SASE (Secure Access Service Edge) es una arquitectura cloud que integra SD-WAN y servicios de seguridad para ofrecer conectividad y protección unificadas a usuarios y datos, desde cualquier lugar.
Después de la transformación que han vivido las áreas IT en los últimos años, la red y la seguridad han dejado de verse como componentes aislados. Su integración abrió lugar al concepto de perímetro de servicio de acceso seguro, o SASE, un término introducido por Neil MacDonald y Joe SkorupaGartner en una publicación de Gartner en octubre de 2019.
Cuando se habla de SASE, se trata de una arquitectura que combina funciones de red WAN definida por software con servicios de seguridad basados en la nube. Entre ellos, los más comunes son la confianza cero (Zero Trust), gateways web seguros, agentes de seguridad para aplicaciones cloud (CASB) y firewalls como servicio.
Esta plataforma de red y de seguridad basada en identidades se distribuye globalmente como servicio para conectar de forma segura todos los perímetros que componen a su arquitectura. Descubre más sobre SASE en este artículo y cómo introducirlo a tu organización.
Índice de temas
Qué es el SASE, según sus creadores
Como respuesta ante la creciente demanda de las organizaciones para tener acceso confiable en un entorno cloud, surge el concepto de SASE, un enfoque transformador que Gartner introdujo en 2019 en uno de sus informes acerca de la nube como el lugar donde radicaría la seguridad de la red en el futuro.
Con SASE como marco de trabajo, Gartner también impulsa la implementación de la arquitectura Zero Trust para cualquier organización. Pero ¿a qué se refiere cuando se habla de SASE? De acuerdo con la consultora:
SASE es un modelo que unifica funciones de red y seguridad en la nube para ofrecer acceso seguro a aplicaciones y datos, sin importar si el usuario se encuentra en una sucursal, trabaja de forma remota o está en sitio.
También se describe como una arquitectura de seguridad en la nube, una característica clave que respalda su adopción. Según el informe Cost of a Data Breach 2024 de IBM, el 40% de las filtraciones comprometieron datos almacenados en entornos híbridos, y aquellas que involucraron nubes públicas tuvieron un costo promedio de US$ 5.17 millones.
La transformación del perímetro impulsa la adopción de SASE
A medida que las empresas suman aplicaciones, dispositivos y usuarios distribuidos, su crecimiento tecnológico se orienta hacia el cloud. Esto ha diluído el perímetro tradicional de la organización, abriendo paso a un entorno dinámico donde las capacidades perimetrales se consumen como servicio.
Aquí, la seguridad y la gestión de riesgos exigen un enfoque integral que esta arquitectura convergente puede resolver, al combinar funciones de red y seguridad —como SD-WAN, control de acceso, firewall y protección de endpoints— desde la nube, de forma escalable y centrada en la identidad.
SASE: el marco integral adecuado para migrar a la nube
Ante esta visión que pareciera caótica, SASE resulta ser el marco conceptual adecuado para planear la migración de la infraestructura de red heredada o bien para implementar desde cero la infraestructura de red en la nube.
Se trata entonces de un marco integral para permitir la seguridad y rápida adopción de la nube.
La revolución de SASE hace posible, desde una sola plataforma en la nube, la combinación de funciones de seguridad de red con capacidades de conexión de red definidas por software.
Así las organizaciones tienen mejor control del tráfico y datos que entran y salen de su red interna, al mismo tiempo que los usuarios se autentifican de forma segura desde cualquier sitio a recursos internos.
SASE, por medio de su componente de acceso seguro (secure access), gestiona la definición de políticas de seguridad Zero Trust para todos los dispositivos y aplicaciones de los usuarios.
También brinda seguridad para el tráfico de datos en oficina o sucursal, centros de datos y la nube.
Por su parte, el componente de perímetro de servicio (service edge) dirige todo el tráfico hacia los controles de acceso seguro. Para una mejor comprensión de este marco, es necesario revisar otro concepto creado también por Gartner, que es el SSE:
SSE es un subconjunto de la funcionalidad de SASE, pero dedicado puntualmente a capacidades de aplicación de seguridad.
