¿Qué es Secure Access Service Edge (SASE)?

La diferencia clave entre SASE y la seguridad de red tradicional es que, en lugar de enrutar todo el tráfico de regreso a un centro de datos para aplicar políticas de seguridad, SASE ofrece capacidades de seguridad y otros servicios más cerca de donde se conectan los usuarios y endpoints, en la periferia de la red.

El modelo SASE ofrece un gran potencial para fortalecer la seguridad de la red, simplificar la gestión del rendimiento de la red y mejorar la experiencia general del usuario.

A medida que más organizaciones buscan la transformación digital,y que adoptan cada vez más entornos en la nube, computación edge y modelos de trabajo híbridos o desde casa, cada vez más usuarios y recursos de TI residirán fuera del perímetro de red tradicional. SASE permite a las organizaciones proporcionar conexiones directas, seguras y de baja latencia entre los usuarios y estos recursos, independientemente de dónde se encuentren.

SASE puede ser una tecnología relativamente nueva (el analista de la industria Gartner definió el término en 2019), pero muchos expertos en seguridad creen que representa el futuro de la seguridad de la red.

SASE es la combinación, o convergencia, de dos tecnologías principales: redes de área amplia definidas por software, o SD-WAN, y edge de servicio seguro, o SSE. Es más fácil entender cómo funciona SASE si primero comprende qué hace cada una de estas tecnologías.

Una SD-WAN es una red de área amplia que se ha virtualizado, de la misma manera que se virtualizan los servidores. Desacopla la funcionalidad de red del hardware subyacente (conexiones, conmutadores, enrutadores, puertas de enlace) para crear un conjunto de capacidad de red y capacidades de seguridad de red que se pueden dividir, agregar y aplicar al tráfico bajo control de software.

Las redes de área amplia (WAN) tradicionales se diseñaron para conectar a los usuarios de las sucursales corporativas con las aplicaciones en un centro de datos corporativo central, generalmente a través de conexiones de red dedicadas, privadas y costosas. Los enrutadores instalados en cada sucursal controlaron y priorizaron el tráfico para garantizar un rendimiento óptimo para las aplicaciones que más importaban. Las funciones de seguridad, como la inspección de paquetes y el cifrado de datos, se aplicaron en el centro de datos central.

La SD-WAN se desarrolló originalmente para permitir que las organizaciones duplicaran sus capacidades de WAN en una infraestructura de Internet menos costosa y más escalable. Pero la demanda de SD-WAN se aceleró a medida que cada vez más empresas comenzaron a adoptar servicios en la nube antes de que estuvieran listas para confiar en la seguridad de Internet. El modelo de seguridad de la WAN se vio desafiado: el enrutamiento de volúmenes cada vez mayores de tráfico destinado a Internet a través del centro de datos corporativo creaba un costoso cuello de botella, y tanto el rendimiento de la red como la experiencia de los usuarios se deterioraban.

La SD-WAN elimina este cuello de botella al permitir que la seguridad se aplique al tráfico en el punto de conexión, en lugar de forzar el enrutamiento del tráfico hacia la seguridad. Permite a las organizaciones establecer conexiones directas, seguras y optimizadas entre los usuarios y lo que necesiten: aplicaciones de software como servicio (SaaS), recursos en la nube o servicios públicos de Internet.

Otro término acuñado por Gartner, SSE es "la mitad de seguridad de SASE". Gartner especifica SSE como la convergencia de tres tecnologías clave de seguridad nativas de la nube:

Puertas de enlace web seguras (SWG). Una SWG es un policía de tráfico de Internet bidireccional. Evita que el tráfico malicioso llegue a los recursos de la red con técnicas como el filtrado de tráfico y la inspección de consultas del sistema de nombres de dominio (DNS) para identificar y bloquear malware, ransomware y otras amenazas cibernéticas. Y evita que los usuarios autorizados se conecten a sitios web sospechosos: en lugar de conectarse directamente a Internet, los usuarios y los endpoints se conectan a la SWG, a través de la cual solo pueden acceder a los recursos aprobados (por ejemplo, centros de datos on premises, aplicaciones empresariales, y aplicaciones y servicios en la nube).

