SASE es un enfoque de seguridad de red que combina funcionalidades de red y seguridad de red en un único servicio en la nube. La diferencia clave entre SASE y la seguridad de red tradicional es que, en lugar de enrutar todo el tráfico de regreso a un centro de datos para aplicar políticas de seguridad, SASE brinda funcionalidades de seguridad y otros servicios más cerca de donde se conectan los usuarios y los puntos finales, en el borde de la red.
El modelo SASE ofrece un gran potencial para reforzar la seguridad de la red, simplificar la gestión del rendimiento de la red y mejorar la experiencia general del usuario.
A medida que más organizaciones buscan una transformación digital, y a medida que adoptan cada vez más los entornos de nube, edge computing y los modelos de trabajo desde casa o híbridos, aumentarán también los usuarios y los recursos de TI que residen fuera del perímetro de red tradicional. SASE permite a las organizaciones proporcionar conexiones directas, seguras y de baja latencia entre los usuarios y estos recursos, independientemente de dónde se encuentren. SASE puede ser una tecnología relativamente nueva (el analista de la industria Gartner definió el término en 2019), pero muchos expertos en seguridad creen que representa el futuro de la seguridad de la red.
SASE es la combinación, o convergencia, de dos tecnologías principales: red de área amplia definida por software, o SD-WAN, y borde de servicio seguro, o SSE. Es más fácil entender cómo funciona SASE si primero comprende lo que hace cada una de estas tecnologías.
SD-WAN
Una SD-WAN es una red de área amplia que se ha virtualizado, de la misma manera que se virtualizan los servidores. Separa la funcionalidad de la red del hardware subyacente (conexiones, conmutadores, routers, gateways) para crear un conjunto de capacidades de red y funcionalidades de seguridad de red que se pueden dividir, agregar y aplicar al tráfico bajo el control del software.
Las redes de área amplia (WAN) tradicionales se diseñaron para conectar a los usuarios de las sucursales corporativas con las aplicaciones en un centro de datos corporativo central, generalmente a través de conexiones de red dedicadas, privadas y costosas. Los routers instalados en cada sucursal controlaron y priorizaron el tráfico para garantizar un rendimiento óptimo para las aplicaciones más importantes. Las funciones de seguridad, como la inspección de paquetes y el cifrado de datos, se aplicaron en el centro de datos central.
SD-WAN se desarrolló originalmente para permitir que las organizaciones dupliquen sus capacidades WAN en una infraestructura de Internet menos costosa y más escalable. Pero la demanda de SD-WAN se aceleró a medida que más y más empresas comenzaron a adoptar servicios en la nube antes de que estuvieran listas para confiar en la seguridad de Internet. El modelo de seguridad de WAN se vio desafiado: el enrutamiento de volúmenes cada vez mayores de tráfico destinado a Internet a través del centro de datos corporativo creaba un cuello de botella costoso y degradaba tanto el rendimiento de la red como la experiencia de los usuarios.
SD-WAN elimina este cuello de botella al permitir que la seguridad se aplique al tráfico en el punto de conexión, en lugar de forzar el enrutamiento del tráfico hacia la seguridad. Permite a las organizaciones establecer conexiones directas, seguras y optimizadas entre los usuarios y los recursos que necesiten, como aplicaciones SaaS (software como servicio), recursos en la nube o servicios públicos de Internet.
SSE
Otro término acuñado por Gartner, SSE es la parte de SASE que corresponde a la seguridad. Gartner especifica SSE como la convergencia de tres tecnologías clave de seguridad nativas de la nube:
Gateways web seguras (SWG). Un SWG es como un policía de tráfico de Internet bidireccional. Evita que el tráfico malicioso llegue a los recursos de la red mediante técnicas como el filtrado de tráfico y la inspección de consultas del sistema de nombres de dominio (DNS) para identificar y bloquear malware, ransomware y otras ciberamenazas. Y evita que los usuarios autorizados se conecten a sitios web sospechosos: en lugar de conectarse directamente a Internet, los usuarios y los puntos finales se conectan al SWG, a través del cual solo pueden acceder a los recursos aprobados (por ejemplo, centros de datos locales, aplicaciones empresariales y aplicaciones y servicios en la nube).
