¿Qué es SASE (perímetro de servicio de acceso seguro)?

¿Qué es SASE?

El perímetro de servicio de acceso seguro (SASE) es un marco para la arquitectura de red que ofrece tecnologías de seguridad nativas de la nube (SWGCASBZTNAFWaaS en particular) junto con capacidades de red de área amplia (WAN) para conectar de forma segura a usuarios, sistemas y puntos finales a aplicaciones y servicios en cualquier lugar. Para apoyar las operaciones ágiles de hoy en día, estas se entregan como un servicio desde la nube y pueden gestionarse de forma centralizada.
 

¿Qué significa SASE?

El término SASE se refiere a todo el marco, no a una tecnología específica. En su informe de 2019 "El futuro de la seguridad de la red está en la nube", Gartner definió el marco SASE como una solución de ciberseguridad basada en la nube que ofrece "capacidades integrales de WAN con funciones integrales de seguridad de red (como SWG, CASB, FWaaS y ZTNA) para facilitar las necesidades dinámicas de acceso seguro de las empresas digitales".

SASE es diferente del perímetro de servicio de seguridad (SSE), que Gartner define como un subconjunto de SASE que solo se centra en los servicios de seguridad necesarios de una plataforma en la nube de SASE.
 

¿Cómo funciona SASE?

Una arquitectura SASE combina una red de área amplia definida por software (SD-WAN) u otra WAN con múltiples capacidades de seguridad (por ejemplo, agentes de seguridad de acceso a la nube, antimalware), lo que protege el tráfico de su red al sumar esas funciones.

Los enfoques tradicionales de inspección y verificación, como el reenvío del tráfico a través de un servicio de conmutación de etiquetas multiprotocolo (MPLS) a los cortafuegos de su centro de datos, son eficaces si es allí donde se encuentran sus usuarios. Sin embargo, en la actualidad, con tantos usuarios en ubicaciones remotas, oficinas en casa, etc., este uso de bucles invertidos (reenviar el tráfico de los usuarios remotos a su centro de datos, inspeccionarlo y volver a enviarlo) tiende a reducir la productividad y a perjudicar la experiencia del usuario final.

Lo que hace que SASE se distinga de las soluciones puntuales y otras estrategias de redes seguras es que es, al mismo tiempo, seguro y directo. En lugar de depender de la seguridad de su centro de datos, el tráfico de los dispositivos de sus usuarios se inspecciona en un punto de presencia cercano (el punto de aplicación) y se envía a su destino desde este. Esto implica un acceso más efectivo a las aplicaciones y los datos, lo que lo convierte en la mejor opción para proteger al personal y los datos distribuidos en la nube.

¿Es SASE simplemente una palabra que está de moda?

Aunque SASE ha captado mucha atención de los proveedores y los medios centrados en las redes y la seguridad, creemos que el principio esencial que subyace al marco SASE (la noción de que la seguridad y las arquitecturas de red centradas en el centro de datos se han vuelto ineficaces) es lo que lo hace más convincente. Esta noción no es solo una tendencia o un eslogan de marketing; el sector la ha aceptado ampliamente. Así que, ¿qué ofrece una solución SASE que la hace tan valiosa en comparación con la seguridad de red empresarial tradicional que conecta oficinas a través de redes privadas y redirige el tráfico a través de puertas de enlace web seguras y cortafuegos?

Como señala Gartner, los modelos tradicionales en los que la conectividad y la seguridad se basan en el centro de datos deben centrarse en la identidad de los usuarios y los dispositivos. Según el informe, "en una empresa digital moderna centrada en la nube, los usuarios, los dispositivos y las aplicaciones a las que necesitan acceder de manera segura están en todas partes". En otras palabras, los flujos de trabajo, los patrones de tráfico y los casos de uso actuales son muy diferentes a los que había cuando se concibieron las redes radiales. He aquí los motivos:

  • Se dirige más tráfico de usuarios a los servicios en la nube que a los centros de datos
  • Se realiza más trabajo fuera de la red que en ella
  • Se ejecutan más cargas de trabajo en servicios en la nube que en centros de datos
  • Se utilizan más aplicaciones SaaS que las alojadas localmente
  • Se alojan más datos confidenciales en servicios en la nube que dentro de la red empresarial
En lugar del perímetro de seguridad que se introduce en una caja en el perímetro del centro de datos, el perímetro ahora está en todas partes donde una empresa lo necesita: es un perímetro de servicio de acceso seguro creado dinámicamente y basado en políticas.
Gartner, El futuro de la seguridad de la red está en la nube; 30 de agosto de 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

 

Componentes del modelo SASE

SASE se puede desglosar en seis elementos esenciales en cuanto a sus capacidades y tecnologías.

