Tiempo de lectura: 9 minutos y 14 segundos | Actualizado: 17 de octubre de 2025

SASE
¿Qué es SASE?

SASE combina capacidades WAN integrales que incluyen SD-WAN, enrutamiento y optimización WAN, con servicios de seguridad prestados en la nube o SSE (Security Service Edge), como SWG (puerta de enlace web segura), CASB (cloud access security broker) y ZTNA (acceso a la red de confianza cero).

Puesto que los usuarios se conectan desde cualquier parte y acceden a datos confidenciales, SASE proporciona una forma más segura y flexible de conectarse sin enviar el tráfico de las aplicaciones a un centro de datos (backhauling). En lugar de ello, SASE dirige de manera inteligente el tráfico hacia la nube y realiza una inspección de seguridad avanzada directamente en la nube.

SASE responde a los desafíos críticos de TI actuales, que incluyen la migración acelerada a la nube, la modernización de la infraestructura de red obsoleta, la compatibilidad con el trabajo híbrido y la protección de la superficie de ataque cada vez mayor creada por los dispositivos IoT. También protege los datos confidenciales contra fugas y vulneraciones, al tiempo que refuerza la defensa contra el creciente volumen y la sofisticación de las amenazas cibernéticas.

Descubre el SASE unificado impulsado por IA
Persona de negocios en una reunión virtual.
Ir a
Diagrama de SASE.

¿Cómo funciona SASE?

SASE es la combinación de un extremo SD-WAN avanzado implementado en la sucursal y unos servicios de seguridad completos (SSE) prestados desde la nube.

Tradicionalmente, todo el tráfico de las aplicaciones procedente de las sucursales atravesaba servicios MPLS privados hasta el centro de datos corporativo para su inspección y verificación de seguridad. Esta arquitectura era adecuada cuando las aplicaciones se hospedaban exclusivamente en el centro de datos corporativo. Ahora que más aplicaciones y servicios han migrado a la nube, la arquitectura de red tradicional se queda corta. Debido a que el tráfico destinado a Internet debe atravesar el centro de datos y el firewall corporativo antes de llegar a su destino, la experiencia del usuario y el rendimiento de las aplicaciones se resienten.

Con el incremento en el número de trabajadores remotos que se conectan directamente a las aplicaciones en la nube, la seguridad tradicional basada en el perímetro resulta insuficiente. Al transformar las arquitecturas WAN y de seguridad con SASE, las empresas pueden lograr un acceso directo y seguro a las aplicaciones y los servicios a través de entornos multinube, con independencia de la ubicación o los dispositivos que se utilicen para acceder.

¿Cuáles son los componentes de SASE?

Los componentes principales de SASE son SD-WAN avanzada y una seguridad completa entregada en la nube (Security Service Edge o SSE).

Existen capacidades SD-WAN avanzadas clave para habilitar SASE de forma total:

  • Integración fluida en una solución SSE para formar una arquitectura SASE unificada y homogénea.
  • Identificación de aplicaciones First-packet para habilitar el direccionamiento granular del tráfico a SSE sobre la base de políticas de seguridad.
  • Selección de la mejor ruta aprovechando la diversidad de rutas SD-WAN y selección automática del punto de presencia (PoP) SSE más cercano.
  • Fusión de túneles para combinar varios enlaces y admitir la conmutación por error automatizada.
  • Optimización de WAN y corrección de errores de reenvío (FEC) para superar los efectos de latencia de WAN y mitigar los efectos de Internet y los enlaces inalámbricos que a menudo sufren la pérdida de paquetes y fluctuaciones.
  • Redes multinube para proporcionar conectividad global con nubes públicas y privadas.
  • Firewall integrado con capacidades de seguridad avanzadas como IDS/IPS, protección frente a DDoS y segmentación basada en roles para protección avanzada frente a amenazas en sucursales.

