¿Qué es SASE (Secure Access Service Edge)?

Tradicionalmente, los usuarios se conectan a una red dentro del perímetro de sus escritorios, pero el movimiento global hacia una fuerza laboral que teletrabaja ha cambiado la cara de las TI y la ciberseguridad. La frontera de servicio de acceso seguro (SASE, del inglés “Secure Access Service Edge”) es una tecnología emergente que combina la infraestructura de TI tradicional y los servicios en la nube para acomodar a una serie de usuarios y sus ubicaciones. En lugar de exigir a los usuarios que autentifiquen su identidad en diversas plataformas de forma individual, SASE proporciona a los usuarios acceso a todos los servicios en la nube a través de centros de datos. Estos centros de datos proporcionan controles de acceso donde los administradores pueden gestionar a los usuarios y los recursos de la nube.

En una red de área amplia (WAN, del inglés “Wide Area Network”) tradicional, los administradores creaban soluciones puntuales en diferentes ubicaciones. Cada segmento de la WAN tenía sus propios cortafuegos, componentes de red y gestión de usuarios. Cada segmento se unía en un segmento de control centralizado donde se podían configurar los servidores y otras gestiones de acceso.

En un diseño SASE, estas soluciones puntuales se trasladan a los centros de datos, por lo que ya no es necesario que los administradores gestionen los dispositivos físicos. El proveedor de la nube ofrece cortafuegos y herramientas de gestión de acceso, por lo que los administradores tienen menos sobrecarga. Los administradores siguen teniendo que gestionar los servicios en la nube, pero el proveedor de la nube gestiona el hardware físico.

Los usuarios se conectan a la red, pero en lugar de utilizar dispositivos WAN individuales, se conectan a los centros de datos donde se encuentra la red empresarial. Los administradores pueden monitorizar y controlar todos los servicios en la nube y autorizar a los usuarios a acceder a ellos en lugar de gestionar diferentes servicios a través de Internet.

Cuando la infraestructura de TI cambia, la seguridad debe diseñarse en torno a ella para garantizar la seguridad de las aplicaciones y los datos corporativos. El modelo de seguridad SASE intenta resolver los problemas de ciberseguridad que rodean a la arquitectura WAN tradicional y a cualquier nuevo recurso en la nube que se aprovisione para el nuevo entorno.

Los componentes de red y seguridad utilizados en un modelo SASE son en su mayoría tecnología más reciente, pero diseñada para funcionar con las WAN integradas en la nube. La incorporación de la funcionalidad SASE es necesaria para un entorno de usuario estable. La tecnología utilizada en el modelo SASE incluye:

• SD-WAN: Una SD-WAN definida por software conecta a todos los usuarios remotos y gestiona su red privada. La SD-WAN conecta a los usuarios con los centros de datos. Los proveedores de servicios en la nube suelen proporcionar a estos centros de datos múltiples ubicaciones de puntos de presencia (PoP). La ubicación del usuario determina a qué centro de datos (o el grupo de centros de datos) se conecta el usuario. Al conectar a los usuarios a centros de datos cercanos a su ubicación, se mejora el rendimiento. La latencia disminuye porque el tráfico de red viaja por los centros de datos en lugar de por Internet.
• Confianza cero: En un entorno tradicional, las empresas confiaban intrínsecamente en los usuarios conectados a la red. Sin embargo, las amenazas internas se han convertido en una preocupación real para las empresas, donde los usuarios instalan malware o revelan datos a los atacantes de forma intencionada o no. Por lo tanto, una política de confianza cero dentro de una WAN es esencial. En un modelo de ciberseguridad SASE, la confianza cero se aplica en todos los segmentos de la red y en el acceso a los datos, donde se practican las normas del mínimo privilegio para la autorización.
• Servicios en la nube: La implementación de servicios en la nube no es nueva en las redes, pero en un modelo SASE, los usuarios no se conectan directamente al servicio en la nube desde sus ordenadores de trabajo. En su lugar, se conectan a la red corporativa en los centros de datos de la nube y utilizan los recursos de la red corporativa para conectarse a las aplicaciones. Esto ofrece a los administradores la posibilidad de supervisar el acceso y centralizar los controles de acceso.
• Gestión de acceso a la identidad (IAM): Al obligar a los usuarios a conectarse a la red antes de acceder a los recursos de la nube, los administradores pueden controlar el acceso utilizando la gestión de identidades en lugar de las direcciones IP. Los administradores pueden añadir usuarios a grupos y autorizar el acceso a los mismos. Organizar la autorización por grupos facilita a los administradores la gestión del acceso a diversos recursos y la revocación de privilegios cuando sea necesario.