El Servicio de seguridad en el borde resguarda el acceso a la web, la nube y aplicaciones privadas mediante control de acceso, protección de datos y amenazas, monitoreo y políticas, integrándose por red y API.
Beneficios de aplicar SASE
Algunos de los beneficios que tiene la adopción de SASE en las organizaciones son:
- Ahorro en costos y tiempo
- Eliminación de procesos complejos
- Esquema de acceso confiable de los usuarios a redes empresariales
- Optimización en tiempo real de las aplicaciones
- Centralización de la gestión
- Disponibilidad de acceso en forma remota y móvil en entornos más seguros
- Restringir accesos para usuarios, dispositivos y aplicaciones no seguras
Esto da como resultado un mejor desempeño de los equipos de IT. Según el sitio web Statista, un 54% de los ejecutivos técnicos en todo el mundo destacaron a la seguridad como el beneficio más valioso de implementar el SASE.
Componentes clave de SASE
Los elementos clave que conforman SASE son las funciones de seguridad, como es el caso del acceso Zero Trust a la red y el agente de seguridad de acceso a la nube (CASB).
En ambos casos se trata de qué es lo que tiene que hacer la plataforma de SASE.
Para complementar, se agregan las descripciones acerca de cómo llevar a cabo las funciones, con tres aspectos distintivos:
1. Acceso seguro
Acceso seguro, implica los procesos que monitorean y toman acciones sobre el tráfico, para mantener la seguridad de usuarios, aplicaciones, redes y datos.
2. Acceso directos a la red
Son las rutas que sigue el tráfico desde un punto de origen hasta uno de destino, luego de haber pasado por los filtros predeterminados, de acuerdo con las políticas establecidas para ello.
3. Perímetro de servicio en SASE
Es una red distribuida, ubicada lo más cerca posible de los usuarios y las aplicaciones en cualquier lugar del mundo.
Elementos clave en la arquitectura de SASE
En la arquitectura de red SASE, varios elementos resultan simplificados y se reduce el uso de dispositivos a cargo de la seguridad informática integral dentro de una organización.
Según Megan Roddie, instructora senior de SANS Institute, las arquitecturas tradicionales de red dependían de dispositivos físicos ubicados en lugares centralizados que proveían visibilidad al tráfico destinado a internet.
Con el auge del home office, estas arquitecturas dejaron de ser efectivas. Hoy, estos sistemas y aplicaciones alojadas en la nube ya no pasan necesariamente por estos puntos centralizados.
Seguridad en la nube
El sistema SASE, al ser nativo cloud y formar parte de un modelo descentralizado en la gestión de seguridad, también cumple con las normativas aplicables a la protección de servicios cloud. Su capacidad para asegurar la protección de datos en la nube constituye su mayor utilidad.
SASE y FWaas: transformación de redes
Según explica Roddie en el whitepaper publicado por SANS junto a Amazon Web Services, SASE introduce la Firewall-as-a-Service (FWaaS) en el borde, para eliminar complejas reglas de enrutamiento que tradicionalmente enviaban el tráfico hacia centros de datos físicos para procesarlo.
En una implementación híbrida de FWaaS en SASE, todo el tráfico corporativo, independientemente de su origen (usuarios remotos, oficinas físicas o servicios en la nube), se dirige hacia un punto de presencia (PoP) del proveedor, y luego a una capa de seguridad integrada, donde es filtrado y supervisado eficazmente.
De este modo, todos los puntos de conexión de la red son analizados para detectar actividades sospechosas. Al detectarlas, puede detenerlas antes de que accedan a la red, mejorando así su viabilidad operativa.
Servicios integrados
Con este perímetro seguro, se aplica una gestión de servicios integrados, a los que se tiene acceso en aquellos lugares donde se ubican geográficamente los usuarios. Una vez autenticados, acceden directamente a los servicios que requieren.
Existe también la flexibilidad de agregar recursos adicionales para satisfacer los picos de demanda y retirarlos cuando ésta disminuye.
