Recursos > Glosario de términos de seguridad > Qué es el perímetro de servicio de seguridad (SSE)

¿Qué es el perímetro de servicio de seguridad?

¿Qué es el perímetro de servicio de seguridad?

El perímetro de servicio de seguridad (SSE), tal y como lo define Gartner, es una convergencia de los servicios de seguridad de red que se ofrecen desde una plataforma en la nube especialmente diseñada. SSE puede considerarse un subconjunto del marco del perímetro de servicio de acceso seguro (SASE), con su arquitectura centrada directamente en los servicios de seguridad. El perímetro de servicio de seguridad comprende tres servicios principales:

  1. Acceso seguro a Internet y a la web mediante una pasarela web segura (SWG)
  2. Acceso seguro a SaaS y aplicaciones en la nube a través de un agente de seguridad de acceso a la nube (CASB)
  3. Acceso remoto seguro a aplicaciones privadas a través del acceso a la red de confianza cero (ZTNA)

 

¿Qué ha impulsado la necesidad del SSE?

Como tendencia creciente del sector, SSE resuelve los desafíos fundamentales a los que se enfrentan las organizaciones en relación con el trabajo a distancia, la nube, la informática de borde segura y la transformación digital. A medida que las organizaciones adoptan ofertas de software e infraestructura como servicio (SaaS, IaaS), así como otras aplicaciones en la nube, sus datos se distribuyen en mayor medida fuera de sus centros de datos locales. Además, la creciente población de usuarios es móvil y remota y se conecta desde cualquier lugar y a través de cualquier conexión a sus aplicaciones y datos en la nube.

Asegurar las aplicaciones en la nube y los usuarios móviles es difícil con los enfoques tradicionales de seguridad de la red porque:

  • Las tecnologías heredadas están ancladas en el centro de datos y no pueden seguir las conexiones entre los usuarios y las aplicaciones en la nube.
  • La transmisión del tráfico del usuario ("bucles invertidos") a un centro de datos a través de una VPN tradicional para su inspección ralentiza todo el proceso.
  • La administración y el mantenimiento del hardware encarecen los enfoques tradicionales de los centros de datos.
  • Las VPN son fáciles de explotar debido a la falta de revisiones.

Para empeorar las cosas, las pilas de seguridad de los centros de datos de hoy en día se han convertido en colecciones complejas de productos específicos difíciles de integrar. Esta complejidad deja intrínsecamente huecos entre soluciones de seguridad dispares, lo que aumenta aún más el riesgo de amenazas avanzadas o ataques de ransomware.
 

 

¿Cuál es la diferencia entre el perímetro de servicio de acceso seguro (SASE) y el perímetro de servicio de seguridad (SSE)?

En el marco de SASE, los servicios de red y seguridad deben consumirse mediante un enfoque unificado y en la nube. Los aspectos de red y seguridad de las soluciones SASE se centran en mejorar la experiencia del usuario con la aplicación en la nube al tiempo que en reducir los costes y la complejidad. Se pueden distinguir dos partes dentro de una plataforma SASE. La parte SSE se centra en unificar todos los servicios de seguridad, incluidos SWG, CASB y ZTNA. La otra, la parte del perímetro de la WAN, se centra en hacer esto, pero para los servicios de red, incluida la red de área amplia definida por software (SD-WAN), la optimización de la WAN, la calidad del servicio (QoS) y otros medios para mejorar el enrutamiento a las aplicaciones en la nube.

El diagrama SSE muestra una plataforma de seguridad basada en la nube que consolida múltiples capacidades de seguridad, incluidos SWG, ZTNA, agente de seguridad de acceso a la nube (CASB), protección de datos y aislamiento remoto del navegador (RBI).

Fuente: CXO REvolutionaries, "El perímetro de servicio de seguridad (SSE) refleja un mercado cambiante: lo que necesita saber".