SASE ofrece un enfoque avanzado hacia la seguridad de la red que resulta cada vez más vital en el vulnerable panorama actual. Con SASE, las organizaciones pueden conectar de forma segura a los usuarios a cualquier aplicación para proporcionarles la mejor experiencia de usuario, al tiempo que protegen la red y los recursos basados en la nube desde cualquier ubicación y dispositivo.

SASE incorpora arquitecturas SD-WAN y de seguridad en la nube, proporcionando una ruta de acceso al usuario segura y directa que reduce la latencia. Esto se consigue protegiendo el acceso directo a Internet (DIA), que es la ruta de acceso al usuario más directa, evitando el tráfico malintencionado e interviniendo antes de que llegue a la empresa. SASE también puede mitigar los ataques DDoS y habilitar una pila de seguridad completa en cualquier punto de la red.

Secure Access Service Edge sirve de marco para una arquitectura de red que reúne en una plataforma tecnologías de seguridad nativas de la nube, como SWG (pasarela web segura), CASB (agente de seguridad de acceso a la nube), ZTNA (acceso a la red de confianza cero) y FWaaS (cortafuegos como servicio). Esta integración permite una gama completa de capacidades de seguridad para mejorar la visibilidad y el control.

También ayuda a simplificar la seguridad de la red al consolidar múltiples funciones de seguridad en una plataforma unificada, reduciendo la complejidad y los costes. Al racionalizar los protocolos de seguridad, las organizaciones pueden gestionar fácilmente sus redes, mejorar la postura de seguridad y reducir el riesgo de ciberamenazas. Se ha convertido en una herramienta integral para las organizaciones que desean una red segura y recursos basados en la nube al tiempo que garantizan una experiencia de usuario óptima.

Un cambio en la infraestructura informática supone un coste inicial, por lo que las organizaciones quieren conocer los beneficios antes de lanzarse a reestructurar la red. A pesar de sus costes iniciales, la ciberseguridad mejora con SASE, además de ahorrar dinero a largo plazo y proporcionar otras ventajas que las organizaciones pueden aprovechar:

Reducción de costes

En lugar de gestionar y comprar varios productos puntuales para dar servicio y seguridad a diferentes segmentos de la WAN, la organización puede reducir costes utilizando los recursos del centro de datos y un sistema de gestión centralizado.

Rendimiento mejorado

La red empresarial dentro de los centros de datos tiene su propia red troncal e infraestructura. Los usuarios se conectan a un centro de datos cercano a su ubicación, por lo que se reduce la latencia de la red.

Complejidad reducida

Con la infraestructura tradicional, el departamento de TI debe gestionar cada componente a través de los segmentos de la WAN. Con SASE, la red está en la nube del centro de datos, lo que reduce la cantidad de componentes que deben gestionar los administradores y la complejidad de la red.

Prevención de amenazas

La arquitectura SASE proporciona funciones de seguridad integrales, como la ocultación de aplicaciones y recursos, la segmentación y la evaluación de riesgos basada en usuario/dispositivo/ubicación (UEBA). Su cifrado y descifrado online, control distribuido y planos de datos, garantizan que todas las conexiones sean inspeccionadas y protegidas.

Política coherente

La arquitectura SASE ofrece servicios UTM completos, aplica una aplicación de políticas coherente y habilita dinámicamente las conexiones en función de la autenticación, la identidad y las reglas empresariales, proporcionando una experiencia de usuario cliente-nube segura y coherente.

Nuevos escenarios empresariales

SASE utiliza el acceso seguro independientemente de la ubicación, lo que permite el trabajo seguro desde cualquier lugar, la adopción de SaaS sin problemas y entornos multinube flexibles. Su arquitectura escalable, centrada en la nube y rentable, elimina los cuellos de botella y sustenta el crecimiento.

Mejor IAM

En lugar de gestionar direcciones IP, los administradores gestionan usuarios y grupos de usuarios. Esta IAM centralizada y organizada proporciona una seguridad y unos controles de acceso mejorados.