Computación en el borde (edge computing)
Este elemento es parte esencial de SASE. De acuerdo con la ingeniera en seguridad de SANS, procesar los datos en el borde significa realizar dicha operación cerca del punto donde se originan, lo que que disminuye la latencia y mejora el rendimiento y la seguridad de la red.
Esto es especialmente relevante cuando se trata de actividades críticas en entornos remotos y dispersos geográficamente.
Características de la arquitectura SASE
Se dice que la arquitectura SASE brinda muchas ventajas, gracias a que responde puntualmente a las necesidades de agilidad y rapidez del mundo digital.
Las actividades a distancia: trabajo, educación, entrenamiento, investigación o las altamente dependientes de tecnologías están cada vez más influidas por big data, cómputo en la nube o inteligencia artificial (AI, por sus siglas en inglés).
Este entorno obliga a buscar infraestructuras de redes, así como de seguridad empresarial más robustas, dinámicas y avanzadas, que es precisamente lo que SASE garantiza.
La reducción en el uso de dispositivos a cargo de la seguridad informática integral es una de las características sobresalientes de la arquitectura SASE.
Además, SASE brinda la posibilidad de una red única donde todo está conectado, utilizando las capacidades de adaptación, versatilidad, mantenimiento y auto reparación automatizados.
Protege la totalidad de recursos informáticos de la organización, incluidos los equipos físicos, la información en la nube o los dispositivos móviles.
Tecnologías que permiten el funcionamiento de SASE
SASE en sí misma no es otra tecnología, sino la conjugación de cinco servicios diferentes unidos a la manera de una solución, que es habilitada por uno o por múltiples proveedores.
Descubre cada una de ellas en el siguiente cuadro comparativo:
| Tecnología | Función | Característica |
| SWG (puerta segura de acceso web) | Conecta y asegura el acceso web para empleados remotos a servicios en nube o internet. | Filtrado de URL, identificación y control de aplicaciones, detección y bloqueo de código malicioso. |
| CASB (agente de seguridad de acceso a la nube) | Brinda seguridad y control de accesos a aplicaciones basadas en la nube. | Administración de accesos y seguridad específica para software como Salesforce y Office 365. |
| ZTNA (acceso de confianza cero a la red) | Proporciona conexión segura bajo el modelo de confianza cero entre usuarios y recursos privados. | Acceso seguro basado en cero confianza, aplicado a redes corporativas y centros de datos privados. |
| SD-WAN (red de área amplia definida por software) | Permite la administración centralizada y por software de redes de área amplia (WAN). | Gestión y control centralizado desde una interfaz de software, reduce la necesidad de múltiples dispositivos físicos. |
| FWaaS (firewall como servicio) | Proporciona capacidades de firewall basadas en nube, eliminando hardware físico tradicional. | Filtrado del tráfico potencialmente dañino directamente desde la nube, sin la necesidad de instalar dispositivos físicos en la red. |
¿cómo se ejecutan estas tecnologías en SASE?
El funcionamiento de SASE puede explicarse como si fuera un diagrama de flujo:
ZTNA entra en juego para la autenticación y autorización del usuario que busca acceder a recursos empresariales, siguiendo políticas de seguridad preestablecidas.
Cada requerimiento de acceso, sin importar ubicación o dispositivo, es verificado.
Con la autorización de la solicitud, el control queda en manos de la función SD-WAN que enruta el tráfico de manera inteligente a través de la red.
Para ello emplea conexiones eficientes y seguras, sobre redes privadas o públicas.
La seguridad en las redes y en la nube es responsabilidad del componente SWG que monitorea el tráfico, pone en práctica políticas de seguridad, gestiona el mejor uso de los recursos en línea, así como bloquea posibles ataques de malware.
Funcionamiento de SASE en cloud
Si los usuarios acceden a recursos en la nube, la protección de aplicaciones le corresponde al componente CASB que gestiona el cumplimiento normativo y protege datos confidenciales.