Existen capacidades SSE clave para habilitar SASE de forma total:

  • ZTNA o acceso a la red de confianza cero: asume que, por defecto, no se puede confiar en ningún usuario y admite el acceso con privilegios mínimos. Proporciona acceso seguro a usuarios remotos.
  • CASB o agente de seguridad de acceso a la nube: protege los datos confidenciales en las aplicaciones en la nube con políticas de seguridad.
  • SWG o puerta de enlace web segura: protege a las organizaciones de amenazas basadas en la web utilizando varias técnicas, como URL Filtering y detección de código malicioso.
  • FWaaS o firewall como servicio: proporciona funciones de firewall en la nube para analizar el tráfico de varios orígenes.
  • Otros servicios de seguridad, como la Prevención de pérdida de datos (DLP), el aislamiento remoto del navegador (RBI) y el entorno de pruebas aislado (sandboxing).

¿Cuáles son las ventajas de SASE?

SASE no simplemente la última palabra de moda. Hay ventajas importantes que las empresas pueden obtener de una arquitectura SASE.

  • Seguridad mejorada:  a medida que las organizaciones adoptan un enfoque cloud-first, SASE aplica políticas de seguridad de manera homogénea a todo el tráfico y en todas las ubicaciones, con la inspección realizada directamente en la nube. Protege el acceso remoto y los datos empresariales de las amenazas cibernéticas mientras minimiza la superficie de ataque y mejora la detección y respuesta ante amenazas.
  • Mejora de la productividad empresarial y la satisfacción del cliente: con SASE, las organizaciones pueden optimizar su infraestructura de red basándose en capacidades SD-WAN avanzadas. Eliminando las limitaciones y la complejidad de las redes convencionales basadas en enrutadores, SASE introduce la agilidad necesaria para la transformación digital, lo que se traduce en mejoras notables tanto en el rendimiento como en la fiabilidad de las aplicaciones.
  • Modelo de seguridad de confianza cero: SASE adopta el modelo de seguridad de confianza cero al requerir la verificación continua de la identidad del usuario antes de otorgar acceso a los recursos. La confianza cero resulta especialmente relevante frente al panorama de amenazas actual, donde los modelos de seguridad tradicionales ya no bastan para proteger contra las sofisticadas amenazas cibernéticas.
  • Gestión simplificada y complejidad reducida: SASE simplifica la implementación, así como la gestión, de redes y seguridad. Consolida diversas funciones de seguridad y redes dispares (como SD-WAN, SWG, CASB y FWaaS) en una única plataforma. Esta convergencia reduce la necesidad de gestionar una gran cantidad de dispositivos de hardware y soluciones puntuales específicos de cada proveedor.
Diagrama de Juniper del Glosario SASE.

¿Cómo protege SASE a las empresas cloud-first contra las amenazas cibernéticas?

A medida que las amenazas cibernéticas se vuelven más sofisticadas y las plantillas están cada vez más deslocalizadas, las empresas recurren a la seguridad SASE para proteger a sus usuarios, datos y aplicaciones. La combinación de servicios de seguridad avanzada que están distribuidos en la nube y SD-WAN, como ZTNA, SWG y CASB permite que SASE ofrezca una arquitectura unificada diseñada para reducir la complejidad y mejorar la protección. Dado que la aplicación de la seguridad se realiza directamente en la nube, SASE facilita la aplicación uniforme de políticas, reduce los retrasos debidos al redireccionamiento del tráfico y proporciona un acceso seguro e ininterrumpido a las aplicaciones, con independencia de si están alojadas en centros de datos privados, nubes públicas o plataformas de software como servicio (SaaS).

Estas capacidades permiten a las organizaciones detectar amenazas e impedir que se afiancen en la red. De este modo, resulta más fácil proteger las identidades de los usuarios, las aplicaciones y la infraestructura.

Una arquitectura SASE mitiga los riesgos de ciberseguridad para las organizaciones cloud-first y, en última instancia, mejora la seguridad, al tiempo que reduce la complejidad y simplifica la gestión.

¿Por qué debería considerar adoptar SASE?