 

1. Red de área amplia definida por software (SD-WAN)

SD-WAN es una arquitectura de superposición que reduce la complejidad y optimiza la experiencia del usuario seleccionando la mejor ruta para el tráfico hacia Internet, las aplicaciones en la nube y el centro de datos. También permite la rápida implantación de nuevas aplicaciones y servicios, y le ayuda a gestionar políticas en un gran número de ubicaciones.

 

2. Puerta de enlace web segura (Secure Web Gateway [SWG])

Las SWG evitan que el tráfico de Internet no seguro entre en su red interna. Impide que sus empleados y usuarios accedan y se infecten por tráfico web malicioso, sitios web con vulnerabilidades, virus transmitidos por Internet, malware y otras amenazas cibernéticas.

 

3. Agente de seguridad de acceso a la nube (CASB)

Los CASB garantizan el uso seguro de las aplicaciones y los servicios en la nube para evitar filtraciones de datos, infecciones por malware, incumplimiento normativo y falta de visibilidad. Los CASB protegen las aplicaciones en la nube, tanto las alojadas en nubes públicas (IaaS), como en nubes privadas o entregadas como software como servicio (SaaS).

 

4. Cortafuegos como servicio (FWaaS)

El FWaaS le ayuda a reemplazar los dispositivos de cortafuegos físicos por cortafuegos en la nube que ofrecen capacidades avanzadas de cortafuegos de capa 7/nueva generación (NGFW), incluidos los controles de acceso, como el filtrado de URL, la prevención contra amenazas avanzadas, los sistemas de prevención de intrusiones (IPS) y la seguridad DNS.

 

5. Acceso a la red de confianza cero (ZTNA)

Los productos y servicios ZTNA ofrecen a los usuarios remotos un acceso seguro a sus aplicaciones internas. En el modelo de confianza cero, la confianza nunca se asume y se concede el acceso menos privilegiado en base a políticas granulares. ZTNA ofrece a los usuarios remotos una conectividad segura sin colocarlos en su red ni exponer sus aplicaciones a Internet.

 

6. Gestión centralizada

La gestión de todo lo anterior desde una única consola le permite eliminar muchos de los desafíos del control de cambios, la administración de parches, la coordinación de ventanas de interrupciones de servicio y la administración de políticas, al tiempo que ofrece políticas coherentes en toda su organización, dondequiera que se conecten los usuarios.

 

Tres ventajas de SASE

¿Cómo puede una empresa hacer cumplir los controles de acceso y la seguridad mientras se enfrenta a estas realidades comunes? Ahí es donde entra en juego una plataforma SASE de capacidades WAN (SD-WAN) y servicios integrales de seguridad. SASE basado en la nube ofrece importantes ventajas a las organizaciones que dejan a un lado la infraestructura y la seguridad de red empresarial local y tradicional para aprovechar los servicios en la nube, la movilidad y otros aspectos de la transformación digital.

 

1. SASE reduce el coste y la complejidad de las TI

A medida que trabajan para habilitar el acceso seguro a los servicios en la nube, proteger a los usuarios y dispositivos remotos y cerrar otras brechas en su seguridad, las organizaciones se han visto obligadas a adoptar una serie de soluciones de seguridad, lo que ha añadido importantes costes y gastos de gestión. Incluso así, el modelo de seguridad de la red local sencillamente no es eficaz en un mundo digital. En lugar de intentar usar un concepto heredado para resolver un problema moderno, SASE da la vuelta al modelo de seguridad. En lugar de centrarse en un perímetro seguro, SASE se centra en las entidades, como los usuarios. Basados en el concepto de computación perimetral (procesamiento de la información cerca de las personas y sistemas que la necesitan), los servicios SASE acercan la seguridad y el acceso a los usuarios. Utilizando las políticas de seguridad de una organización, SASE permite o deniega dinámicamente las conexiones a aplicaciones y servicios.

