OpiniónSeguridad

Últimas noticias sobre SASE: la huella de seguridad de la nube convergente

Mike Schuricht, vicepresidente de gestión de producto de Bitglass

Mike Schuricht, Bitglass.
Mike Schuricht, Bitglass.

Las empresas están realizando grandes inversiones para ampliar sus capacidades de conectividad de red con el fin de garantizar que sus datos sean accesibles para los usuarios indicados en el momento adecuado. Para las compañías que buscan un modelo de negocio ágil, altamente conectado y basado en la nube, garantizar el acceso adecuado a los datos y sistemas  es absolutamente esencial para el éxito de su negocio.

Junto con una mayor conectividad, también existe una necesidad creciente de una seguridad de red y datos que ofrezca protección contra los riesgos asociados a unas infraestructuras cada vez más complejas. Las amenazas, que van desde las fugas de datos y las configuraciones incorrectas hasta los empleados deshonestos, pueden poner en peligro cualquier ecosistema complejo de nube y red corporativa si no se implementan las protecciones adecuadas.

Es aquí donde entra en juego el concepto de SASE. Los servicios de acceso seguro en el borde (en inglés SASE) son un acrónimo creado por Gartner para describir la unificación de las herramientas de red y seguridad mediante soluciones o plataformas únicas. Esta combinación garantiza un acceso efectivo y seguro a los recursos de tecnologías de la información (TI) de las empresas.

Sin embargo, esta combinación de tecnologías de seguridad (como por ejemplo CASB, SWG, ZTNA, protección de DNS y FWaaS) con tecnologías de WAN (como SD-WAN) tiene múltiples facetas y, en algunos casos, puede resultar un poco confusa. Por ese motivo, a continuación, aclaramos los detalles prácticos sobre estas tecnologías convergentes.

CASB: un agente de acceso seguro a la nube (CASB) es una solución para la aplicación de las políticas corporativas, que ofrece protección de los datos y contra las amenazas en la nube, en cualquier dispositivo y lugar. Un proveedor de CASB debe cumplir los siguientes tres requisitos: visibilidad y limpieza después de los eventos de alto riesgo; seguridad proactiva que evite preventivamente que se produzcan eventos de alto riesgo; y protección de día cero contra los riesgos de fuga de datos conocidos y desconocidos, así como las amenazas de malware.

En correspondencia con los requisitos anteriores, existen tres tipos de CASB. Primero, están los CASB solo para API, que únicamente ofrecen una visibilidad reactiva. Estos CASB utilizan el acceso mediante API a las aplicaciones de SaaS para remediar a posteriori los episodios de fuga de datos. A continuación, están los CASB multimodales de primera generación, que ofrecen tanto visibilidad a posteriori como seguridad proactiva, pero no protección de día cero. Estos CASB solamente proporcionan protección basada en firmas para el malware conocido y las rutas de fuga de datos conocidas en un conjunto determinado de aplicaciones. Finalmente, los CASB multimodales de última generación ofrecen visibilidad, seguridad y protección de día cero. Este tipo de CASB se adaptan dinámicamente para proporcionar protección contra los riesgos de fuga de datos conocidos y desconocidos, así como las amenazas de malware en cualquier aplicación.

Puerta de enlace web segura (SWG): las soluciones de SWG ofrecen categorización de URL, reputación y protección contra amenazas. Se aseguran de que los usuarios solo puedan realizar un uso apropiado de Internet, a la vez que les protegen de amenazas como sitios de phishing y malware. Estas tecnologías también pueden incluir sistemas de prevención de intrusiones (IPS), sistemas de detección de intrusiones (IDS) y funcionalidades de cortafuegos.

Acceso a la red de confianza cero (ZTNA): una solución de ZTNA garantiza un acceso seguro a las aplicaciones empresariales que se alojan en la nube pública o en redes locales. Cuando los empleados remotos acceden a recursos de TI específicos, a menudo se les concede acceso completo a todos los recursos de la red. Obviamente, esto viola el principio de confianza cero y supone un peligro de fuga de datos. Para evitarlo, ZTNA proporciona acceso a aplicaciones específicas a través de un túnel de acceso que no requiere una VPN (red privada virtual).

Protección de DNS: estas tecnologías realizan búsquedas en dominios para detectar riesgos y amenazas existentes, como los anfitriones de malware conocidos. Cuando se detectan amenazas, la respuesta puede ser bloquear el acceso a ese servidor DNS para evitar una infección de malware.

Cortafuegos como servicio (FWaaS): las herramientas de FWaaS ofrecen puertos, protocolos y políticas basadas en aplicaciones para el acceso a la red y la segmentación. También pueden proporcionar módulos de calidad de servicio (QoS), IPS, IDS y VPN.

SD-WAN: las redes WAN definidas por software son ampliamente utilizadas para proporcionar el acceso seguro a la red que requieren muchas organizaciones; ofrecen una alternativa al MPLS (conmutación de etiquetas multiprotocolo) para la conectividad de sitio a sitio. También permiten la aceleración u optimización de las redes WAN entre ubicaciones separadas, como oficinas y centros de datos.

Además de las tecnologías anteriores, la adopción de SASE se está viendo impulsada por unos entornos de dispositivos cada vez más heterogéneos y un mayor énfasis en la movilidad. Los usuarios acceden a las aplicaciones y datos corporativos desde dispositivos empresariales, pero también llevan sus ordenadores portátiles personales a cafeterías o aeropuertos, y quieren poder trabajar con las mismas aplicaciones y datos. Incluso es posible que algunos profesionales que trabajan sobre el terreno nunca pisen las instalaciones de la empresa. De todos modos, actualmente existe una gran variedad de puntos de acceso diferentes que plantean diversos desafíos sobre la mejor forma de proteger los datos en la nube y en la red.

Enfoques emergentes respecto a SASE

En lo que se refiere a la implementación de SASE, se están desarrollando dos enfoques principales:

  1. Dispositivos y agentes de punto final simples. Este enfoque consiste en ubicar dispositivos físicos en el centro de datos del cliente o del proveedor de TI para proporcionar la seguridad y el control que necesitan las empresas. El principal desafío es que los dispositivos pueden ser poco elásticos para el manejo de un gran volumen de tráfico. La administración y actualización también resultan más costosas, y estas soluciones operan a través de un agente de punto final muy simple que reenvía el tráfico al dispositivo, provocando la correspondiente latencia. Esto resulta particularmente problemático para grandes empresas con miles de usuarios.
  2. Agentes de punto final inteligentes y tecnologías proxy en la nube. Este enfoque ofrece una forma de controlar la actividad en cada dispositivo mediante la supervisión de la red y la seguridad de la nube desde el perímetro hasta los propios puntos finales. Al entregarse a través de un servicio en la nube, esta forma de trabajar es altamente elástica y elimina la dependencia de dispositivos físicos, así como la desventaja que supone la latencia inducida por el tráfico de retorno.

Las soluciones SASE son una tendencia que está adquiriendo una penetración significativa. La expansión de la infraestructura de red aumenta la necesidad de soluciones más integrales que satisfagan las necesidades de negocio, tecnológicas y de seguridad de las empresas de todo el mundo. Por tanto, en 2020 veremos cómo este mercado se desarrolla rápidamente a medida que la nube continúa expandiéndose con éxito.

Computing 791