Ventajas de SSE en comparación con la seguridad de red tradicional

Ofrecido desde una plataforma unificada centrada en la nube, SSE permite a las organizaciones liberarse de los desafíos de la seguridad de red tradicional. SSE ofrece cuatro ventajas principales:
 

1. Mejor reducción de riesgos

SSE permite la entrega de ciberseguridad sin estar vinculada a una red. La seguridad se entrega desde una plataforma en la nube que puede seguir al usuario hasta la conexión con la aplicación, independientemente de la ubicación. Ofrecer todos los servicios de seguridad de una manera unificada reduce los riesgos porque elimina las brechas que a menudo se observan entre los productos. SSE también mejora la visibilidad de los usuarios (dondequiera que estén) y de los datos, independientemente de los canales a los que se acceda. Además, SSE aplica automáticamente las actualizaciones de seguridad en la nube sin el retraso típico de la administración manual de TI.
 

2. Acceso de confianza cero

Las plataformas SSE (junto con las SASE) deben permitir el acceso con privilegios mínimos de los usuarios a las aplicaciones en la nube o privadas con una sólida política de confianza cero basada en cuatro factores: usuario, dispositivo, aplicación y contenido. Ningún usuario debe ser inherentemente fiable y el acceso debe otorgarse en función de la identidad y la política. La conexión segura de usuarios y aplicaciones mediante políticas empresariales a través de Internet garantiza una experiencia remota más segura, ya que los usuarios nunca se sitúan en la red. Mientras tanto, las amenazas no pueden moverse lateralmente y las aplicaciones permanecen protegidas tras la plataforma SSE. Las aplicaciones no están expuestas a Internet y, por tanto, no pueden ser descubiertas, lo que reduce la superficie de ataque para que tenga más seguridad y se minimice aún más el riesgo empresarial.
 

3. Experiencia del usuario   

Según la definición de Gartner, SSE debe estar totalmente distribuido en una huella global de centros de datos. Las mejores arquitecturas de SSE están creadas específicamente para la inspección en cada centro de datos, a diferencia de los proveedores que alojan sus plataformas SSE en infraestructuras de IaaS. La arquitectura distribuida mejora el rendimiento y reduce la latencia porque la inspección de contenidos (incluidos el descifrado y la inspección TLS/SSL) tiene lugar donde el usuario final se conecta a la nube SSE. En combinación con el peering en la plataforma SSE, esto proporciona a sus usuarios móviles la mejor experiencia. Ya no necesitan utilizar VPN lentas, y acceder a las aplicaciones en nubes públicas y privadas es un proceso rápido y cómodo.
 

4. Ventajas de consolidación

Al tener todos los servicios de seguridad clave unificados, será testigo de cómo se reducen los costes y la complejidad. SSE puede ofrecer numerosos servicios de seguridad clave (SWG, CASB, ZTNA, cortafuegos en la nube [FWaaS], sandbox en la nube, prevención contra la pérdida de datos en la nube [DLP], administración de la postura de seguridad en la nube [CSPM] y aislamiento del navegador en la nube [CBI]), todo ello en una plataforma. Además, si no necesita todos estos servicios de inmediato, puede agregar fácilmente cualquiera de ellos a medida que su organización vaya creciendo. Con toda la protección unificada en una única política, todos los canales que utilizan sus usuarios y por los que pasan los datos tienen la misma protección consistente.   

Informe de Gartner: Hoja de ruta estratégica para la convergencia SASE 2021

Acceda al informe completo
Informe de Gartner: Hoja de ruta estratégica para la convergencia SASE 2021

SSE refleja un mercado cambiante: lo que hay que saber

Lea nuestra publicación en el blog
SSE refleja un mercado cambiante: lo que hay que saber

Zscaler SSE de un vistazo

Lea el informe
Zscaler SSE de un vistazo

Infografía de Zscaler Security Service Edge

Eche un vistazo
El futuro de la seguridad de la red está en la nube

Seguridad integral para la empresa moderna

Más información
Seguridad integral para la empresa moderna

Charla del sector con Gartner: SASE es el futuro de la seguridad de las redes

Vea el webinario
Charla del sector con Gartner: SASE es el futuro de la seguridad de las redes