Cuando el tráfico se acerca a la red corporativa o bien, a recursos internos, participa el componente FWaaS a manera de firewall para supervisar y controlar el tráfico, aplicando los esquemas de seguridad en puntos de acceso.
Cuatro aspectos a considerar para implementar SASE
Se consideran cuatro aspectos principales a la hora de preparar la infraestructura necesaria para la implementación de SASE.
Adopción de una arquitectura basada en la nube
El comienzo está en la adopción de una arquitectura basada en la nube, con capacidad para brindar servicios de seguridad continuos, orientados a la reducción de riesgos.
Integración de servicios de seguridad
En segundo lugar, está la integración de servicios de seguridad considerados como esenciales.
Esto implica múltiples servicios de seguridad en un solo paquete o, dicho de otra manera, consolidar múltiples tecnologías de seguridad en un entorno simplificado.
Utilizar una red perimetral global
Luego está la necesidad de utilizar una red perimetral global, en la nube, que reduzca la latencia y mejore el desempeño de los controles de seguridad.
Métodos de acceso remoto
Por último, poner énfasis en la indispensable evolución de los métodos de acceso remoto.
Se requiere de soluciones seguras y escalables, distintas de las tradicionales VPN (virtual private network) con sus costos y riesgos asociados, que permitan a los usuarios acceso confiable a centros de datos y aplicaciones privadas, sin importar su ubicación.
En suma, con una solución SASE es posible brindar acceso a nivel de aplicaciones privadas, siguiendo los principios de confianza cero.
Esto requiere para los usuarios el cumplimiento de requisitos de autenticación, así como de verificación del comportamiento de sus dispositivos, previo a la autorización para acceder a ciertas aplicaciones privadas.
Normativas y marcos de referencia oficiales
La guía NIST SP 800-207 “Zero Trust Architecture” formaliza los siete principios del Zero Trust —micro-segmentación, evaluación continua de contexto— y establece cinco fases de migración para las empresas.
SASE aplica estos principios al unificar inspección de tráfico, identidad y política en el borde, ofreciendo el plano operativo recomendado por NIST para proteger recursos distribuidos.
La CISA Zero Trust Maturity Model v2.0 describe cinco pilares —identidad, dispositivos, redes, aplicaciones-workloads y datos— y tres estadios de adopción (Tradicional, Avanzado, Óptimo).
El documento subraya que la consolidación de servicios de red y seguridad en la nube —propia de SASE— acelera el paso de “Tradicional” a “Avanzado”, al reducir la latencia e incrementar la visibilidad centralizada.
Evaluación de requisitos
Integrar el plan de implementación, considerando entre otros los siguientes elementos:
- Determinar el perímetro que se abordará con SASE
- Establecer qué usuarios y aplicaciones estarán incluidas
- Clasificar aplicaciones y servicios
- Optimizar conectividad
Selección de proveedores
Akamai, Barracuda Networks, Cisco Umbrella, Cato Networks, Forcepoint, Netskope, Zscaler son algunos de los proveedores que ofrecen soluciones SASE.
Cada organización debe valorar sus necesidades, la situación de sus redes y quiénes le ofrecen las alternativas más alineadas con sus requerimientos.
Estrategias de migración
Uno de los desafíos a considerar es la asignación de prioridades que acompaña una estrategia de migración.
Así como la integración de los equipos humanos que no solo están operativos en sus áreas habituales, sino que deben trabajar colaborando con otras áreas para una migración exitosa.
Consideraciones de seguridad
Imprescindible ZTNA para garantizar que todos los usuarios y dispositivos sean autenticados y autorizados antes de acceder a cualquier recurso de la red.
Casos de uso SASE
Si bien es cierto que el uso cada vez más extendido de recursos tecnológicos basados en la nube ha sido muy favorable, es igualmente cierto que las líneas de negocio se van aislando en la misma medida que se estandarizan entornos de nube separados.
Esto hace cada vez más compleja la gestión y operación de recursos a cargo de los administradores de IT. Desde esta perspectiva es que se adopta SASE, para dotar de mayor agilidad operativa a estos entornos, aprovechando también su escalabilidad.