Agentes de seguridad de acceso a la nube (CASB). Los CASB se encuentran entre los usuarios y las aplicaciones y recursos en la nube. Los CASB aplican las políticas de seguridad de la empresa, como el cifrado, el control de acceso y la detección de malware, a medida que los usuarios acceden a la nube, independientemente de dónde o cómo se conecten los usuarios, y pueden hacerlo sin instalar software en el dispositivo endpoint, lo que lo hace ideal para proteger BYOD (bring your propio dispositivo) y otros casos de uso de transformación de la fuerza laboral. Y otros CASB también pueden aplicar políticas de seguridad cuando los usuarios se conectan a activos desconocidos en la nube.

Acceso a la red de confianza cero (ZTNA). Un enfoque de confianza cero para el acceso a la red es aquel que nunca confía y valida continuamente a todos los usuarios y entidades, ya sea que estén fuera o dentro de la red. A los usuarios y entidades validados se les otorga el acceso con privilegios mínimos necesarios para completar sus tareas. Todos los usuarios y entidades se ven obligados a revalidar cada vez que cambia su contexto, y cada interacción de datos se autentica paquete por paquete hasta que finaliza la sesión de conexión.

ZTNA no es un producto de seguridad en sí mismo, sino un enfoque de seguridad de red implementado mediante una variedad de tecnologías, incluida la gestión de identidad y acceso (IAM), la autenticación multifactor (MFA), el análisis del comportamiento de usuarios y entidades (UEBA), y varias soluciones de detección y respuesta a amenazas.

Las plataformas SASE de los proveedores individuales pueden incluir otras capacidades de seguridad y prevención de amenazas, como cortafuegos como servicio (FWaaS), prevención de pérdida de datos (DLP), control de acceso a la red (NAC) y plataformas de protección de endpoints (EPP).

Las soluciones SASE utilizan SD-WAN para brindar servicios de seguridad SSE a usuarios, dispositivos y otros endpoints donde o cerca de donde se conectan, en el borde de la red.

Específicamente, en lugar de enviar todo el tráfico de regreso a un centro de datos central para su inspección y cifrado, las arquitecturas SASE dirigen el tráfico a puntos de presencia (PoP) distribuidos, ubicados cerca del usuario final o endpoint. (Los PoP son propiedad del proveedor de servicios SASE o se establecen en el centro de datos de un proveedor externo). El PoP protege el tráfico mediante los servicios SSE prestados en la nube y, a continuación, el usuario o endpoint se conecta a nubes públicas y privadas, aplicaciones de software como servicio (SaaS), la Internet pública o cualquier otro recurso.

SASE proporciona importantes beneficios comerciales para los equipos de seguridad, el personal de TI, los usuarios finales y la organización en su conjunto.

Ahorro de costos: específicamente, menos gastos de capital. SASE es una solución de seguridad SaaS: los clientes compran acceso al software para configurar y controlar el SASE, y obtienen todos los beneficios del hardware del proveedor de servicios en la nube en el que se suministra. En lugar de dirigir el tráfico desde el router de una sucursal hasta el hardware de un centro de datos on premises por motivos de seguridad, los clientes de SASE dirigen el tráfico a la nube desde la conexión a Internet más cercana.

Las empresas también pueden consumir SASE como una solución híbrida suministrada tanto en la nube pública como en la infraestructura on premises de la organización, integrando hardware de red física, dispositivos de seguridad y centro de datos con sus contrapartes nativas de la nube virtualizadas.

