Recursos > Glosario de términos de seguridad > Qué es el perímetro de servicio de seguridad (SSE)

¿Qué es el
perímetro de servicio de seguridad?

¿Qué es el perímetro de servicio de seguridad?

El perímetro de servicio de seguridad (SSE) es una convergencia de los servicios de seguridad de red que se ofrecen desde una plataforma unificada en la nube. Definido por Gartner en su “2021 Strategic Roadmap for SASE Convergence" (Hoja de ruta estratégica 2021 para la convergencia SASE), SSE es un subconjunto del  perímetro de servicio de acceso seguro centrado en dar soporte al acceso seguro a la web y a las aplicaciones basadas en la nube con capacidades básicas como:

  1. Pasarela web segura (SWG) para un acceso seguro a Internet

  2. Agente de seguridad de acceso a la nube (CASB) para el acceso seguro a SaaS y aplicaciones en la nube

  3. Acceso a la red de confianza cero (ZTNA) para un acceso seguro a las aplicaciones privadas

 

¿Qué ha impulsado la necesidad del SSE?

SSE está creciendo rápidamente como solución a los retos que conlleva la nube, la computación de perímetro segura, el trabajo remoto y la transformación digital. A medida que las organizaciones adoptan ofertas de infraestructura y software como servicio (IaaS, SaaS) y aplicaciones en la nube, sus datos se distribuyen en mayor medida fuera de sus centros de datos locales. Además, los usuarios de muchas organizaciones son cada vez más móviles y remotos, y se conectan a aplicaciones y datos desde cualquier lugar y a través de cualquier conexión.

Asegurar las aplicaciones en la nube y los usuarios móviles es difícil con los enfoques tradicionales de seguridad de la red porque:

  • Las tecnologías heredadas, ancladas al centro de datos, no pueden seguir las conexiones entre usuarios y aplicaciones en la nube.
  • La transmisión del tráfico del usuario ("bucles invertidos") a un centro de datos a través de una VPN tradicional para su inspección ralentiza todo el proceso.
  • La administración y el mantenimiento del hardware encarecen los enfoques tradicionales de los centros de datos.
  • Las VPN son fáciles de explotar debido a la falta de parches.

Para empeorar las cosas, las pilas de seguridad de los centros de datos de hoy en día se han convertido en colecciones complejas de productos puntuales difíciles de integrar. Esta complejidad deja huecos entre soluciones de seguridad dispares, lo que aumenta aún más el riesgo de ataques de ransomware u otras amenazas avanzadas.

Vea el siguiente vídeo para ver un rápido resumen de las ventajas de SSE con respecto a los enfoques de seguridad tradicionales.

 

El perímetro de servicio de acceso seguro (SASE) frente al perímetro de servicio de seguridad (SSE)

En el marco de SASE, los servicios de red y seguridad deben consumirse mediante un enfoque unificado y entregado en la nube. Los aspectos de red y seguridad de las soluciones SASE se centran en mejorar la experiencia del usuario con la aplicación, y reducir los costes y la complejidad.

Se pueden distinguir dos partes dentro de una plataforma SASE. La parte SSE se centra en unificar todos los servicios de seguridad, incluidos SWG, CASB y ZTNA. La otra, la parte del perímetro de la WAN, se centra en hacer esto, pero para los servicios de red, incluida la red de área amplia definida por software (SD-WAN), la optimización de la WAN, la calidad del servicio (QoS) y otros medios para mejorar el enrutamiento a las aplicaciones en la nube.

El diagrama SSE muestra una plataforma de seguridad basada en la nube que consolida múltiples capacidades de seguridad, incluidos SWG, ZTNA, agente de seguridad de acceso a la nube (CASB), protección de datos y aislamiento remoto del navegador (RBI).

Fuente: CXO REvolutionaries, "El perímetro de servicio de seguridad (SSE) refleja un mercado cambiante: lo que necesita saber".

Ventajas del SSE en comparación con la seguridad de red tradicional

Ofrecido desde una plataforma unificada centrada en la nube, SSE permite a las organizaciones liberarse de los desafíos de la seguridad de red tradicional. SSE ofrece cuatro ventajas principales:
 

1. Mejor reducción de riesgos

SSE permite que los servicios unificados de ciberseguridad se entreguen desde una plataforma en la nube que puede seguir las conexiones de usuario a aplicación en cualquier lugar, en vez de estar vinculados a una red. Esto elimina las brechas que a menudo se observan entre determinados productos, lo que reduce el riesgo. SSE también mejora la visibilidad de los usuarios y los datos en cualquier lugar, independientemente de los canales a los que se acceda. Además, SSE aplica automáticamente las actualizaciones de seguridad en la nube sin el retraso típico de la gestión manual de TI.