Cómo abordar la confianza cero en la fuerza laboral híbrida
En ese sentido, el instituto SANS compartió las experiencias de un seminario web que tuvo lugar en agosto de 2024, donde participaron John Spiegel, director de Estrategia y director de Tecnología de Campo de la Unidad de Negocio de Seguridad Emergente de HPE; y Darren Tidwell, ingeniero sénior de soluciones del equipo SASE de HPE Aruba Networking.
En el webinar, Spiegel destacó los riesgos de trabajar de forma remota. “Soy lo que podríamos llamar un ciudadano digital”, afirmó. Con múltiples dispositivos conectados a su red, cada uno con un riesgo potencial, la dinámica de seguridad es muy diferente a la del entorno controlado de una oficina tradicional.
Las amenazas de ingeniería social aumentaron un 270% en 2021 y han seguido en aumento desde entonces.
De este modo, los ciberdelincuentes tomaron a los trabajadores remotos como su principal flanco de ataque. Según el director de HPE, en 2021 las amenazas de ingeniería social aumentaron un 270% y han seguido aumentando desde entonces.
John analizó la creciente adopción de soluciones SASE, en particular SSE, impulsada por el aumento del home office. SSE es considerado una iniciativa estratégica para proteger a estos modos de trabajo, con el acceso a la red de zero trust a la cabeza.
La solución HPE Aruba Networking SSE encarna el principio de que “la simplicidad es la máxima sofisticación”. La plataforma integra funciones de red y seguridad en la nube, lo que simplifica la gestión de múltiples productos específicos.
Futuro del SASE
Con SASE, al combinar en una sola plataforma servicios de redes y seguridad, las organizaciones tienen una visión más completa e integral de su situación y se les facilita tanto la identificación como la respuesta ante ciberamenazas.
Además, gracias a que los servicios SASE están basados en la nube, las organizaciones se benefician de las últimas actualizaciones e innovaciones de seguridad.
Y las organizaciones tienen ganancia adicional de no tener que invertir nuevamente en hardware o software.
SASE y Zero Trust funcionan en forma combinada para el resguardo de datos, aplicaciones y políticas de red, con lo que se logra reducir vulnerabilidades.
La acción combinada ofrece una solución de seguridad optimizada, que reduce la superficie de ataque y habilita un perímetro de seguridad robusto.
Tecnologías Emergentes
Con la implementación de SASE hay retos también en cuanto a garantizar los controles de seguridad, privacidad de datos, así como el cumplimiento de las regulaciones de la industria.
SASE se inserta en el segmento de las soluciones y tecnologías convergentes que están transformando la manera en la que las organizaciones gestionan la seguridad.
Con SASE pueden tener una mejor protección de redes y datos, en medio de entornos altamente demandantes, con una mezcla de dispositivos, usuarios, centros de datos, sucursales, oficinas y nubes geográficamente dispersos.
Tamaño de mercado del SASE
La firma Markets and Markets hace una proyección del valor de mercado global SASE, partiendo de una cifra estimada en US$15.52 mil millones para 2025, hasta alcanzar los US$ 44.68 mil millones en 2030, esto es una tasa de crecimiento anual compuesto (CAGR) del 23.6%.
A nivel regional, no existen datos precisos sobre el mercado SASE en Latinoamérica. Aunque Grand View Research dice que el segmento de los softwares as a services (SaaS), un mercado cercano a SASE, alcanzó los US$ 21.4 mil millones en 2024 y se estima una CAGR del 12.5% para el período 2025 – 2030.
SASE en el ámbito público y su cooperación con el privado
Adoptar SASE es una recomendación que se repite con frecuencia ante la necesidad de las organizaciones para contar con una infraestructura de red más ágil, al mismo tiempo que escalable y segura.
También que responda a las demandas crecientes de computación en la nube, trabajo remoto y transformación digital. En el estado de California, Estados Unidos, el Departamento de Tecnología (CDT) ofrece servicios SASE para privados.
