube o servicios públicos de Internet.

Otro término acuñado por Gartner, SSE es “la mitad de seguridad de SASE”. Gartner define SEE como la convergencia de tres tecnologías clave de seguridad nativas de la nube:

Pasarelas web seguras (SWG). Una SWG es un policía de tráfico bidireccional en Internet. Evita que el tráfico malicioso llegue a los recursos de red, mediante técnicas como filtrado de tráfico y inspección de consultas del sistema de nombres de dominio (DNS) para identificar y bloquear el malware, el ransomware y otras ciberamenazas. E impide que los usuarios autorizados se conecten a sitios web sospechosos: en lugar de conectarse directamente a Internet, los usuarios y los endpoints se conectan al SWG, a través del cual solo pueden acceder a los recursos aprobados (p. ej. centros de datos on-premises, aplicaciones empresariales y aplicaciones y servicios en la nube).

Agentes de seguridad de acceso a la nube (CASB) Los CASB se sitúan entre los usuarios y las aplicaciones y recursos en la nube. Los CASB aplican las políticas de seguridad de la empresa, como el cifrado, el control de acceso y la detección de malware, a medida que los usuarios acceden a la nube, independientemente de dónde o cómo se conecten, y pueden hacerlo sin instalar software en el dispositivo final, por lo que resultan ideales para proteger BYOD (traiga su propio dispositivo) y otros casos de uso de transformación de la plantilla. Otros CASB también pueden aplicar políticas de seguridad cuando los usuarios se conectan a activos en la nube desconocidos.

Acceso a la red zero trust (ZTNA). Un enfoque zero trust para el acceso a la red es aquel que nunca confía y valida continuamente todos los usuarios y entidades, tanto si están fuera de la red como si ya están dentro de ella. A los usuarios y entidades validados se les concede el acceso con privilegios mínimos necesarios para completar sus tareas. Todos los usuarios y entidades se ven obligados a revalidar cada vez que cambia su contexto, y cada interacción de datos se autentica paquete por paquete hasta que finaliza la sesión de conexión.

El ZTNA no es un producto de seguridad en sí, sino un enfoque de seguridad de red implementado mediante diversas tecnologías, como la gestión de identidades y accesos (IAM), la autenticación multifactor (MFA), el análisis del comportamiento de usuarios y entidades (UEBA) y varias soluciones de detección y respuesta ante amenazas.

Las plataformas SASE de los distintos proveedores pueden incluir otras funciones de prevención de amenazas y seguridad, como cortafuegos como servicio (FWaaS), prevención de pérdida de datos (DLP), control de acceso a la red (NAC) y plataformas de protección de endpoints (EPP).

Las soluciones SASE utilizan SD-WAN para ofrecer servicios de seguridad SSE a usuarios, dispositivos y otros endpoints donde o cerca de donde se conectan, en el perímetro de la red.

Específicamente, en lugar de enviar todo el tráfico de vuelta a un centro de datos central para su inspección y cifrado, las arquitecturas SASE dirigen el tráfico a puntos distribuidos de puntos de presencia (PoP) ubicados cerca del usuario final o endpoint. (Los PoP son propiedad del proveedor de servicios SASE o están establecidos en el centro de datos de un proveedor externo). El PoP protege el tráfico mediante los servicios SSE entregados en la nube y, a continuación, el usuario o el endpoint se conecta a las nubes públicas y privadas, a las aplicaciones de software como servicio (SaaS), a la Internet pública o a cualquier otro recurso.

SASE proporciona importantes beneficios empresariales para los equipos de seguridad, el personal informático, los usuarios finales y la organización en su conjunto.

Ahorro de costos, específicamente, menos gastos de capital. SASE es esencialmente una solución de seguridad SaaS: Los clientes compran acceso al software para configurar y controlar el SASE, y obtienen todos los beneficios del hardware del proveedor de servicios en la nube en el que se suministra. En lugar de enrutar el tráfico desde el enrutador de una sucursal a un hardware de centro de datos local por seguridad, los clientes de SASE enrutan el tráfico a la nube desde la conexión a Internet más cercana.

Las empresas también pueden consumir SASE como una solución híbrida entregada tanto en la nube pública como en la infraestructura local de la organización, integrando hardware de red física, dispositivos de seguridad y centro de datos con sus contrapartes nativas de la nube virtualizada.