2. Acceso de confianza cero

Las plataformas SSE (junto con SASE) deben conceder el acceso con privilegios mínimos anclado en la política de confianza cero, con autenticación basada en el usuario, el dispositivo, la aplicación y el contenido. La conexión segura de usuarios y aplicaciones a través de Internet, nunca de su red, garantiza una experiencia remota más segura. Mientras tanto, las amenazas no se pueden mover lateralmente, y las aplicaciones no están expuestas a Internet, por lo que no se pueden descubrir, reduciendo así la superficie de ataque y el riesgo por igual.

3. Experiencia del usuario   

Una arquitectura SSE efectiva debe distribuirse a través de una huella global de centros de datos, en lugar de alojarse en IaaS, y construirse específicamente para la inspección en cada uno de ellos. Realizar descifrado e inspección, incluida la inspección TLS/SSL, más cerca de los usuarios finales mejora el rendimiento y reduce la latencia. Combinado con la interconexión en toda la plataforma, esto proporciona a los usuarios móviles la mejor experiencia, evitando las VPN y ofreciendo un acceso rápido y sin problemas a las aplicaciones en la nube.

4. Ventajas de consolidación

Una plataforma unificada y entregada en la nube reduce los costes y la complejidad. SSE puede ofrecer muchos servicios clave (SWG, CASB, ZTNA, cortafuegos en la nube [FWaaS], sandbox en la nube, prevención de pérdida de datos en la nube [DLP], gestión de la postura de seguridad en la nube [CSPM] y aislamiento del navegador en la nube [CBI]) que pueden activarse más tarde si no se necesitan al principio. En última instancia, reunir toda la protección bajo una única política garantiza que todos los canales por los que pasan sus usuarios y los datos ofrecen la misma protección.

SSE refleja un mercado cambiante: lo que hay que saber

Lea nuestra publicación en el blog
SSE refleja un mercado cambiante: lo que hay que saber

Zscaler SSE de un vistazo

Lea el informe
Zscaler SSE de un vistazo

Infografía de Zscaler Security Service Edge

Eche un vistazo
El futuro de la seguridad de la red está en la nube

Seguridad integral para la empresa moderna

Más información
Seguridad integral para la empresa moderna

Charla del sector con Gartner: SASE es el futuro de la seguridad de las redes

Vea el webinario
Charla del sector con Gartner: SASE es el futuro de la seguridad de las redes

Principales casos de uso del SSE

1. Acceso seguro a servicios en la nube y uso de la web

Controlar el acceso de los usuarios a Internet y a las aplicaciones en la nube (control históricamente realizado por un SWG) es un caso de uso principal del SSE. El control de políticas de SSE ayuda a mitigar el riesgo cuando los usuarios finales acceden a los contenidos dentro y fuera de la red. La aplicación de las políticas corporativas de control de acceso e Internet para cumplir con la normativa es también un factor clave para este caso de uso.

Otra capacidad clave es la gestión de la postura de seguridad en la nube (CSPM), que protege a su organización de malas configuraciones arriesgadas que pueden conducir a infracciones.

2. Detecta y mitiga amenazas

La detección de amenazas y la prevención de ataques con éxito a través de Internet y los servicios en la nube son factores clave para la adopción de SSE y, en menor medida, de SASE. Debido a que los usuarios finales acceden a aplicaciones y datos desde cualquier lugar, las organizaciones necesitan un enfoque potente para afrontar el malware, el phishing y otras amenazas.

Su plataforma SSE debe tener capacidades avanzadas de prevención de amenazas, incluidos cortafuegos en la nube, sandbox en la nube, detección de malware y aislamiento del navegador en la nube. Los CASB permiten que se inspeccionen los datos dentro de las aplicaciones SaaS y pueden identificar y poner en cuarentena el malware existente antes de que produzca daños. También son clave las medidas de control de acceso adaptables que pueden determinar la postura del dispositivo del usuario final y ajustar automáticamente el acceso.

3. Conecta y asegura a los trabajadores remotos

Los trabajadores remotos modernos necesitan acceso remoto a los servicios en la nube y a las aplicaciones privadas sin los riesgos inherentes a las redes privadas virtuales. Permitir el acceso a las aplicaciones, los datos y los contenidos sin facilitar el acceso a la red elimina las ramificaciones de seguridad que supone colocar al usuario en una red plana.

La clave es proporcionar un acceso seguro a las aplicaciones sin necesidad de abrir las ACL del cortafuegos o exponer las aplicaciones a Internet. Las plataformas SSE deben permitir la conectividad nativa de las aplicaciones de dentro a fuera y dejar las aplicaciones "oscuras" para Internet. Un enfoque ZTNA también debería ofrecer escalabilidad en una red global de puntos de acceso, lo que brinda a todos sus usuarios la experiencia más rápida independientemente de las demandas de conectividad.

