OpiniónSeguridad

Todo lo que quería saber sobre SASE y no se atrevía a preguntar

Por Samuel Bonete, Regional Sales Manager Netskope Iberia.

Por Samuel Bonete, Regional Sales Manager Netskope Iberia.
Por Samuel Bonete, Regional Sales Manager Netskope Iberia.

SASE surgió como un modelo basado en la idea de proteger a los usuarios y a las aplicaciones que están fuera del perímetro tradicional que todos conocemos desde hace décadas. El acrónimo SASE (por sus siglas en inglés Secure Access Service Edge o servicio de acceso seguro en el borde) no se acuñó por casualidad.

SASE proporciona una serie de servicios de seguridad en la nube como CASB (pasarela de seguridad de acceso a la nube), SWG (Gateway de seguridad web), inspección de malware, DLP (prevención de fuga de datos), etc., que se deberían de ofrecer los más cerca posible de donde se encuentra la red local (LAN) del usuario final desde los llamados PoP (puntos de presencia), los cuales deberían de tener capacidad de procesamiento del tráfico y ofrecer estos servicios de la forma más rápida posible (en un solo paso), evitando latencias de red y haciendo la vida del usuario final más sencilla al no tener que soportar largas esperas con los tiempos de respuesta, como sucedía con el tráfico de retorno a los centros de datos con las VPN tradicionales.

Hasta aquí el concepto SASE parece sencillo y de implantación obligada dado que cada vez más gente está teletrabajando y muchas empresas han tenido una transformación interna para migrar sus aplicaciones y servicios internos de TI a la nube, pero seguro que le surgen un montón de preguntas, que ha querido formular, pero que no ha encontrado el momento o la forma de hacerlo.

¿Qué pasa con los sistemas de seguridad que ya tenemos en nuestras organizaciones?

Muy sencillo, se volverán obsoletos. Las gateways de seguridad web (SWG) tradicionales no saben ni pueden proteger las aplicaciones y servicios actuales ofrecidos desde la nube. Si tenemos todas nuestras aplicaciones en la nube, a los dispositivos VPN les pasará los mismo, y de paso le haremos un favor a los usuarios finales. Lo mismo pasará con los dispositivos de sandboxing, y firewall para sucursales.

¿En qué se diferencia mi SWG actual de SASE?

La diferencia más importante es que su SWG actual solo analiza el tráfico web. La infraestructura SASE analiza 4 tipos adicionales de tráfico. SASE, además de analizar el tráfico web, también analiza el tráfico SaaS gestionado, el tráfico SaaS no gestionado, los servicios de nube pública y las aplicaciones personalizadas en la nube pública. En todos los casos de analizan los datos y se detectan y detienen amenazas mediante la aplicación de controles basados en políticas granulares.

Las SWG tradicionales se hicieron para el control de acceso y la detección de malware y son torpes analizando el contexto de datos, principalmente porque no ven el tráfico JSON API, muchas no ven el tráfico cifrado SSL/TLS y no dan abasto con la cantidad de conexiones que se abren con lo servicios en la nube.

Entonces ¿qué evolución van a seguir las soluciones de seguridad en este nuevo entorno SASE?

El objetivo principal de SASE es ofrecer un borde de seguridad nativo en la nube y de un solo paso. Gracias a esto se consolidarán todas las defensas y se optimizará la experiencia del usuario final. Las SWG, dentro de una arquitectura SASE, cambiarán de forma significativa, pasando de ser un proxy web enfocado al acceso y a la detección de amenazas web a algo mucho más ambicioso incluyendo aplicaciones y servicios en la nube, protección de datos y capacidades DLP avanzadas. La arquitectura SASE de paso único requiere un contexto de usuario, aplicación y datos tanto para la protección de datos como frente a amenazas, y esto consolida de forma natural las tecnologías proxy en tiempo real para la nube y la web (y los DLPs). Todo esto hará que muchas organizaciones inicien proyectos liderados conjuntamente por los departamentos de redes y de seguridad TI para reemplazar o actualizar sus SWG actuales.

¿Cuál es la diferencia entre Acceso de Confianza Cero a la Red (ZTNA) y Confianza Cero?

La Confianza Cero es un concepto de seguridad TI cuya base fundamental es que una organización nunca debe confiar en los usuarios o dispositivos que intentan acceder a los datos y sistemas de su red hasta que su legitimidad haya sido verificada. La Confianza Cero está pensada para permitir el acceso con el mínimo de privilegios. Esto protege los datos contra el uso no autorizado como el de los insiders o el de cuentas comprometidas.

Si el concepto de Confianza Cero se utiliza para controlar el acceso a la red, datos y recursos internos desde fuera de la organización, entonces se denomina el Acceso de Confianza Cero a la Red (ZTNA).

ZTNA es la mejor opción para proporcionar acceso seguro a las aplicaciones en la nube para usuarios que estén en cualquier ubicación. El medio ideal para proporcionar ZTNA es sin lugar a dudas una infraestructura SASE.

Mi organización está en plena transformación de su red ¿cómo nos ayudará SASE a reducir gastos?

Probablemente en el proyecto de transformación que su organización esté llevando a cabo, se está produciendo la migración de muchas aplicaciones a la nube y adoptando el ya ubico teletrabajo para gran parte de su plantilla. La adopción de SASE, además de ayudarle con todo lo anterior, le permitirá reducir su dependencia de las arquitecturas WAN tradicionales.

Un proveedor SASE con PoPs con capacidad de procesamiento, dispersos geográficamente, y con peering directo, disponibles cerca de sus usuarios es el complemento ideal para una inversión en SD-WAN. De este modo, el enrutamiento del tráfico se simplifica, se elimina el retorno innecesario del tráfico y la WAN tradicional puede reservarse sólo para las aplicaciones más críticas o para la redundancia si se desea. Además, gracias al control que se obtiene con SASE, algunas organizaciones se dan cuenta de que pueden eliminar costosos enlaces privados, como las Express Routes, además de sus enlaces MPLS WAN, lo que abre la puerta a ahorros adicionales en la infraestructura y a la simplificación de la red.

Y por último, la reducción de gastos más evidente está implícita en el propio modelo de gestión y consumo: es mucho más económico consumir la seguridad en modo SaaS con una arquitectura SASE, con su modelo 100% OPEX, que gestionarse uno mismo la seguridad, con un, casi siempre, elevado CAPEX.

Computing 799