Brokers de seguridad de acceso a la nube (CASB). Los CASB se ubican entre los usuarios y las aplicaciones y recursos en la nube. Los CASB hacen cumplir las políticas de seguridad de la empresa como el cifrado, el control de acceso y la detección de malware a medida que los usuarios acceden a la nube, sin importar dónde o cómo se conecten, y puede hacerlo sin instalar software en el dispositivo de punto final, lo que lo hace ideal para proteger el uso de BYOD (traiga su propio dispositivo) y otros casos de uso de transformación de la fuerza laboral. Hay otros tipos de CASB que también pueden imponer políticas de seguridad cuando los usuarios se conectan a activos desconocidos en la nube.
Acceso a la red de confianza cero (ZTNA). Un enfoque de confianza cero para el acceso a la red es aquel que nunca confía y valida continuamente a todos los usuarios y entidades, ya sea que estén fuera o dentro de la red. A los usuarios y entidades validados se les otorga el acceso con los privilegios mínimos necesarios para completar sus tareas. Todos los usuarios y entidades se ven obligados a volver a validarse cada vez que cambia su contexto, y cada interacción de datos se autentica paquete por paquete hasta que finaliza la sesión de conexión.
ZTNA no es un producto de seguridad en sí mismo, sino un enfoque de seguridad de red implementado utilizando una variedad de tecnologías, que incluyen gestión de accesos e identidades (IAM), autenticación de múltiples factores (MFA), analítica de comportamiento de usuarios y entidades (UEBA) y varias soluciones de detección y respuesta a amenazas.
Las plataformas SASE de los proveedores individuales pueden incluir otras funcionalidades de seguridad y prevención de amenazas, incluido firewall como servicio (FWaaS), prevención de pérdida de datos (DLP), control de acceso a la red (NAC) y plataformas de protección de puntos finales (EPP).
Reuniéndolo todo
Las soluciones SASE utilizan SD-WAN para brindar servicios de seguridad SSE a usuarios, dispositivos y otros puntos finales donde o cerca de donde se conectan, en el borde de la red.
Específicamente, en lugar de enviar todo el tráfico de regreso a un centro de datos central para su inspección y cifrado, las arquitecturas SASE dirigen el tráfico a puntos de presencia (PoP) distribuidos que están ubicados cerca del usuario final o punto final. (Los PoP son propiedad del proveedor de servicios SASE o se establecen en el centro de datos de un proveedor externo). El PoP protege el tráfico con el uso de servicios de SSE proporcionados en la nube, y luego el usuario o punto final se conecta a nubes públicas y privadas, aplicaciones de software como servicio (SaaS), la Internet pública o cualquier otro recurso.
SASE brinda importantes beneficios de negocio para los equipos de seguridad, el personal de TI, los usuarios finales y la organización.
Ahorro de costos, o más específicamente, menor gasto de capital. SASE es esencialmente una solución de seguridad SaaS: los clientes compran acceso al software para configurar y controlar SASE y obtienen todos los beneficios del hardware del proveedor de servicios en la nube en el que se entrega. En lugar de enrutar el tráfico desde un router de sucursal a un hardware de centro de datos local por seguridad, los clientes de SASE enrutan el tráfico a la nube desde la conexión a Internet más cercana.
Las empresas también pueden aprovechar SASE como una solución híbrida entregada tanto en la nube pública como en la infraestructura local de la organización, para integrar hardware de red físico, dispositivos de seguridad y centro de datos con sus contrapartes nativas de la nube virtualizada.
Gestión y operaciones simplificadas. Las infraestructuras de SASE brindan una solución única y consistente para proteger cualquier cosa que se conecte o intente conectarse a la red, no solo los usuarios, sino también los dispositivos de Internet de las cosas (IoT), las API, los microservicios en contenedores o aplicaciones sin servidor, e incluso máquinas virtuales (VM) que se activan bajo demanda. También elimina la necesidad de gestionar un lote de soluciones de puntos de seguridad (routers, firewalls, etc.) en cada punto de conexión. En su lugar, los equipos de TI o de seguridad pueden diseñar una política central única para proteger todas las conexiones y recursos en la red y pueden gestionar todo desde un único punto de control.