  • Habilita y protege el trabajo híbrido: como los empleados se conectan desde cualquier lugar y dispositivo, ZTNA garantiza la aplicación constante de políticas y el control de acceso para usuarios y dispositivos. Admite el acceso con privilegios mínimos y se verifica que no se confíe en ningún usuario por defecto. A diferencia de una VPN, que ofrece amplio acceso a la red corporativa, el ZTNA limita el acceso de los usuarios a aplicaciones o microsegmentos específicos que han sido aprobados para ellos.
  • Implementa la confianza cero en cualquier lugar con ZTNA universal: ZTNA universal (acceso a la red de confianza cero universal o uZTNA) extiende los principios de confianza cero a ubicaciones locales y dispositivos IoT mediante la integración de SASE con capacidades NAC impulsadas por IA. Esta integración permite la visibilidad y supervisión completas de todos los dispositivos conectados a la red, incluidos los de IoT. Con la segmentación basada en la identidad, ZTNA universal facilita que los usuarios y dispositivos solo puedan acceder a los recursos de red apropiados para sus roles. El sistema supervisa continuamente la actividad de la red, lo que permite realizar ajustes en tiempo real de los permisos de acceso y detectar rápidamente comportamientos sospechosos o maliciosos.
  • Optimiza el rendimiento para usuarios globales y distribuidos: SASE aprovecha una arquitectura de nube distribuida globalmente y la computación en el extremo, lo que permite a los usuarios conectarse al punto de presencia (PoP) más cercano. Esto reduce la latencia y optimiza el rendimiento de las aplicaciones, especialmente para los usuarios en ubicaciones remotas.
  • Adopta aplicaciones en la nube y SaaS: SASE permite el acceso directo y seguro a aplicaciones en la nube (por ejemplo, AWS, Microsoft 365, Salesforce) sin necesidad de redirigir el tráfico a través de un centro de datos centralizado. Optimiza el rendimiento mediante la computación en el extremo y SD-WAN, al tiempo que proporciona servicios de seguridad como CASB para controlar el uso de aplicaciones en la nube y proteger los datos.
  • Protege a los usuarios frente a amenazas basadas en la web: para proteger a las organizaciones frente a las amenazas basadas en la web, como el ransomware y el phishing, SWG supervisa e inspecciona el tráfico mediante URL filtering, la detección de código malicioso y el control de acceso web, estableciendo políticas que restringen el acceso a categorías específicas de sitios web, incluidos el contenido para adultos, las plataformas de juegos de azar y los sitios que se sabe que presentan riesgos importantes.
  • Acceso seguro a aplicaciones SaaS: cuando los usuarios pueden acceder a aplicaciones SaaS ya estén aprobadas o no, un CASB (Cloud Access Security Broker) proporciona visibilidad de estas actividades, identifica la TI en la sombra y aplica las políticas SaaS de la organización para proteger los datos confidenciales de una posible exposición.
  • Protege los datos y mejora el cumplimiento: además de CASB, SASE incluye capacidades DLP, lo que ayuda a las organizaciones a supervisar la actividad de los usuarios y controlar el movimiento de datos confidenciales. Su plataforma unificada también simplifica la auditoría y la elaboración de informes, lo que garantiza el cumplimiento de normativas como el RGPD, HIPAA o PCI-DSS.
  • Conecta y protege sucursales: las arquitecturas tradicionales suelen utilizar enlaces MPLS para conectar las sucursales con la sede central. En esta arquitectura, el tráfico de la nube debe ser redirigido al centro de datos para realizar una inspección de seguridad, lo que aumenta la latencia y, por lo tanto, afecta al rendimiento de las aplicaciones. Con la parte SD-WAN de SASE, las organizaciones dirigen el tráfico de forma inteligente a la nube directamente desde las sucursales e implementan una forma fiable y flexible de conectar las sucursales con las sedes centrales. Las soluciones seguras y avanzadas de SD-WAN con firewalls integrados de última generación pueden incluso sustituir a los cortafuegos obsoletos de las sucursales y proporcionar capacidades como IDS/IPS y protección contra DDoS.

¿Qué es SASE unificado impulsado por IA?

Una plataforma SASE unificada impulsada por IA optimiza la complejidad asociada con la gestión de varios componentes de seguridad. Esta arquitectura integrada no solo simplifica la implementación, sino que también proporciona políticas de seguridad unificadas, gestión centralizada y acceso de confianza cero homogéneo. Las capacidades clave incluyen:

