¿Qué es SASE (Secure Access Service Edge)? Guía completa

El panorama de TI para muchas organizaciones está evolucionando. A medida que la tecnología cambia continuamente, las organizaciones deben considerar tanto los mayores beneficios como los nuevos riesgos que conllevan los trabajadores híbridos: empleados que trabajan tanto de forma remota como en una oficina. Están accediendo a aplicaciones y datos en la web, en la nube y en centros de datos privados desde una variedad de ubicaciones y muchos están usando sus propios dispositivos (BYOD).

El nuevo panorama requiere una solución moderna que ofrezca conectividad sin problemas desde cualquier lugar y al mismo tiempo brinde seguridad en todas partes. Secure Access Service Edge, o SASE, es una poderosa solución de TI que puede ayudar a tu organización a proteger mejor sus datos y tecnologías que usan tus empleados, ya sea que estén en el sitio o de forma remota.

Aquí tienes una completa guía sobre SASE, qué es, cómo funciona, beneficios, desafíos y principales proveedores.

¿Qué es SASE (perímetro de servicio de acceso seguro)?

SASE (Secure Access Service Edge) es una arquitectura de red que unifica las soluciones de red y seguridad en un servicio basado en la nube para mejorar la accesibilidad, la eficiencia y la ciberseguridad.

El concepto de SASE se introdujo en el informe de Gartner de 2019 «El futuro de la seguridad de la red está en la nube». El concepto surgió de la creciente demanda de las organizaciones de acceso confiable a través de enfoques de red transformadores.

Gartner publicó un libro blanco de seguimiento ‘Hoja de ruta estratégica para la convergencia de SASE 2021’ con un plan de migración para las organizaciones que cambian de la infraestructura de red heredada a SASE.

En pocas palabras, SASE combina capacidades de SD-WAN con seguridad y las ofrece como un servicio. Las políticas de seguridad aplicadas en las sesiones de los usuarios se adaptan a cada una de ellas en función de cuatro factores:

  • Identidad de la entidad que conecta.
  • Contexto (salud y comportamiento del dispositivo, sensibilidad de los recursos a los que se accede).
  • Políticas de seguridad y cumplimiento.
  • Evaluación continua del riesgo durante cada sesión.

El lado WAN de SASE se basa en las capacidades por entidades que incluyen proveedores de SD-WAN, operadores, redes de entrega de contenido, proveedores de red como servicio, agregadores de ancho de banda y proveedores de equipos de red.

El lado de la seguridad se basa en agentes de seguridad de acceso a la nube, puertas de enlace web seguras en la nube, acceso a la red de confianza cero, firewall como servicio, protección de API web como servicio, DNS y aislamiento de navegador remoto.

¿Por qué es necesario?

SASE brinda seguridad constante a todos los empleados, independientemente de su ubicación.

En el panorama de amenazas moderno, SASE mantiene a los usuarios seguros sin tener que sacrificar el rendimiento o la seguridad. Los enfoques de seguridad heredados (donde los usuarios fuera de la red no pueden acceder a los datos en el interior, pero los usuarios dentro de la red sí pueden) simplemente no pueden lidiar con los casos de uso modernos como los trabajadores remotos y las aplicaciones en la nube. La flexibilidad y la adaptabilidad pueden hacer o deshacer una solución de seguridad, y SASE proporciona fluidamente ambos

Con SASE, los usuarios finales y los dispositivos pueden autenticarse y obtener acceso seguro a todos los recursos a los que están autorizados a acceder protegidos por seguridad ubicada cerca de ellos. Una vez autenticados, tienen acceso directo a los recursos, lo que soluciona los problemas de latencia.

Componentes

SASE combina la protección de Security Service Edge (el conjunto de capacidades necesarias para lograr las características de seguridad de SASE) con múltiples tecnologías de red y seguridad en una única solución. Cada componente contribuye a construir una red segura y confiable sin sacrificar la calidad o la velocidad.

