- SASE en detalle
- ¿Cómo funciona SASE?
- Componentes de SASE
- ¿Por qué debería considerar adoptar SASE?
- ¿SASE de uno o varios proveedores?
- ¿Qué es una plataforma SASE de un solo proveedor?
- Ventajas de SASE
SASE en detalle
Puesto que los usuarios se conectan desde cualquier parte y acceden a datos confidenciales, SASE proporciona una forma más segura y flexible de conectarse sin enviar el tráfico de las aplicaciones a un centro de datos (backhauling). En lugar de ello, SASE dirige de manera inteligente el tráfico hacia la nube y realiza una inspección de seguridad avanzada directamente en la nube.
SASE aborda la necesidad de mejorar el rendimiento de las aplicaciones y reforzar la seguridad de red a medida que el número de usuarios remotos se incrementa y las empresas continúan migrando las aplicaciones a la nube.
¿Cómo funciona SASE?
SASE es la combinación de un extremo SD-WAN avanzado implementado en la sucursal y unos servicios de seguridad completos (SSE) ofrecidos a través de la nube.
Tradicionalmente, todo el tráfico de las aplicaciones procedente de las sucursales atravesaba servicios MPLS privados hasta el centro de datos corporativo para su inspección y verificación de seguridad. Esta arquitectura era adecuada cuando las aplicaciones se hospedaban exclusivamente en el centro de datos corporativo. Ahora que las aplicaciones y servicios han migrado a la nube, la arquitectura de red tradicional se queda corta. Debido a que el tráfico destinado a Internet debe atravesar primero el centro de datos y el cortafuegos corporativo antes de llegar a su destino, la experiencia del usuario y el rendimiento de las aplicaciones se resienten.
Con el incremento en el número de trabajadores remotos que se conectan directamente a las aplicaciones en la nube, la seguridad tradicional basada en el perímetro resulta insuficiente. Al transformar las arquitecturas WAN y de seguridad con SASE, las empresas pueden garantizar un acceso directo y seguro a las aplicaciones y los servicios a través de entornos multinube, independientemente de la ubicación o los dispositivos que se utilicen para acceder.
Componentes de SASE
Los componentes principales de SASE son SD-WAN avanzada y una seguridad completa entregada en la nube (Security Service Edge o SSE).
Existen capacidades SD-WAN avanzadas clave para habilitar SASE de forma total:
- Integración fluida en una solución SSE para formar una arquitectura SASE unificada y homogénea.
- Identificación de aplicaciones First-packet para habilitar el direccionamiento granular del tráfico a SSE sobre la base de políticas de seguridad.
- Selección de la mejor ruta aprovechando la diversidad de rutas SD-WAN y selección automática del punto de presencia (PoP) SSE más cercano.
- Fusión de túneles para combinar varios enlaces y admitir la conmutación por error automatizada.
- Optimización de WAN y corrección de errores de reenvío (FEC) para superar los efectos de latencia de WAN y mitigar los efectos de Internet y los enlaces inalámbricos que a menudo sufren pérdida de paquetes y fluctuaciones.
- Redes multinube para proporcionar conectividad global con nubes públicas y nubes privadas.
- Cortafuegos integrado con capacidades de seguridad avanzadas como IDS/IPS, protección frente a DDoS y segmentación basada en roles para protección avanzada frente a amenazas en sucursales.
- Zero Touch Provisioning para desplegar automáticamente configuraciones y políticas, e implementar cambios de manera fluida.
Existen capacidades SSE clave para habilitar SASE de forma total:
- ZTNA o acceso a la red de confianza cero: asume que no se puede confiar en ningún usuario por defecto y admite el acceso con privilegios mínimos. Proporciona acceso seguro a usuarios remotos.
- CASB o agente de seguridad de acceso a la nube: protege los datos confidenciales en las aplicaciones en la nube con políticas de seguridad.
- SWG o puerta de enlace web segura: protege a las organizaciones de amenazas basadas en la web utilizando varias técnicas, como filtrado URL y detección de código malicioso.
- FWaaS o cortafuegos como servicio: proporciona funciones de cortafuegos en la nube para analizar el tráfico de varias fuentes.