  • Arquitectura nativa de la nube y escalabilidad: diseñado con una arquitectura nativa de la nube, aprovechando la escalabilidad y la agilidad de la computación en la nube. Esta arquitectura permite a las organizaciones asignar recursos dinámicamente en función de la demanda de tráfico, lo que facilita una red más eficiente y con capacidad de adaptación.
  • Presencia de red global: proporciona una presencia de red global a través de puntos de presencia (PoP) distribuidos geográficamente para ofrecer un rendimiento homogéneo y una baja latencia, con independencia de la ubicación del usuario. Simplifica su gestión, al eliminar la necesidad de contar con varios puntos de presencia, como exigen los enfoques SASE multiproveedor.
  • Gestión de políticas unificada: gestiona todas las políticas de seguridad desde una sola interfaz, lo que optimiza las operaciones, reduce la complejidad y ayuda a las organizaciones a implementar y aplicar políticas homogéneas de forma efectiva.
  • Interfaz de usuario centralizada, paneles integrales: proporciona a los equipos de TI la capacidad de gestionar todas las operaciones de red y seguridad en una interfaz de usuario centralizada, con mayor visibilidad del tráfico de red, los eventos de seguridad y la aplicación de políticas. Mejora las capacidades de elaboración de informes, y proporciona a las organizaciones los medios para demostrar el cumplimiento de los requisitos reglamentarios y los estándares del sector.
  • Capacidades SASE combinadas: las organizaciones pueden combinar fácilmente varias capacidades SASE para mejorar su postura de seguridad e inspeccionar el tráfico de una sola pasada. La inspección SSL se realiza solo una vez, lo que mejora el rendimiento y reduce la complejidad. Además, al combinar SWG y CASB con DLP, las organizaciones pueden supervisar mejor las actividades de los usuarios para proteger los datos confidenciales y evitar fugas, además de implementar controles aún más granulares sobre el acceso web.
  • Impulsado por la IA: gracias a sus capacidades de IA, una solución SASE unificada con tecnología de IA mejora la visibilidad de los usuarios y dispositivos conectados y permite un control de acceso adaptativo. Automatiza actividades de solución de problemas y diagnostica problemas de red comunes, al tiempo que proporciona análisis predictivos para anticiparse a futuras amenazas y problemas de rendimiento.

¿SASE de uno o varios proveedores?

La conectividad de red y la seguridad, aunque están íntimamente relacionadas, son dos campos de especialización diferentes y muy complejos. La seguridad evoluciona con rapidez para garantizar la protección frente a los riesgos para la ciberseguridad en constante cambio, mientras que las redes de área amplia aspiran a ofrecer unas conexiones rápidas, fiables y flexibles. El potencial real de una arquitectura SASE se puede explotar cuando se combinan funciones de extremo WAN avanzadas con servicios de seguridad SSE completos prestados en la nube.

La opción de seleccionar una solución de uno o varios proveedores puede variar en función de los requisitos de seguridad y WAN existentes. Una estrecha integración de SSE y SD-WAN en una plataforma SASE de un solo proveedor ofrece a las organizaciones numerosos beneficios, entre ellos una implementación más rápida, una gestión centralizada, políticas de seguridad homogéneas y la capacidad de adaptarse con fluidez al cambiante panorama de amenazas. Se recomienda un enfoque multiproveedor para las organizaciones que prefieren adoptar SASE con su elección de servicios de seguridad o integrarse con un ecosistema de seguridad existente. En este entorno multiproveedor, resulta crítico elegir una SD-WAN que automatice la organización con soluciones SSE de terceros para reducir el tiempo de implementación y la complejidad de la gestión.

HPE y SASE

HPE acelera el camino hacia SASE con un marco de confianza cero desde el extremo hasta la nube. A diferencia de los productos de confianza cero aislados en silos, nuestra plataforma unificada reúne SD-WAN, SSE y NAC para aplicar políticas homogéneas para cada usuario y dispositivo, ya sea a nivel local o de forma remota.

El portfolio de SSE ofrece ZTNA, SWG, CASB y DLP, todo ello gestionado desde una única interfaz, mientras que nuestro NAC nativo de la nube extiende la confianza cero a todos los dispositivos, incluso los no gestionados o de IoT, a través de la capacidad de observación, la autenticación y la segmentación dinámica impulsadas por IA, lo que proporciona un acceso seguro y una aplicación homogénea en diversos entornos.