Agente de seguridad de acceso a la nube (CASB)

CASB funciona como puente entre los usuarios/dispositivos y las aplicaciones en la nube. Si sus aplicaciones fueran un club nocturno, los CASB serían los gorilas. Son una forma clave de seguridad. Permite a la organización aplicar políticas de seguridad, autenticación de dos factores e inicio de sesión único en todas las aplicaciones en la nube que se supone que las personas deben usar, manteniendo los dispositivos no autorizados y las personas fuera de los activos críticos sin restringir el acceso a quienes lo necesitan.

Firewall como servicio (FWaaS)

El firewall como servicio (FWaaS) puede funcionar en las instalaciones, pero a menudo se aprovecha a través de la nube en una configuración SASE. FWaaS ofrece las mismas soluciones que un firewall con estado: monitorización de red, filtrado de paquetes y mapeo de IP, con capacidades adicionales de firewall de última generación (NGFW).

Las características de NGFW incluyen:

  • Sistema de detección de intrusiones (IDS) y Sistema de prevención de intrusiones (IPS)
  • Protección contra amenazas avanzadas (ATP)
  • Seguridad del sistema de nombres de dominio (DNS)
  • Control de aplicaciones
  • Inspección profunda de paquetes (DPI)

Acceso a la red de confianza cero (ZTNA)

ZTNA significa acceso a la red de confianza cero. Requiere que los usuarios/dispositivos proporcionen un permiso explícito para acceder a las aplicaciones. Es como si el usuario estuviera físicamente en la oficina y necesitara escanear su tarjeta para acceder a áreas restringidas; tendrían que escanear la placa cada vez que quisieran entrar.

Este es un componente de seguridad muy importante porque permite ocultar las aplicaciones privadas internas a los usuarios que no deberían tener acceso, pero que son visibles y funcionales para quienes sí lo tienen. También permite un mayor acceso remoto mediante la autenticación por capas. ZTNA brinda seguridad ágil que es increíblemente adaptable y capaz de manejar las necesidades de seguridad modernas.

Puerta de enlace web segura (SWG)

SWG significa Secure Web Gateway, y funciona como un tamiz en la red para filtrar lo que no debería estar allí. También permite a las organizaciones hacer cumplir sus políticas de usuarios aceptables, manteniendo alejados a los atacantes y conservando los datos confidenciales.

SWG incluye otras funciones que garantizan una funcionalidad más segura sin sacrificar la experiencia del usuario. Por ejemplo, el Aislamiento de navegador remoto (RBI) aísla a los usuarios de los sitios web que pueden haberse visto comprometidos. Y Content Disarm and Reconstruction (CDR) asegura automáticamente los archivos descargados, lo que permite a los usuarios usar contenido de la web de manera segura, incluso si se ha visto comprometido.

Además, SWG inspecciona el tráfico encriptado y se asegura de que los usuarios solo ingresen a áreas a las que tienen autorización de acceso y que se consideran seguras. Debido a que está integrado en toda la plataforma SASE, permite esta función a escala de la nube.

SD-WAN

SD-WAN significa red de área amplia definida por software. Proporciona una conexión segura y directa a Internet, generalmente para sucursales y sitios remotos. Al combinar esto con las técnicas de seguridad de SSE, SD-WAN permite a los usuarios conectarse a todas las aplicaciones y datos que necesitan para ser productivos.

SD-WAN también elimina el trabajo pesado de las redes. Por lo tanto, tu organización no necesitará redes dedicadas, como las antiguas líneas MPLS basadas en telecomunicaciones, ya que utiliza un enfoque de red completamente basado en la nube. Esto permite una red rápida y de calidad porque se ha eliminado la necesidad de enviar todo el tráfico de vuelta a través de un cuello de botella central. En su lugar, ofrece capacidades de exploración de tráfico profundas para detectar tráfico sospechoso o patrones de comportamiento inusuales.

¿Cómo funciona?