Ciberseguridad reforzada. Si se implementa correctamente, SASE puede mejorar la seguridad en varios niveles. La gestión simplificada aumenta la seguridad al reducir la posibilidad de errores o malas configuraciones. Para proteger el tráfico de los usuarios remotos, SASE reemplaza la autorización general y única del acceso a la red privada virtual (VPN) con el control de acceso detallado, basado en la identidad y el contexto de ZTNA sobre aplicaciones, directorios, conjuntos de datos y cargas de trabajo.
Mejor experiencia de usuario, y más consistente. Con SASE, los usuarios se conectan a la red de la misma manera, ya sea que trabajen en el sitio, en una sucursal, desde su hogar o mientras viajan, y ya sea que se conecten a aplicaciones y recursos alojados en la nube o en las instalaciones. Los servicios SD-WAN enrutan automáticamente el tráfico al PoP más cercano y, una vez que se aplican las políticas de seguridad, optimizan las conexiones para obtener el mejor rendimiento posible.
SASE ofrece beneficios a cualquier organización que se aleje del modelo de entrega de aplicaciones del centro de datos central, pero hoy en día hay algunos casos de uso específicos que están impulsando su adopción.
Asegurar las fuerzas laborales híbridas sin cuellos de botella de VPN. Las VPN han sido el medio predominante para proteger a los usuarios remotos o móviles durante casi dos décadas. Pero las VPN no se escalan fácilmente ni a bajo costo, algo que muchas organizaciones aprendieron de la manera más difícil cuando su fuerza laboral se volvió completamente remota debido a la pandemia de la COVID-19. Por el contrario, SASE puede escalar dinámicamente para admitir los requisitos de seguridad de los trabajadores remotos, en particular, y una fuerza laboral en evolución, en general.
Adopción de la nube híbrida y migración a la nube. La nube híbrida combina la nube pública, la nube privada y la infraestructura local en un solo entorno informático flexible, donde las cargas de trabajo se mueven libremente entre infraestructuras a medida que cambian las circunstancias. Las soluciones de seguridad WAN no están diseñadas para este tipo de movilidad de cargas de trabajo, pero SASE, que abstrae las funcionalidades de seguridad de la infraestructura subyacente, asegura el tráfico dondequiera que se mueva. También brinda a las organizaciones la flexibilidad de migrar cargas de trabajo a la nube al ritmo que funcione.
Edge computing y proliferación de dispositivos de IoT/OT. Edge computing es un modelo de computación distribuida que ubica aplicaciones y recursos informáticos fuera del centro de datos centralizado y más cerca de fuentes de datos como teléfonos móviles, IoT o dispositivos de tecnología operativa (OT) y servidores de datos. Esta proximidad da como resultado mejores tiempos de respuesta de las aplicaciones y una más rápida obtención de insights, particularmente para aplicaciones de inteligencia artificial (IA) y machine learning que procesan grandes volúmenes de streaming de datos en tiempo real.
Para habilitar estas aplicaciones, las organizaciones o los proveedores de soluciones han implementado miles de sensores IoT o dispositivos OT, muchos con poca o ninguna seguridad configurada. Esto hace que estos dispositivos sean objetivos principales para los hackers, que pueden secuestrarlos para acceder a fuentes de datos confidenciales, interrumpir operaciones o realizar ataques DDoS (denegación de servicio distribuido). SASE puede aplicar políticas de seguridad a estos dispositivos a medida que se conectan a la red y brindar visibilidad de gestión de todos los dispositivos conectados desde un panel de control central.
IBM Security Services proporciona una solución de borde de servicio de acceso seguro (SASE) personalizada para impulsar su transformación digital al ritmo que más le convenga.
Seguridad específica para cada usuario, cada dispositivo y cada conexión, en todo momento, con las soluciones de confianza cero de IBM Security.
Gestión moderna de puntos finales para proteger a sus usuarios finales y sus dispositivos de las amenazas de ciberseguridad más recientes.
En un enfoque de seguridad de confianza cero, se desconfía de todos los puntos finales de forma predeterminada y se les otorga el acceso con menos privilegios necesarios para respaldar sus trabajos o funciones.
Las soluciones de seguridad de puntos finales protegen dispositivos, usuarios y organizaciones contra ciberataques cada vez más sofisticados
La transformación digital significa adoptar experiencias digitales de clientes, business partners y empleados.