- Otros servicios de seguridad, como la Prevención de pérdida de datos (DLP), el Aislamiento remoto del navegador (RBI) y el entorno de pruebas aislado (sandboxing).
¿Por qué debería considerar adoptar SASE?
- SASE protege el trabajo híbrido
Como los empleados se conectan desde cualquier lugar y dispositivo, ZTNA garantiza la aplicación constante de políticas y el control de acceso para usuarios y dispositivos. Admite el acceso con privilegios mínimos y se asegura de que no se confíe en ningún usuario por defecto. A diferencia de una VPN, que ofrece amplio acceso a la red corporativa, ZTNA limita el acceso de los usuarios a aplicaciones o microsegmentos específicos que han sido aprobados para ellos. - SASE protege a los usuarios frente a las amenazas basadas en la web
Para proteger a las organizaciones frente a las amenazas basadas en la web, como el ransomware y el phishing, SWG supervisa e inspecciona el tráfico a través del filtrado de URL, la detección de código malicioso y el control de acceso web, estableciendo políticas que restringen el acceso a categorías específicas de sitios web, que incluyen el contenido para adultos, las plataformas de juegos de azar y los sitios que se sabe que presentan riesgos importantes. - SASE ayuda a proteger los datos confidenciales en aplicaciones SaaS
Actualmente, se hospedan más datos confidenciales en aplicaciones SaaS, estén autorizadas o no. Cloud Access Security Broker (CASB) desempeña un papel vital en la identificación y detección de datos confidenciales en aplicaciones en la nube, la supervisión de la actividad de los usuarios, el descubrimiento de TI en la sombra y la prevención de la pérdida de datos. - SASE ayuda a las organizaciones cloud-first a modernizar sus redes
Las arquitecturas tradicionales suelen utilizar enlaces MPLS para conectar las sucursales con la sede central. En esta arquitectura, el tráfico de la nube debe ser redirigido al centro de datos para realizar una inspección de seguridad, lo que aumenta la latencia y, por lo tanto, afecta al rendimiento de las aplicaciones. Con SD-WAN, las organizaciones dirigen de forma inteligente el tráfico a la nube, directamente desde las sucursales, e implementan una forma fiable y flexible de conectar las sucursales con las sedes centrales. - SASE ampliado con una SD-WAN segura basada en el negocio proporciona seguridad para IoT
Los dispositivos IoT suelen contar con características de seguridad básicas y no incluyen un agente ZTNA. Las soluciones de SD-WAN avanzada pueden ir más allá de lo definido por SASE mediante la integración de capacidades de cortafuegos de nueva generación. Pueden implementar la segmentación de red de confianza cero, basada en control de acceso e identidades, que garantiza que los usuarios y dispositivos IoT solo puedan conectarse a destinos de red que sean coherentes con su función en la empresa.
¿SASE de uno o varios proveedores?
La conectividad de red y la seguridad, aunque están íntimamente relacionadas, son dos campos de especialización diferentes y muy complejos. La seguridad evoluciona con rapidez para garantizar la protección frente a los riesgos para la ciberseguridad en constante cambio, mientras que las redes de área amplia aspiran a ofrecer unas conexiones rápidas, sólidas y flexibles. El potencial real de una arquitectura SASE se puede explotar cuando se combinan funciones de extremo WAN avanzadas con servicios de seguridad SSE completos prestados en la nube.
La opción de seleccionar una solución de uno o varios proveedores puede variar en función de los requisitos de seguridad y WAN existentes. Una estrecha integración de SSE y SD-WAN en una plataforma SASE de un solo proveedor ofrece a las organizaciones numerosos beneficios, entre ellos una implementación más rápida, una gestión centralizada, políticas de seguridad homogéneas y la capacidad de adaptarse con fluidez al cambiante panorama de amenazas. Se recomienda un enfoque multiproveedor para las organizaciones que prefieren adoptar SASE con su elección de servicios de seguridad o integrarse con un ecosistema de seguridad existente. En este entorno multiproveedor, resulta fundamental elegir una SD-WAN que automatice la organización con soluciones SSE de terceros para minimizar el tiempo de implementación y reducir la complejidad de la gestión.