Tradicionalmente, el tráfico de red de una organización fluía predominantemente a través de sus diferentes ubicaciones, como sucursales, con la mayoría de las arquitecturas y aplicaciones de seguridad alojadas en centros de datos o su sede y accedidas de forma remota a través de una red privada virtual (VPN).

La transformación digital ha interrumpido las redes tradicionales. Las redes modernas son considerablemente más complejas y, a menudo, comprenden productos SaaS, tecnología en la nube, dispositivos de Internet de las cosas (IoT), dispositivos móviles y trabajadores remotos.

Todos estos puntos finales requieren seguridad y conectividad de la red. La gran cantidad de tráfico que generan hacia y desde los centros de datos junto con el proceso de inspección de seguridad provoca latencia y una experiencia de usuario disminuida (UX).

SASE tiene como objetivo abordar estas ineficiencias al permitir que las organizaciones escalen sus capacidades de red y seguridad directamente en todos los puntos finales en cualquier ubicación a través de su modelo de entrega en la nube.

Es un modelo basado en la nube que funciona mediante la integración de capacidades de red y seguridad en un único marco unificado. Una solución SASE utiliza un motor de inspección en un punto de presencia de borde para analizar el tráfico en busca de malware o cualquier problema antes de enrutarlo o reenviarlo. Una solución basada en SASE brinda acceso a servicios basados ​​en la nube y recursos locales a través de un enfoque centralizado simplificado. Esto se logra agregando la seguridad de la red y los controles de acceso a través de un único control de gestión. Esto permite a las empresas tener una visibilidad completa del rendimiento de la aplicación y la red y tomar medidas proactivas para evitar ataques. Una solución SASE también clasifica automáticamente el tráfico y evita el acceso a contenido o aplicaciones no autorizadas.

SASE garantiza una seguridad mejorada ya que solo se da acceso a aplicaciones específicas que son necesarias para los usuarios con respecto a sus perfiles de trabajo. También garantiza que el usuario esté autenticado y autorizado mediante la autenticación de múltiples factores que permite a los usuarios acceder a todas las aplicaciones con un conjunto de credenciales. SASE utiliza DNS como un punto de control de seguridad, lo que lo ayuda a detectar y detener los ataques cibernéticos de manera temprana.

¿Para qué se utiliza?

Como es un servicio basado en la nube, SASE se puede utilizar para garantizar la seguridad de lugares de trabajo remotos o sucursales. Por lo tanto, se puede aplicar una política estandarizada en todos los puntos de contacto remotos desde una ubicación centralizada en la nube. SASE utiliza un enfoque integrado al combinar tecnologías complementarias como SWG, CASB, FWaaS y ZTNA. Esto garantiza que, independientemente de la ubicación o el dispositivo, se pueda aplicar una política de acceso segura y coherente para evitar cualquier fuga de datos.

Beneficios

Estos son los principales beneficios de SASE:

Costes mas bajos

SASE consolida funciones que las organizaciones normalmente necesitarían varios proveedores de servicios para administrar y requiere menos componentes de hardware en las instalaciones que las redes tradicionales. Estos factores reducen significativamente los gastos generales de red y seguridad existentes de las organizaciones.

Eficiencias de gestión

Dado que el modelo SASE funciona como un servicio centralizado, los equipos de TI pueden administrar todas las aplicaciones desde un punto de acceso en lugar de administrar dispositivos de red individuales en varias ubicaciones.

La naturaleza basada en la nube de SASE también permite a las organizaciones escalar la aplicación de la arquitectura tan rápido como crece la red.

Seguridad de red mejorada

Los servicios de SASE mejoran la seguridad de la red a través de su enfoque profundo de la protección de la red. Un servicio SASE ideal puede ayudar a detectar y prevenir ataques cibernéticos como ataques de denegación de servicio distribuido (DDoS), ataques de intermediarios, phishing, suplantación de identidad por correo electrónico y diferentes tipos de malware a través de inspecciones de seguridad exhaustivas.

