Nuevas estrategias de arquitectura en redes empresariales, como es el caso del servicio perimetral de acceso seguro (SASE, por sus siglas en inglés), surgen a partir de la necesidad de adoptar un enfoque convergente.
La transformación digital de las organizaciones, el crecimiento explosivo del trabajo y los servicios en forma remota, así como la necesidad de elevar los estándares de seguridad de los datos en entornos de nube, son sus causas.
Nombres como el mismo SASE, Zero Trust, o el perímetro de servicio seguro (SSE) están en el lenguaje común de los operadores de infraestructuras IT, pero lo más importante es que forman parte de las prioridades en materia de inversión al interior de las organizaciones, para hacer frente a las ciberamenazas, fortalecer la seguridad y robustecer las redes unificadas.
Además, esta clase de marcos de trabajo cambian la manera de implementar y gestionar las redes corporativas.
De la mano con el planteamiento estratégico de seguridad por capas, conocido también como defensa en profundidad, se busca asegurar todos los posibles puntos de acceso a la red, disminuir la superficie de ataque y simplificar la gestión integral de las redes, particularmente en la nube.
¿Qué es SASE?
SASE, que inglés es “Secure Access Service Edge”, es una estrategia empresarial convergente que proporciona una solución de seguridad y redes unificadas, en un servicio basado en la nube que permite a las organizaciones gestión mejorada en términos de accesibilidad, eficiencia y ciberseguridad.
También se le define como una arquitectura de seguridad basada en la nube.
La revolución de SASE en la ciberseguridad
Como respuesta ante la creciente demanda de las organizaciones para tener acceso confiable en un entorno cloud, surge el concepto de SASE, un enfoque transformador que Gartner introdujo en 2019 en uno de sus informes acerca de la nube como el lugar donde en el futuro radicaría la seguridad de la red.
Con SASE como marco de trabajo, Gartner también impulsa la implementación de la arquitectura Zero Trust para cualquier organización.
¿De dónde viene la necesidad de transformar los servicios desde la nube? En forma esquemática, las organizaciones emplean más datos, dispositivos y aplicaciones, además de tener más usuarios, todo lo cual acelera el crecimiento que principalmente reside en la nube, o bien migra hacia ella.
Esto se conoce como “crecimiento fuera de la empresa tradicional” donde el perímetro empresarial deja de ser una ubicación para convertirse en un “conjunto de capacidades perimetrales dinámicas”, disponibles cuando se les necesita bajo el formato de un servicio desde la nube.
Tanto la seguridad como la gestión de riesgos son mucho más complejas en este escenario de perímetro dinámico, con más entornos, productos dispares y escasez de personal capacitado para la administración IT integral, con usuarios, dispositivos y datos creados y almacenados prácticamente en todas partes.
Ante esta visión que pareciera caótica, SASE resulta el marco conceptual adecuado para planear la migración de la infraestructura de red heredada o bien para implementar desde cero la infraestructura de red en la nube.
Se trata entonces de un marco integral para permitir la seguridad y rápida adopción de la nube. La revolución de SASE hace posible, desde una sola plataforma en la nube, la combinación de funciones de seguridad de red con capacidades de conexión de red definidas por software. Así las organizaciones tienen mejor control del tráfico y datos que entran y salen de su red interna, al mismo tiempo que los empleados o usuarios se autentifican y conectan en forma segura desde cualquier sitio a recursos internos.
SASE por medio de su componente de acceso seguro (secure access) gestiona la definición de políticas de seguridad Zero Trust para todos los dispositivos y aplicaciones de los usuarios, tráfico en oficina o sucursal, centros de datos y la nube. Por su parte, el componente de perímetro de servicio (service edge) dirige todo el tráfico hacia los controles de acceso seguro.
Para una mejor comprensión de este marco, es necesario revisar otro concepto creado también por Gartner, que es el SSE, entendido como un subconjunto de la funcionalidad de SASE, pero dedicado puntualmente a capacidades de aplicación de seguridad.
Ventajas de aplicar SASE
¿Cómo funciona SASE?
La arquitectura SASE está integrada por cinco componentes principales, de los que se tratará más adelante:
- SD-WAN (Software-Defined Wide Area Network, o red de área amplia definida por software).
- SWG (Secure Web Gateway, o puerta segura de acceso web)
- CASB (Cloud Access Security Broker, o agente de seguridad de acceso a la nube)
- FWaaS (Firewall as a Service
- ZTNA (Zero Trust Network Access, o acceso de confianza cero a la red)
El funcionamiento de SASE puede explicarse como si fuera un diagrama de flujo:
ZTNA entra en juego para la autenticación y autorización del usuario que busca acceder a recursos empresariales, siguiendo políticas de seguridad preestablecidas. Cada requerimiento de acceso, sin importar ubicación o dispositivo, es verificada.