4. Identifica y protege los datos confidenciales 

SSE unifica las tecnologías clave de protección de datos para ayudarle a encontrar y controlar los datos confidenciales en cualquier lugar, con una mejor visibilidad en todos los canales de datos. Cloud DLP permite encontrar, clasificar y proteger los datos confidenciales fácilmente para cumplir con los estándares del sector y otras políticas de cumplimiento. SSE también simplifica la protección de datos, ya que puede crear políticas de DLP solo una vez y aplicarlas al tráfico en línea y los datos en reposo en las aplicaciones en la nube a través de CASB.

Las plataformas SSE más eficaces también ofrecen inspección TLS/SSL de alto rendimiento para abordar el tráfico cifrado (es decir, la mayoría de los datos en tránsito). Para este caso de uso, también es clave el descubrimiento de la TI en la sombra, que permite a las organizaciones bloquear aplicaciones peligrosas o sancionadas en todos los puntos finales.

 

Elegir la solución SSE adecuada

Busque una plataforma SSE que le brinde una seguridad rápida y escalable, así como una experiencia de usuario fluida basada en la confianza cero. Necesita una plataforma que:

Diseñada específicamente para una experiencia rápida del usuario y de la aplicación en la nube

El acceso rápido y seguro requiere una arquitectura nativa de la nube distribuida en una huella de centros de datos global. Las plataformas SSE diseñadas para la inspección en todos los centros de datos, no solo alojadas en las nubes IaaS, garantizan que la inspección de contenido en tiempo real y la seguridad no ralentizarán a los usuarios, independientemente de dónde se encuentren. También debe buscar una sólida interconexión de proveedores de servicios entre los proveedores de SSE para garantizar que la experiencia de la aplicación en la nube siga optimizada.

Esté construida desde cero con una arquitectura de confianza cero

El acceso debe estar regulado por la identidad y los usuarios nunca deben estar ubicados en su red. Busque proveedores nativos de la nube que permitan el acceso de confianza cero en todos los usuarios, dispositivos, IoT, aplicaciones en la nube y cargas de trabajo. Un proveedor con una gran huella global de centros de datos garantizará una experiencia de usuario sólida sin el obstáculo de una VPN. El enfoque ZTNA de su proveedor para SSE debería tener un historial comprobado en grandes implementaciones globales, ya que la escalabilidad es imperativa para la productividad del usuario remoto.

Sea capaz de realizar una inspección de proxy escalable y en línea

La inspección proxy termina ambas conexiones (desde el dispositivo y desde la aplicación en la nube) y puede inspeccionar completamente todo el tráfico antes de permitir su paso, a diferencia de los cortafuegos tradicionales de paso. Céntrese en plataformas SSE que puedan ofrecer inspección de contenidos y TLS/SSL a escala mundial. Dado que la inspección en línea suele realizarse en el tráfico esencial para la empresa, las interrupciones pueden tener un impacto grave. Asegúrese de que el proveedor de SSE que elija tenga acuerdos de nivel de servicio (SLA) potentes y un historial de inspección del tráfico en línea para grandes empresas globales.

Impulse la innovación en el crecimiento de SSE

La facilidad para introducir nuevas capacidades y servicios de seguridad en la nube garantizará que una plataforma SSE eficaz esté preparada para el futuro. La supervisión de la experiencia digital, por ejemplo, está migrando a SSE como medio para que el departamento de TI identifique rápidamente los problemas de conectividad en la conexión entre el usuario y la aplicación en la nube.

Tal como se define en la arquitectura SASE, es importante la consolidación del servicio de red junto con una plataforma SSE. Esto incluye un potente soporte de conectividad en todos los servicios SD-WAN, conectividad de sucursales locales y conectividad multinube. Céntrese en los proveedores de SASE que también están impulsando la innovación de SSE para asegurarse de poder crecer sin añadir complejidad a medida que su ecosistema de nube vaya madurando.

 

Zscaler y SSE

Zscaler resuelve los retos de la nube y la movilidad con una plataforma revolucionaria para SSE y mucho más. Le ayudaremos a reducir los costes y la complejidad con confianza cero, a eliminar su superficie de ataque y a proporcionar una fantástica experiencia de usuario.

Más información sobre Zscaler SSE.

También debería echar un vistazo al Cuadrante Mágico de Gartner para Security Service Edge de 2022. Estamos orgullosos de ser líderes y de estar en lo más alto en la categoría de "Capacidad de ejecución."