ZTNA es un componente central de SASE, que garantiza que todos los usuarios y dispositivos reciban autenticación y autorización antes de acceder a cualquier recurso de la red. Los proveedores de SASE de buena reputación también ofrecen conexiones encriptadas y estrictos controles de políticas.

Optimización del rendimiento de la red

La arquitectura SASE está diseñada para adaptarse a los modelos de trabajo modernos, proporcionando conexiones de red más rápidas y confiables a todos los puntos finales, incluidos los usuarios móviles y los usuarios remotos. Las aplicaciones nativas de la nube y los servicios SaaS se ejecutan en conexiones de baja latencia, ya que el acceso se facilita a través de una plataforma unificada.

Como las plataformas SASE ofrecen todas las funciones de red y seguridad en un solo servicio, son mucho más fáciles de monitorizar y mantener que los sistemas heredados. Los equipos de seguridad tienen visibilidad sobre todo el tráfico entrante y saliente desde una única interfaz.

La distribución global de PoP significa que estas capacidades se extienden a áreas de la fuerza laboral remota que alguna vez fueron más difíciles de incorporar a la red.

Desafíos

Los desafíos que presenta SASE son los siguientes:

Obstáculos operativos

Dado que SASE requiere que los equipos de administración y seguridad de la red, generalmente separados, trabajen juntos, deben desarrollar estrategias, prioridades y objetivos durante su implementación y desarrollo continuo.

Si ambos departamentos luchan por ponerse de acuerdo en estas áreas, podría haber demoras y otros obstáculos operativos en torno a la implementación de SASE.

Ofertas únicas de SASE

SASE combina un paquete de servicios que las organizaciones obtienen tradicionalmente de varios proveedores externos diferentes. Como SASE es un marco adaptable, no existe una solución única disponible para las organizaciones.

Es probable que las organizaciones necesiten comparar diferentes soluciones de SASE para encontrar ofertas adecuadas que se ajusten a sus cargas de trabajo y casos de uso específicos.

Necesidades desconocidas

Teniendo en cuenta la infancia de SASE, es posible que las organizaciones no sepan qué combinación de servicios necesitan para satisfacer las necesidades específicas de su organización. Es posible que deban confiar en la prueba y el error entre los proveedores de SASE, lo que requiere muchos recursos y costes.

Mayor riesgo de terceros

La implementación de SASE requiere una serie de tecnologías que las organizaciones probablemente obtendrán de varios proveedores. Estas tecnologías no solo aumentan el riesgo de ciberseguridad, sino que cada uno de estos proveedores conlleva riesgos de terceros, que se extienden aún más a los riesgos de terceros. Las organizaciones tienen mucho en cuenta estos vectores de ataque adicionales a través de políticas de seguridad de la información efectivas y estrategias de gestión de riesgos de los proveedores.

¿SASE es seguro?

SASE se considera seguro ya que es una combinación de varias tecnologías que se complementan entre sí. Cada tecnología agrega una capa adicional de seguridad, lo que hace que SASE sea extremadamente seguro.

Veamos cada tecnología y analicemos cómo mejorar la postura general de seguridad. En un modelo SASE, una de las tecnologías destacadas es el Firewall de próxima generación (NGFW). Un NGFW ayuda a las empresas a crear un microperímetro mediante la creación de una capa de segmentación que solo permite el paso del tráfico conocido. Esto ayuda a permitir el acceso solo a usuarios autorizados y brinda a las empresas la capacidad de analizar y diferenciar completamente entre diferentes tipos de tráfico. También es posible aplicar controles granulares adicionales como URL, direcciones IP, dominios o puertos. Esto también evita la descarga de contenido o software malicioso, ya que el firewall se actualiza constantemente con respecto al malware basado en bases de datos de detección de amenazas disponibles a nivel mundial.