Principales casos de uso del SSE

1. Acceso seguro a servicios en la nube y uso de la web

La aplicación del control de políticas sobre el acceso de los usuarios a Internet, la web y las aplicaciones en la nube (que antes realizaba una SWG) es uno de los principales casos de uso del perímetro de servicio de seguridad. El control de políticas de SSE ayuda a mitigar el riesgo cuando los usuarios finales acceden a los contenidos dentro y fuera de la red. La aplicación de políticas corporativas de control de acceso e Internet para el cumplimiento de la normativa es también un factor clave para este caso de uso en IaaS, PaaS y SaaS.

Otra capacidad clave es la gestión de la postura de seguridad en la nube (CSPM), que protege a su organización de malas configuraciones arriesgadas que pueden conducir a infracciones.
 

2. Detecta y mitiga amenazas

La detección de amenazas y la prevención de ataques con éxito a través de Internet, la web y los servicios en la nube son factores clave para la adopción del SSE y, en menor medida, SASE. Dado que los usuarios finales acceden a los contenidos a través de cualquier conexión o dispositivo, las organizaciones necesitan un sólido enfoque de defensa en profundidad contra el malware, el phishing y otras amenazas.

Su plataforma SSE debe contar con capacidades avanzadas de prevención de amenazas, entre las que se incluyen los cortafuegos en la nube (FWaaS), el sandbox en la nube, la detección de malware y el aislamiento del navegador en la nube. Los CASB permiten que se inspeccionen los datos dentro de las aplicaciones SaaS y pueden identificar y poner en cuarentena el malware existente antes de que produzca daños. El control de acceso adaptativo, mediante el cual se determina la postura del dispositivo del usuario final y se ajusta el acceso en consecuencia, es también un componente clave.
 

3. Conecta y asegura a los trabajadores remotos

Los trabajadores remotos modernos necesitan acceso remoto a los servicios en la nube y a las aplicaciones privadas sin los riesgos inherentes a las redes privadas virtuales. Permitir el acceso a las aplicaciones, los datos y el contenido sin permitir el acceso a la red es una función fundamental del acceso de confianza cero, ya que elimina las ramificaciones de seguridad de colocar al usuario en una red plana.

Brindar acceso seguro a aplicaciones privadas y en la nube sin necesidad de abrir ACL de cortafuegos o exponer aplicaciones a Internet es fundamental en este sentido. Las plataformas SSE deben permitir la conectividad nativa de las aplicaciones de dentro a fuera y dejar las aplicaciones "oscuras" para Internet. Un enfoque ZTNA también debería ofrecer escalabilidad en una red global de puntos de acceso, brindando a todos sus usuarios la experiencia más rápida independientemente de las demandas de conectividad.
 

4. Identifica y protege los datos confidenciales 

SSE le permite encontrar y controlar los datos confidenciales sin importar dónde residan. Al unificar las tecnologías clave de protección de datos, una plataforma SSE proporciona una mejor visibilidad y una mayor simplicidad en todos los canales de datos. DLP en la nube permite que los datos confidenciales (por ejemplo, información de identificación personal [PII]) se encuentren, clasifiquen y protejan fácilmente para cumplir con los estándares de la industria de tarjetas de pago (PCI) y otras políticas de cumplimiento. SSE también simplifica la protección de datos, ya que puede crear políticas de DLP solo una vez y aplicarlas al tráfico en línea y los datos en reposo en las aplicaciones en la nube a través de CASB.

Las plataformas SSE más eficaces también ofrecen inspección TLS/SSL de alto rendimiento para abordar el tráfico cifrado (es decir, la mayoría de los datos en tránsito). Para este caso de uso, también es clave el descubrimiento de la TI en la sombra, que permite a las organizaciones bloquear aplicaciones peligrosas o sancionadas en todos los puntos finales.