Con la autorización de la solicitud, el control queda en manos de la función SD-WAN que enruta el tráfico de manera inteligente a través de la red. Para ello emplea conexiones eficientes y seguras, sobre redes privadas o públicas.
La seguridad en las redes y en la nube es responsabilidad del componente SWG que monitorea el tráfico, pone en práctica políticas de seguridad, gestiona el mejor uso de los recursos en línea, así como bloquea posibles ataques de malware.
Si los usuarios acceden a recursos en la nube, la protección de aplicaciones le corresponde al componente CASB que gestiona el cumplimiento normativo y protege datos confidenciales.
Cuando el tráfico se acerca a la red corporativa o a recursos internos, participa el componente FWaaS a manera de firewall para supervisar y controlar el tráfico, aplicando los esquemas de seguridad en puntos de acceso.
Componentes clave de SASE
Los elementos clave que conforman SASE son las funciones de seguridad, como es el caso del acceso Zero Trust a la red y el agente de seguridad de acceso a la nube (CASB). En ambos casos se trata de lo qué tiene que hacer la plataforma del SASE.
Para complementar, se agregan las descripciones acerca de cómo llevar a cabo las funciones, con 3 aspectos distintivos: acceso seguro, accesos directos a la red y perímetro de servicio.
Las primeras, descripciones de acceso seguro, implican los procesos que monitorean y toman acciones sobre el tráfico, para mantener la seguridad de usuarios, aplicaciones, redes y datos.
Los accesos directos a la red son las rutas que sigue el tráfico desde un punto de origen hasta uno de destino, luego haber pasado por los filtros predeterminados, de acuerdo con las políticas establecidas para ello.
El perímetro de servicio en SASE es una red distribuida, ubicada lo más cerca posible de los usuarios y las aplicaciones en cualquier lugar del mundo.
Potenciar la infraestructura de red con SASE
Son cinco las tecnologías que hacen posible el funcionamiento de SASE, que en sí misma no es otra tecnología, sino la conjugación de 5 servicios diferentes unidos a la manera de una solución, que es habilitada por uno o por múltiples proveedores.
Dichas tecnologías son: SWG, CASB, ZTNA, SD-WAN y FWaaS.
La primera de ellas, SWG, conecta y asegura a los empleados remotos a sus servicios SASE, de nube o de internet. De acuerdo con la visión de Gartner, aquí debiera incluirse filtrado de URL, identificación y control de aplicaciones, así como detección y bloqueo de códigos maliciosos.
CASB es la tecnología que proporciona control de acceso y seguridad en el caso de aplicaciones de software como servicio, tales como Salesforce o bien, como Office 365.
Por su parte, la conexión de confianza cero entre los usuarios y los recursos privados de un centro de datos o una red corporativa, se hace mediante ZTNA.
En cuarto lugar, SD-WAN permite la gestión y control centralizados de todos los componentes de hardware por medio de software.
Por último, FWaaS que es conocido también como firewall en la nube, se encarga de filtrar el tráfico potencialmente dañino, sin necesidad de hardware físico dentro de la red.
Implementación de SASE en un ambiente empresarial
Una solución SASE exitosa requiere de un complejo y detallado trabajo de preparación de la infraestructura IT en una organización, que implica tanto la implementación de una red perimetral global y robusta, como la consolidación de múltiples tecnologías de seguridad en un modelo nativo en la nube.
Se consideran cuatro aspectos principales a la hora de preparar la infraestructura necesaria para la implementación de SASE.
El comienzo está en la adopción de una arquitectura basada en la nube, con capacidad para brindar servicios de seguridad continuos, orientados a la reducción de riesgos.
En segundo lugar, está la integración de servicios de seguridad considerados como esenciales, esto implica múltiples servicios de seguridad en un solo paquete o, dicho de otra manera, consolidar múltiples tecnologías de seguridad en un entorno simplificado.
Luego está la necesidad de utilizar una red perimetral global, en la nube, que reduzca la latencia y mejore el desempeño de los controles de seguridad.
Por último, poner énfasis en la indispensable evolución de los métodos de acceso remoto, donde se requiere de soluciones seguras y escalables, distintas de las tradicionales VPN (virtual private network) con sus costos y riesgos asociados, que permitan a los usuarios acceso confiable a centros de datos y aplicaciones privadas, sin importar su ubicación.
En suma, con una solución SASE es posible brindar acceso a nivel de aplicaciones privadas, siguiendo los principios de confianza cero, lo que significa para los usuarios el cumplimiento de requisitos de autenticación, así como de verificación del comportamiento de sus dispositivos, previo a la autorización para acceder a ciertas aplicaciones privadas.
Características de la arquitectura SASE
Se dice de la arquitectura SASE que brinda muchas ventajas, gracias a que responde puntualmente a las necesidades de agilidad y rapidez del mundo digitalmente conectado en el que vivimos.