Esta protección se ve reforzada por Secure Web Gateway (SWG), que protege a los usuarios al ofrecer capacidades como filtrado de URL, inspección profunda de paquetes para contenido malicioso y controles de acceso web. SASE también ofrece capacidades como IPS, que pueden monitorizar continuamente las amenazas y capturar inteligencia sobre estas amenazas, lo que puede ayudar a los administradores de red a tomar medidas preventivas. Esto puede incluir el bloqueo del tráfico de regiones o direcciones IP fraudulentas conocidas o el bloqueo de bots maliciosos.

Cuando uno observa la solución completa que ofrece SASE, podemos concluir que SASE puede ayudar a las empresas a adoptar un modelo Zero Trust por completo (puede ofrecer todo excepto WAF).

Principales proveedores

Los siguientes proveedores pueden ayudar a las organizaciones a adoptar el modelo SASE.

Akamai

La arquitectura en la nube de Akamai ofrece acceso seguro a aplicaciones en la nube y otras aplicaciones de terceros, a través de una red de entrega de contenido (CDN) global.

Características: SWG, DLP, ZTNA y AMF.

Barracuda Networks

La plataforma de Barracuda ofrece a los usuarios acceso seguro a aplicaciones SaaS y seguridad en el dispositivo para aplicaciones internas a través de servidores proxy.

Características:

  • SD-WAN
  • FWaaS
  • IPS
  • atp
  • ZTNA
  • Escaneo de malware
  • Filtrado de contenido

Cato Networks

La infraestructura en la nube de Cato ofrece servicios SD-WAN y SASE a través de una red global de PoP.

Características:

  • NGFW
  • SGW
  • ZTNA
  • atp
  • Nube
  • Seguridad móvil

Cisco

La plataforma nativa de la nube de Cisco ofrece funcionalidades completas de red y seguridad en una solución integral SASE.

Características:

  • SD-WAN
  • SWG
  • CASB
  • NGFW
  • ZTNA

Cloudflare

Ofrece una pila de seguridad a través de una CDN global que se puede emparejar con una SD-WAN existente.

Características:

  • CASB
  • ZTNA
  • Filtrado web
  • VPN

Fortinet

La pila SASE de Fortinet incluye funcionalidades de seguridad basadas en la nube en una red distribuida.

Características:

  • SWG
  • DLP
  • ZTNA
  • VPN
  • IPS
  • FWaaS

Netskope
La funcionalidad de seguridad nativa de la nube de Netskope brinda protección en tiempo real en el perímetro de la red.

Características:

SWG de próxima generación
ZTNA
CASB
Seguridad en la nube pública

Palo Alto Networks

Palo Alto proporciona ofertas de seguridad detalladas en la nube para ofrecer una protección completa de la red.

Características:

  • SWG
  • ZTNA
  • CASB
  • FWaaS
  • VPN

Vmware

La arquitectura nativa de la nube de VMware combina servicios de redes y seguridad para la entrega a través de una red expansiva de múltiples nubes.

Características:

  • SD-WAN
  • SWG
  • CASB
  • ZTNA
  • FWaaS

Zscaler

La plataforma de seguridad en la nube de Zscaler ofrece servicios distribuidos globalmente para un acceso seguro a aplicaciones y datos.

  • CASB
  • ZTNA
  • IPS
  • Seguridad DNS
  • proxy del navegador
  • Cloud Sandbox

Cómo adoptar SASE

Es probable que las empresas se cambien primero a enfoques híbridos, con redes tradicionales y sistemas de seguridad que manejen las conexiones preexistentes entre los centros de datos y las sucursales. SASE se consolidó para manejar nuevas conexiones, dispositivos, usuarios y permanecer.

SASE no es una cura para los problemas de red y seguridad, ni evitará interrupciones futuras, pero permitirá a las empresas responder más rápido a las interrupciones o crisis y así minimizar su impacto en la empresa. Además, SASE permitirá a las empresas estar mejor posicionadas para aprovechar las nuevas tecnologías, como la informática de punta, 5G y la IA móvil.