Gestión y operaciones simplificadas. Los marcos SASE proporcionan una solución única y coherente para proteger cualquier cosa que se conecte o intente conectarse a la red, no solo a los usuarios, sino también a los dispositivos de Internet de las cosas (IoT), las API, los microservicios en contenedores o las aplicaciones sin servidor, e incluso las máquinas virtuales (VM) que se ponen en marcha bajo demanda. También elimina la necesidad de gestionar una pila de soluciones de puntos de seguridad (enrutadores, cortafuegos, etc.) en cada punto de conexión. En cambio, los equipos de TI o de seguridad pueden elaborar una política única y central para proteger todas las conexiones y recursos de la red, y pueden gestionar todo desde un único punto de control.

Ciberseguridad reforzada. Si se aplica correctamente, SASE puede mejorar la seguridad a varios niveles. Una gestión simplificada refuerza la seguridad al reducir la posibilidad de errores o malas configuraciones. Para proteger el tráfico de los usuarios remotos, SASE sustituye la autorización general y única del acceso a redes privadas virtuales (VPN) por el control de acceso basado en identidades y contextos de ZTNA sobre aplicaciones, directorios, conjuntos de datos y cargas de trabajo. 

Experiencia de usuario mejor y más coherente.Con SASE, los usuarios se conectan a la red de la misma manera, ya sea que estén trabajando en el sitio, en una sucursal, desde casa o en un viaje, y que se conecten a aplicaciones y recursos alojados on premises o en la nube. Los servicios SD-WAN enrutan automáticamente el tráfico al PoP más cercano y, una vez aplicadas las políticas de seguridad, optimizan las conexiones para obtener el mejor rendimiento posible.

SASE ofrece beneficios a cualquier organización que se aleje del modelo de centro de datos central de entrega de aplicaciones. Pero algunos casos de uso específicos están impulsando su adopción hoy.

Proteger las fuerzas de trabajo híbridas sin cuellos de botella de VPN. Las VPN han sido el medio predominante para proteger a los usuarios remotos o celulares durante casi dos décadas. Pero las VPN no se amplían fácilmente ni a bajo costo, algo que muchas organizaciones aprendieron por las malas cuando sus fuerzas laborales se volvieron totalmente remotas a causa de la pandemia de COVID-19. Por el contrario, SASE puede ampliarse dinámicamente para satisfacer los requisitos de seguridad de los trabajadores remotos en particular y de una fuerza laboral en evolución en general.

Adopción de la nube híbrida y migración a la nube. La nube híbrida combina nube pública, nube privada e infraestructura on premises en un único entorno informático flexible, donde las cargas de trabajo se mueven libremente entre infraestructuras a medida que cambian las circunstancias. Las soluciones de seguridad WAN no están diseñadas para este tipo de movilidad de cargas de trabajo, pero SASE, que abstrae las capacidades de seguridad de la infraestructura subyacente, protege el tráfico dondequiera que se mueva. También brinda a las organizaciones la flexibilidad de migrar cargas de trabajo a la nube al ritmo que funcione.

Edge computing y proliferación de dispositivos IoT/OT. Edge computing es un modelo informático distribuido que localiza aplicaciones y recursos informáticos desde el centro de datos centralizado y cerca de fuentes de datos, como teléfonos móviles, IoT o dispositivos de tecnología operativa (OT) y servidores de datos. Esta proximidad da como resultado mejores tiempos de respuesta de las aplicaciones e insights más rápidos, particularmente para aplicaciones de inteligencia artificial (IA) y machine learning que procesan enormes volúmenes de datos de transmisión en tiempo real.

Para habilitar estas aplicaciones, las organizaciones o los proveedores de soluciones desplegaron miles de sensores de IoT o dispositivos OT, muchos con poca o nula seguridad configurada. Esto convierte a estos dispositivos en objetivos principales para los piratas informáticos, que pueden secuestrarlos para acceder a fuentes de datos confidenciales, interrumpir Operaciones, o realizar ataques de denegación distribuida del servicio (DDoS). SASE puede aplicar políticas de seguridad a estos dispositivos a medida que se conectan a la red y proporcionar visibilidad de gestión de todos los dispositivos conectados desde un panel central.