 

Elegir la solución SSE adecuada

Busque una plataforma SSE que le brinde una seguridad rápida y escalable, así como una experiencia de usuario fluida basada en la confianza cero. Necesita una plataforma que:
 

Diseñada específicamente para una experiencia rápida del usuario y de la aplicación en la nube

El acceso rápido y seguro requiere una arquitectura nativa en la nube distribuida globalmente a través de una gran huella de centro de datos. Las plataformas SSE construidas para la inspección tienen una ventaja sobre las plataformas SSE alojadas en nubes IaaS, que no están diseñadas originalmente para las exigencias de la inspección de contenidos en tiempo real. Cuando cada centro de datos es un nodo de inspección, la seguridad siempre es rápida y local para el usuario, dondequiera que se encuentre. Además, busque una comunicación rápida y sólida de los proveedores de SSE para que la experiencia de la aplicación en la nube siga estando optimizada.
 

Esté construida desde cero con una arquitectura de confianza cero

El control de acceso lo debe regular la identidad y nunca se debe colocar a los usuarios en su red. Busque proveedores nativos de la nube que ofrezcan una amplia compatibilidad con el acceso de confianza cero en todos los usuarios, dispositivos, IoT, aplicaciones en la nube y cargas de trabajo. Asimismo, un proveedor con una gran huella global de centro de datos garantizará que sus usuarios siempre tengan una experiencia rápida sin el obstáculo de una VPN. El enfoque ZTNA de su proveedor para SSE debería tener un historial comprobado en grandes implementaciones globales, ya que la escalabilidad es imperativa para la productividad del usuario remoto.
 

Sea capaz de realizar una inspección de proxy escalable y en línea

La inspección de proxy finaliza ambas conexiones, desde el dispositivo y desde la aplicación en la nube. Estar entre los dos significa que se puede realizar una inspección completa de SSL y que las conexiones no pueden "pasar". Esto hace que se tenga una mejor seguridad e inspección que con los cortafuegos de paso tradicionales. Céntrese en plataformas SSE que puedan ofrecer inspección de contenidos y TLS/SSL a escala mundial. Dado que la inspección en línea suele realizarse sobre el tráfico crítico para la empresa, las interrupciones debidas a problemas de escalabilidad pueden tener un grave impacto. Asegúrese de que el proveedor de SSE que elija tenga acuerdos de nivel de servicio (SLA) sólidos y un historial de inspección del tráfico en línea para grandes empresas globales.
 

Impulse la innovación en el crecimiento de SSE

A medida que las organizaciones adoptan SSE como plataforma unificada, las capacidades y servicios de seguridad adicionales garantizarán que la plataforma SSE esté preparada para el futuro. Un servicio que comienza a migrar a SSE es la supervisión de la experiencia digital, que permite a TI identificar rápidamente los problemas de conectividad en la conexión entre usuarios y aplicaciones en la nube.

Además, tal como se define en la arquitectura SASE, la consolidación del servicio de red junto con una plataforma SSE es importante. Esto incluye un sólido soporte de conectividad en todos los servicios SD-WAN, conectividad de sucursales locales y conectividad multinube. Al centrarse en los proveedores de servicios SASE que también están promoviendo la innovación de SSE, puede garantizar espacio para seguir creciendo sin añadir complejidad a medida que el ecosistema de la nube de su organización va madurando.

 

Zscaler y SSE

Zscaler resuelve los retos de la nube y la movilidad con una plataforma revolucionaria para SSE y mucho más. Le ayudaremos a reducir los costes y la complejidad con confianza cero, a eliminar su superficie de ataque y a proporcionar una fantástica experiencia de usuario.

Más información sobre Zscaler SSE.

También debería echar un vistazo al Cuadrante Mágico de Gartner para Security Service Edge de 2022. Estamos orgullosos de ser líderes y de estar en lo más alto en la categoría de "Capacidad de ejecución."