Gestión y operaciones simplificadas. Los marcos SASE proporcionan una solución única y coherente para proteger cualquier cosa que se conecte o intente conectarse a la red, no solo a los usuarios, sino también a los dispositivos de Internet de las cosas (IoT), las API, los microservicios en contenedores o las aplicaciones sin servidor, e incluso las máquinas virtuales (VM) que se ponen en marcha bajo demanda. También elimina la necesidad de administrar una pila de soluciones de puntos de seguridad (enrutadores, firewalls, etc.) en cada punto de conexión. En su lugar, los equipos de TI o de seguridad pueden elaborar una única política central para proteger todas las conexiones y recursos de la red, y pueden gestionarlo todo desde un único punto de control.

Ciberseguridad más fuerte. Si se aplica correctamente, SASE puede mejorar la seguridad a varios niveles. Una gestión simplificada refuerza la seguridad al reducir la posibilidad de errores o malas configuraciones. Para proteger el tráfico de los usuarios remotos, SASE sustituye la autorización general y única del acceso a la red privada virtual (VPN) por el control de acceso basado en la identidad y el contexto de ZTNA sobre aplicaciones, directorios, conjuntos de datos y cargas de trabajo. 

Experiencia de usuario mejor y más consistente. Con SASE, los usuarios se conectan a la red de la misma manera, ya sea que estén trabajando en el sitio, en una sucursal, desde casa o en la carretera, y ya sea que se conecten a aplicaciones y recursos alojados en la nube o en las instalaciones. Los servicios SD-WAN enrutan automáticamente el tráfico al PoP más cercano y, una vez que se aplican las políticas de seguridad, optimizan las conexiones para obtener el mejor rendimiento posible.

SASE ofrece ventajas a cualquier organización que se aleje del modelo de centro de datos central de entrega de aplicaciones. Sin embargo, su adopción está impulsada por unos cuantos casos de uso concretos.

Protección de fuerzas de trabajo híbridas sin cuellos de botella de VPN. Las VPN han sido el medio predominante para proteger a los usuarios remotos o móviles durante casi dos décadas. Pero las VPN no se escalan de forma fácil ni económica, algo que muchas organizaciones aprendieron por las malas cuando sus trabajadores pasaron a trabajar a distancia debido a la pandemia de la COVID-19. Por el contrario, SASE puede escalar dinámicamente para respaldar los requisitos de seguridad de los trabajadores remotos en particular y de una plantilla en evolución en general.

Adopción del cloud híbrido y migración a la nube. El cloud híbrido combina la nube pública, la nube privada y la infraestructura local en un único entorno informático flexible, donde las cargas de trabajo se mueven libremente entre infraestructuras a medida que cambian las circunstancias. Las soluciones de seguridad WAN no están diseñadas para este tipo de movilidad de cargas de trabajo, pero SASE, que abstrae las capacidades de seguridad de la infraestructura subyacente, protege el tráfico dondequiera que se mueva. También brinda a las organizaciones la flexibilidad para migrar cargas de trabajo a la nube al ritmo que funcione.

Edge computing y proliferación de dispositivos IoT/OT. El edge computing es un modelo informático distribuido que sitúa las aplicaciones y los recursos informáticos fuera del centro de datos centralizado y más cerca de las fuentes de datos, como los teléfonos móviles, los dispositivos IoT o de tecnología operativa (TO) y los servidores de datos. Esta proximidad da como resultado tiempos de respuesta mejorados de las aplicaciones y una mayor rapidez en la obtención de información, en particular para aplicaciones de inteligencia artificial (IA) y machine learning que procesan enormes volúmenes de datos en tiempo real.

Para habilitar estas aplicaciones, las organizaciones o los proveedores de soluciones han implementado miles de sensores de IoT o dispositivos de TO, muchos de ellos con poca o ninguna seguridad configurada. Esto hace que estos dispositivos sean objetivos principales para los hackers, que pueden secuestrarlos para acceder a fuentes de datos confidenciales, interrumpir Operaciones o organizar ataques de denegación de servicio distribuido (DDoS). SASE puede aplicar políticas de seguridad a estos dispositivos a medida que se conectan a la red y proporcionar visibilidad de gestión de todos los dispositivos conectados desde un panel de control central.