El CDT gestiona la infraestructura SASE, mientras el cliente elige si desea gestionar las políticas de seguridad o que también el Departamento de Tecnología de California las gestione. Esta infraestructura incluye:
- Equipos de red diseñados para cada región
- Tolerancia a fallos
- Escalabilidad
- La red LAN depende del cliente
Es una alternativa para empresas que buscan implementar SASE de forma amigable, con atención especializada constante por parte del CTA. Entre sus beneficios, se incluye el filtrado de firewall de capa 7 para inspeccionar URLs, IPS, malwares y un panel de control para el inicio de sesiones.
Desafíos potenciales para implementar SASE
Al tratarse de un concepto relativamente nuevo, la evaluación cuidadosa de los proveedores de SASE y sus características, es una tarea prioritaria para las organizaciones.
En una primera etapa, es posible que las organizaciones no identifiquen plenamente la mezcla de servicios y componentes tecnológicos que requieren de una solución SASE.
Y que las organizaciones se enfrenten a un proceso de prueba y error, con implicaciones en costos y tiempo.
Ya con la solución en marcha, las complejidades de la migración incluyen temas de compatibilidad con la infraestructura existente, así como la integración con los sistemas en uso.
En cuanto al rendimiento de la red, los desafíos incluyen:
- Su optimización
- El impacto del enrutamiento del tráfico
- Latencia
- Requisitos de ancho de banda
- Y el desempeño de los servicios de seguridad basados en la nube.
Reflexiones finales
La continua evolución tecnológica modifica enfoques y formas de trabajo en las organizaciones de todo tamaño.
Así que la interdependencia entre la gestión corporativa, la implementación de plataformas y arquitecturas de IT cada vez más complejas y los modelos de negocio, van empujando hacia la adopción de soluciones convergentes.
Es precisamente bajo este supuesto que SASE se presenta como la gran oportunidad para resolver problemas asociados a la ciberseguridad.
Hoy en día, la ciberseguridad es una de las preocupaciones más importantes en todos los ámbitos.
De hecho, hay analistas que afirman que el mayor motor para considerar SASE es tenerla como la respuesta de primera elección ante las ciberamenazas.
Preguntas frecuentes sobre SASE
¿Cuál es el ROI típico y el período de recuperación al adoptar SASE en empresas medianas?
Los análisis TEI de Forrester muestran que el payback puede ir de 6 a 18 meses según el tamaño y el grado de consolidación: Prisma SASE alcanza un ROI del 107% con retorno a 6 meses, mientras que Cato SASE Cloud reporta 246% de ROI y amortización también inferior a seis meses. Los ahorros provienen, sobre todo, de sustituir MPLS y appliances por un servicio único en la nube, lo que reduce OPEX entre 25% y 40%.
¿Qué KPIs deben monitorizarse para medir el éxito de una implementación SASE?
Controle latencia end-to-end inferior a 50 ms, porcentaje de tráfico inspeccionado, ratio de bloqueos de amenazas, ahorro de costos WAN y MTTR de incidentes para evaluar rendimiento y eficiencia de la arquitectura SASE.
¿Cómo garantiza SASE el cumplimiento de normativas como GDPR e ISO 27001?
Opte por una plataforma con certificación ISO 27001 y SOC 2; por ejemplo, Prisma SASE incluye cifrado TLS 1.3, CASB con DLP y auditoría continua que genera evidencias automáticas alineadas con el art. 32 GDPR. Esto facilita demostrar conformidad ante clientes y reguladores sin procesos manuales.
¿Qué criterios críticos considerar al elegir un proveedor SASE para una infraestructura multicloud?
• Cobertura global de PoP con SLA de latencia < 50 ms
• Arquitectura API-first y Zero Trust nativo
• Integración directa con AWS, Azure y GCP sin tunneling adicional
• Modelo pay-as-you-go para escalar y controlar costes
• Hoja de ruta SSE y certificaciones ISO 27001, SOC 2, FedRAMP/ENS
• Posibilidad de prueba piloto de 30 días integrada con el IdP corporativo