Las actividades a distancia (trabajo, educación, entrenamiento, investigación) o las altamente dependientes de tecnologías están cada vez más influidas por big data, cómputo en la nube o inteligencia artificial (AI, por sus siglas en inglés), lo que obliga a buscar infraestructuras de redes, así como de seguridad empresarial más robustas, dinámicas y avanzadas, que es precisamente lo que SASE garantiza.
La reducción en el uso de dispositivos a cargo de la seguridad informática integral es una de las características sobresalientes de la arquitectura SASE, además de que brinda la posibilidad de una red única donde todo está conectado, utilizando las capacidades de adaptación, versatilidad, mantenimiento y auto reparación automatizados.
Protege la totalidad de recursos informáticos de la organización, incluidos los equipos físicos, la información en la nube o los dispositivos móviles.
Ejemplos de casos de uso SASE
Si bien es cierto que el uso cada vez más extendido de recursos tecnológicos basados en la nube ha sido muy favorable, es igualmente cierto que las líneas de negocio se van aislando en la misma medida que se estandarizan entornos de nube separados, haciendo cada vez más compleja la gestión y operación de recursos a cargo de los administradores de IT.
Desde esta perspectiva es que se adopta SASE para dotar de mayor agilidad operativa a estos entornos, aprovechando también su escalabilidad.
El caso de uso tal vez más representativo es el de los usuarios remotos o a distancia, junto con las oficinas y sucursales remotas, que coinciden con necesidades similares.
En algunos casos requieren interacción mediante videoconferencias, en otras, acceso sin falla a información confidencial, algunos más buscan las aplicaciones basadas en la nube. Todos precisan de conectividad, seguridad y alta disponibilidad de la red.
Otro caso de uso muy recurrente corresponde a la adopción y migración a la nube, para el cual el marco unificado de SASE, brinda la posibilidad de acelerar los procesos de migración bajo un entorno de seguridad, siguiendo las políticas predefinidas en cada organización.
Ventajas de implementar SASE
Los ahorros en costos y tiempo, la eliminación de procesos complejos y un esquema de acceso confiable por parte de los usuarios hacia las redes empresariales son algunas de las ventajas que tiene la adopción de SASE en las organizaciones.
No menos importante es la optimización en tiempo real de las aplicaciones, la centralización de la gestión, así como la disponibilidad de ingreso en forma remota y móvil en entornos más seguros.
Además de restringir accesos para usuarios, dispositivos y aplicaciones no seguras, todo lo cual da como resultado un mejor desempeño de los equipos de IT y de seguridad informática.
¿Cómo mejoran la seguridad, la productividad y la eficiencia de IT?
Con SASE, al combinar en una sola plataforma servicios de redes y seguridad, las organizaciones tienen una visión más completa e integral de su situación y se les facilita tanto la identificación como la respuesta ante ciberamenazas.
Además, gracias a que los servicios SASE están basados en la nube, las organizaciones se benefician de las últimas actualizaciones e innovaciones de seguridad, con la ganancia adicional de no tener que invertir nuevamente en hardware o software.
SASE y Zero Trust funcionan en forma combinada para el resguardo de datos, aplicaciones y políticas de red, con lo que se logra reducir vulnerabilidades. La acción combinada ofrece una solución de seguridad optimizada, que reduce la superficie de ataque y habilita un perímetro de seguridad robusto.
SASE se inserta en el segmento de las soluciones y tecnologías convergentes que están transformando la manera en la que las organizaciones gestionan la seguridad para una mejor protección de redes y datos, en medio de entornos altamente demandantes, con una mezcla de dispositivos, usuarios, centros de datos, sucursales, oficinas y nubes geográficamente dispersos.
Se trata de un mercado creciente. De acuerdo con Dell’Oro Group, en un informe de agosto, el gasto acumulado de las empresas en soluciones SASE etiquetadas como de un solo proveedor, se estima en $34,000 millones de dólares para el periodo 2022 a 2027, mientras que las clasificadas como de múltiples proveedores está calculado en $29,000 millones de dólares para el mismo lapso de tiempo.
Desde otra perspectiva, la firma Markets and Markets hace una proyección del valor de mercado SASE partiendo de una cifra estimada en $1,900 millones de dólares este año, hasta alcanzar los $5,900 millones de dólares en 2028.
La continua evolución tecnológica modifica enfoques y formas de trabajo en las organizaciones de todo tamaño. Así que la interdependencia entre la gestión corporativa, la implementación de plataformas y arquitecturas de IT cada vez más complejas y los modelos de negocio, van empujando hacia la adopción de soluciones convergentes.
Es precisamente bajo este supuesto que SASE se presenta como la gran oportunidad para resolver problemas asociados a la ciberseguridad, que es una de las preocupaciones más importantes en todos los ámbitos.
De hecho, hay analistas que afirman que el mayor motor para considerar SASE es tenerla como la respuesta de primera elección ante las ciberamenazas.