Dado que SASE es una nueva metodología de arquitectura de red, algunos administradores temen sus inconvenientes. Perseguir la última tecnología o procesos puede resultar caro, especialmente si no son una alternativa mejor o no ahorran dinero a la organización. La tecnología equivocada puede ser desastrosa para TI y complicar la gestión de los sistemas.

Las desventajas de SASE son pocas, pero los administradores podrían reconocer algunos retos:

• Un único punto de fallo: Si no se configura adecuadamente, una SASE puede ser un punto único de fallo, especialmente para los usuarios remotos. Los usuarios que no pueden conectarse a la red local no pueden acceder a las herramientas o servicios de productividad necesarios.
• Depender de un único proveedor de la nube: Una vez que la red depende de centros de datos en la nube, la organización queda enganchada a un único proveedor. Cualquier cambio en los precios o en la arquitectura del proveedor de la nube afecta a la empresa y podría obligar a los administradores a modificar la configuración de la red.
• Adopción e integración: Aunque SASE puede ofrecer muchas ventajas, las organizaciones que aún no han adoptado plenamente la nube pueden encontrar difícil la convergencia de la seguridad y el acceso a la red en un único modelo, lo que puede acarrear inconvenientes.
• Mantener la continuidad del negocio: El ecosistema SASE puede resultar segmentado y complejo, lo que hace que procesos clave como la gestión del cambio y la adquisición supongan un reto para las organizaciones que buscan implantar la tecnología.
• Cohesión de la red: Seleccionar al socio SASE adecuado y garantizar la coordinación entre los profesionales de redes y de seguridad puede ser todo un reto, ya que las organizaciones deben considerar cuidadosamente sus opciones y trabajar en colaboración para lograr una implantación satisfactoria.

Estos retos pueden superarse utilizando un diseño multinube en el que un proveedor pueda utilizarse como conmutación por error, mientras que otro brinda sustento para la productividad diaria. Sin embargo, este método también es caro. Las organizaciones con múltiples usuarios remotos y recursos en la nube pueden beneficiarse mejor de SASE, incluso a pesar de sus desafíos. Los costes asociados a un fallo catastrófico superarán con creces el coste de la conmutación por error.

Aprovechar un marco SASE puede agilizar las funciones de red, reducir los costes y mejorar el rendimiento general, pero elegir al proveedor adecuado es crucial para liberar todo su potencial. He aquí algunos criterios clave a tener en cuenta a la hora de seleccionar un proveedor de Secure Access Service Edge.

• Enfoque nativo de la nube: Asegúrese de que el proveedor de SASE cuente en su modelo con una pila de software convergente nativa de la nube. Esto cubre las fronteras de red in situ, móviles y basados en la nube, ya que los dispositivos SD-WAN y otras soluciones puntuales no pueden hacerlo.
• Soporte de red dinámico: Con unas condiciones de red dinámicas entre las sucursales remotas o los usuarios/dispositivos y las pasarelas en la nube, priorice la conectividad sensible a las aplicaciones, que sustenta una experiencia de usuario óptima.
• Integración: Elija un proveedor de SASE que ofrezca la integración Zero Trust Network Access (ZTNA. En español: “acceso a redes de confianza cero”), que concede acceso a la red en función de las aplicaciones y las identidades de los usuarios, lo que permite un enfoque contextualmente consciente de la seguridad de la red.
• Conjunto de herramientas integral: Busque proveedores con experiencia que ofrezcan una solución completa, que incluya SD-WAN, FWaaS, ZTNA, CASB, SWG, DLP, datos delicados, inspección de malware y análisis del comportamiento de las entidades usuarias.
• Escalabilidad de la red: Busque un proveedor de SASE que ofrezca una red troncal respaldada por un acuerdo privado de niveles de servicio global (SLA), garantizando así que la compañía tenga una red de excelente desempeño a gran escala.
• Interfaz: Ciertos proveedores ofrecen una interfaz fácil de usar, lo que agiliza la seguridad y la gestión diarias de la red, permitiendo a los profesionales de TI centrarse más en las funciones empresariales y en la resolución de errores.
• Configuración unificada: Asóciese con un proveedor de SASE que ofrezca una gestión de panel único para unificar la definición y gestión de usuarios, dispositivos, redes y políticas de seguridad, con el fin de ofrecer información histórica y en tiempo real con herramientas basadas en IA para una correlación y resolución de problemas eficientes.