¿Qué es una plataforma SASE de un solo proveedor?
Una plataforma SASE de un solo proveedor simplifica la complejidad asociada con la gestión de varios componentes de seguridad. Esta arquitectura integrada no solo simplifica la implementación, sino que también garantiza políticas de seguridad unificadas, gestión centralizada y acceso de confianza cero homogéneo. Las capacidades clave incluyen:
- Arquitectura nativa de la nube y escalabilidad
Una plataforma SASE de un solo proveedor se diseña con una arquitectura nativa de la nube, de modo que aprovecha la escalabilidad y la agilidad de la computación en la nube. Esta arquitectura permite a las organizaciones asignar recursos dinámicamente en función de la demanda de tráfico, lo que facilita una red más eficiente y con capacidad de adaptación. - Presencia de red global
Una plataforma SASE de un solo proveedor proporciona una presencia de red global a través de puntos de presencia (PoP) distribuidos geográficamente para garantizar un rendimiento constante y una baja latencia, con independencia de la ubicación del usuario. Simplifica su gestión, al eliminar la necesidad de contar con varios puntos de presencia, como exigen los enfoques SASE multiproveedor. - Gestión de políticas unificada
Una plataforma SASE de un solo proveedor gestiona todas las políticas de seguridad desde una única interfaz, lo que agiliza las operaciones, reduce la complejidad y ayuda a las organizaciones a implementar y aplicar políticas homogéneas de forma efectiva. - Interfaz de usuario centralizada, paneles completos
Una plataforma SASE de un solo proveedor proporciona a los equipos de TI la capacidad de gestionar todas las operaciones de red y seguridad en una interfaz de usuario centralizada, con mayor visibilidad del tráfico de red, los eventos de seguridad y la aplicación de políticas. Mejora las capacidades de elaboración de informes, y proporciona a las organizaciones los medios para demostrar el cumplimiento de los requisitos reglamentarios y los estándares del sector. - Capacidades SASE combinadas
Con una plataforma SASE de un solo proveedor, las organizaciones pueden combinar fácilmente varias capacidades SASE para mejorar su política de seguridad e inspeccionar el tráfico de una sola pasada. La inspección SSL se realiza solo una vez, lo que mejora el rendimiento y reduce la complejidad. Además, al combinar SWG y CASB con DLP, las organizaciones pueden supervisar mejor las actividades de los usuarios para proteger los datos confidenciales y evitar fugas, además de implementar controles aún más granulares sobre el acceso web. - AIOps
Una solución SASE de un solo proveedor incluye capacidades de inteligencia artificial para mejorar la visibilidad de los usuarios y dispositivos conectados, además de permitir el control de acceso con capacidad de adaptación. Automatiza actividades de solución de problemas y diagnostica problemas de red comunes, al tiempo que proporciona análisis predictivos para anticiparse a futuras amenazas y problemas de rendimiento.
Ventajas de SASE
SASE no simplemente la última palabra de moda. Hay ventajas importantes que las empresas pueden obtener de una arquitectura SASE.
- Mayor Seguridad
En un momento en que las empresas están adoptando un modelo cloud-first, SASE proporciona aplicación de políticas de seguridad coherente en toda la red y lleva la inspección de seguridad a la nube. Protege el acceso remoto y los datos de la empresa frente a las actividades maliciosas. - Mayor productividad empresarial y satisfacción del cliente
A través de la implementación de una arquitectura SASE, las organizaciones pueden optimizar su infraestructura de red sobre la base de las capacidades avanzadas de una SD-WAN. La SD-WAN elimina la complejidad y la rigidez de las redes tradicionales basadas en enrutadores. Aporta la flexibilidad exigida por la transformación digital y mejora de manera significativa la fiabilidad y el rendimiento de las aplicaciones. - Modelo de seguridad de confianza cero
SASE adopta el modelo de seguridad de confianza cero al requerir la verificación continua de la identidad del usuario antes de otorgar acceso a los recursos. La confianza cero resulta especialmente relevante frente al panorama de amenazas actual, donde los modelos de seguridad tradicionales ya no bastan para proteger contra las sofisticadas amenazas cibernéticas.