 

2. El modelo SASE proporciona una experiencia de usuario rápida y fluida

Cuando los usuarios estaban en la red y el departamento de TI controlaba y gestionaba las aplicaciones y la infraestructura, era fácil gestionar y predecir la experiencia del usuario. Hoy en día, incluso con entornos distribuidos de nube múltiple, muchas empresas siguen utilizando VPN para conectar a los usuarios a sus redes por motivos de seguridad. Sin embargo, las VPN ofrecen una experiencia de usuario pobre y amplían la superficie de ataque de una organización al exponer las direcciones IP. En lugar de esta degradación, SASE proporciona optimización: requiere que la seguridad se aplique cerca de aquello que necesita protegerse. En lugar de enviar al usuario a la seguridad, envía seguridad al usuario. SASE es seguro en la nube, gestiona de forma inteligente las conexiones en las centrales de Internet en tiempo real y optimiza las conexiones a las aplicaciones y servicios en la nube para garantizar una latencia baja.

 

3. SASE reduce el riesgo

Como solución nativa de la nube, SASE está diseñada para abordar los desafíos únicos en cuanto al riesgo en la nueva realidad de los usuarios y las aplicaciones distribuidos. Al definir la seguridad, incluida la protección frente a amenazas y la prevención de la pérdida de datos (DLP), como parte fundamental del modelo de conectividad y no como una función independiente, se garantiza la inspección y la protección de todas las conexiones, independientemente de dónde se conecten los usuarios, a qué aplicaciones accedan o qué tipo de cifrado se utilice. Un componente clave del marco SASE es el acceso a la red de confianza cero (ZTNA), que proporciona a los usuarios móviles, a los trabajadores remotos y a las sucursales un acceso seguro a las aplicaciones al tiempo que elimina la superficie de ataque y el riesgo de movimiento lateral en la red.

¿Por qué SASE es clave para la transformación digital?

La transformación digital de la empresa ha abierto la puerta a una demanda de mayor agilidad y escalabilidad con una complejidad reducida. Las empresas se están dando cuenta de que necesitan proporcionar un acceso sistemático, seguro y global a los datos, aplicaciones y servicios corporativos, independientemente de la ubicación o los dispositivos de los usuarios. La solución Zscaler SASE ofrece a las empresas un modelo completamente nuevo para conectar usuarios y dispositivos que es rápido, flexible, sencillo y seguro. Con la ayuda de un proveedor de servicios SASE nativo de la nube, las organizaciones que adopten SASE se encontrarán con la velocidad y agilidad necesarias para transformarse al futuro digital.

Para 2024, al menos el 40 % de las empresas contarán con estrategias explícitas para adoptar SASE, frente a menos del 1 % a finales de 2018.
Gartner, El futuro de la seguridad de la red está en la nube; 30 de agosto de 2019; Lawrence Orans, Joe Skorupa, Neil MacDonald

Zscaler y SASE

Ofrecemos una solución SASE completa diseñada para ofrecer rendimiento y escalabilidad: Zscaler Zero Trust Exchange™. Sencilla de desplegar y gestionar como un servicio automatizado en la nube, nuestra plataforma distribuida globalmente garantiza que los usuarios estén siempre a un paso de sus aplicaciones. Ningún usuario o aplicación es intrínsecamente de confianza; en cambio, nuestro motor de políticas establece la confianza antes de que se realice cualquier conexión, determinando los niveles adecuados de acceso y las restricciones en función del usuario, el dispositivo, la aplicación, la ubicación y el contenido para mantener a sus usuarios y datos seguros.

un diagrama que muestra cómo la plataforma SASE basada en la nube ofrece importantes ventajas a las organizaciones

¿Qué hace que nuestro SASE sea único?

  • Una arquitectura de nube nativa y multiinquilino que se adapta dinámicamente a la demanda
  • Arquitectura basada en proxy para una inspección completa del tráfico cifrado a escala
  • La seguridad y la política se acercan a los usuarios para eliminar el retorno innecesario
  • Acceso a la red de confianza cero (ZTNA) que restringe el acceso para proporcionar una segmentación nativa de las aplicaciones
  • Superficie de ataque cero que evita los ataques dirigidos porque sus redes e identidades de origen no están expuestas a Internet

A través de la interconexión con cientos de socios en los principales intercambios de Internet en todo el mundo, ofrece un rendimiento y una fiabilidad óptimos para sus usuarios.