Nuestras soluciones SD-WAN seguras impulsadas por la IA combinan funciones de red avanzadas, como la unión de túneles, la selección de la mejor ruta, la optimización de WAN y las redes multinube, con seguridad integrada, que incluye firewall de última generación, IDS/IPS, defensa DDoS adaptativa, URL Filtering y segmentación basada en roles. Se integran de forma nativa con SSE para una arquitectura SASE unificada completa, o con partners SSE de terceros para un enfoque abierto y flexible.

Preguntas frecuentes

¿Por qué SASE es esencial para una estrategia cloud-first?

Las organizaciones que adoptan un enfoque cloud-first necesitan algo más que herramientas tradicionales de seguridad y conectividad de red para mantenerse al día de los cambios en las demandas. SASE desempeña un papel fundamental a la hora de facilitar esta transformación, al proporcionar conectividad segura, fiable y de alto rendimiento para usuarios remotos, sucursales y dispositivos IoT. Con principios integrados de confianza cero, SASE proporciona acceso con privilegios mínimos a las aplicaciones y mitiga el riesgo de accesos no autorizados o movimientos laterales dentro de la red. Su combinación de eficiencia SD-WAN y seguridad nativa de la nube hace de SASE la base idónea para redes empresariales modernas, escalables y seguras.
¿Qué problemas resuelve SASE?

El panorama de las tecnologías de la información ha cambiado radicalmente en tan solo unos años. No hace mucho, muchas aplicaciones empresariales residían en centros de datos corporativos, a los que los empleados accedían a través de la red de la compañía. La seguridad se reforzó dentro de un perímetro claramente definido. Actualmente, con la adopción de la nube, el IoT, la movilidad y el trabajo remoto, ese perímetro se ha disuelto. La seguridad y las redes deben converger ahora en una arquitectura unificada basada en la nube.
¿Cuál es la diferencia entre SASE y SSE?

SASE es un marco integral que combina servicios de red (por ejemplo, SD-WAN) y de seguridad (por ejemplo, SWG, CASB, ZTNA) en una única solución nativa de la nube diseñada para conectar de forma segura a usuarios, dispositivos y ubicaciones distribuidas. En cambio, SSE (Security Service Edge) es un subconjunto de SASE que se centra exclusivamente en los servicios de seguridad sin incluir los aspectos de red, como SD-WAN. SSE garantiza el acceso a los servicios de nube, las aplicaciones privadas e Internet, pero deja la gestión y optimización de la red a otras soluciones. En esencia, SASE cubre tanto la red como la seguridad, mientras que SSE se limita únicamente a las funciones de seguridad.
¿SASE está basado en la nube?

Sí, SASE está diseñado para estar basado en la nube. Integra servicios de redes y seguridad en una plataforma unificada nativa de la nube. Este enfoque centrado en la nube permite a SASE proporcionar escalabilidad, flexibilidad y gestión centralizada para empresas con plantillas distribuidas, varias sucursales y entornos en la nube.
¿Evita SASE el envío de datos de retorno al centro de datos?

Sí, una de las principales ventajas de SASE es que reduce la necesidad de redireccionar el tráfico al centro de datos, un problema común en las arquitecturas de red heredadas. Una reducción en el tráfico de retorno disminuye la cantidad de tráfico redundante que viaja a través de la red, lo que libera ancho de banda, reduce la latencia y mejora la eficiencia general de la red.
¿Cómo mejora SASE la seguridad del trabajo remoto?

SASE mejora la seguridad del trabajo remoto al unificar las redes y la seguridad en un servicio prestado desde la nube. Protege a los usuarios remotos con ZTNA, validando que solo los usuarios y dispositivos autenticados accedan a las aplicaciones. SWG bloquea sitios web maliciosos, mientras que CASB aplica las políticas de SaaS. La prevención de pérdida de datos (DLP) protege la información confidencial. Con la integración de estas capacidades con SD-WAN, SASE ofrece un acceso seguro y fluido a las aplicaciones desde cualquier ubicación para reducir los riesgos para los trabajadores híbridos y remotos.

Soluciones, productos o servicios relacionados

HPE Aruba Networking EdgeConnect SD-WAN

Más información

HPE Aruba Networking SSE

Más información

Temas relacionados

SD-WAN

Más información

SSE (Security Service Edge)

Más información

Seguridad de red

Más información

SD-WAN segura

Más información

SD-Branch

Más información

Redes multinube

Más información