¿Qué es el perímetro de servicio de seguridad (SSE)?

¿Por qué es importante SSE?

Como tendencia creciente del sector, SSE resuelve los desafíos fundamentales a los que se enfrentan las organizaciones en relación al trabajo a distancia, la nube, la informática de borde segura y la transformación digital. A medida que las organizaciones adoptan ofertas de software e infraestructura como servicio (SaaS, IaaS), así como otras aplicaciones en la nube, sus datos se distribuyen en mayor medida fuera de sus centros de datos locales. Además, la creciente población de usuarios es móvil y remota y se conecta desde cualquier lugar, a través de cualquier conexión, a sus aplicaciones y datos en la nube.

Asegurar las aplicaciones en la nube y los usuarios móviles es difícil con los enfoques tradicionales de seguridad de la red porque:

• Las tecnologías heredadas están ancladas en el centro de datos y no pueden seguir las conexiones entre los usuarios y las aplicaciones en la nube.
• La transmisión del tráfico del usuario ("bucles invertidos") a un centro de datos a través de una VPN tradicional para su inspección ralentiza todo el proceso.
• La administración y el mantenimiento del hardware encarecen los enfoques tradicionales de los centros de datos.
• Las VPN son fáciles de explotar debido a la falta de parches.

Para empeorar las cosas, las pilas de seguridad de los centros de datos de hoy en día se han convertido en colecciones complejas de productos difíciles de integrar. Esta complejidad deja intrínsecamente huecos entre soluciones de seguridad dispares, lo que aumenta aún más el riesgo de amenazas avanzadas o ataques de ransomware.

Beneficios de SSE

• Seguridad basada en la nube más sólida y uniforme que extiende la protección a través de la sede central y hasta las sucursales y usuarios remotos/móviles
• Rendimiento de seguridad y red optimizado y de baja latencia, porque el tráfico no está vinculado a un centro de datos central para su control
• Escalabilidad para adaptarse a las necesidades cambiantes de una organización, como la adopción de nuevos servicios en la nube y el aumento o movimiento del personal
• Gestión optimizada de la seguridad y las redes a través de una plataforma centralizada entregada en la nube para servicios de seguridad esenciales
• Costes más predecibles y gastos operativos reducidos al minimizar la necesidad de implementaciones de hardware locales

¿Cuál es la diferencia entre SASE y SSE?

En el marco de SASE, los servicios de red y seguridad deben usarse a través de un enfoque unificado y en la nube. Los aspectos de red y seguridad de las soluciones SASE se centran en mejorar la experiencia del usuario con la aplicación en la nube y en reducir los costes y la complejidad.

Se pueden distinguir dos partes en una plataforma SASE. La parte SSE se centra en unificar todos los servicios de seguridad, incluidos SWG, ZTNA, CASB, FWaaS, etc. La parte del perímetro de la WAN se centra en realizar esa misma tarea pero para los servicios de red, incluidas las conexiones red de área amplia definida por software (SD-WAN), la optimización de la WAN, la calidad del servicio (QoS) y otros medios para mejorar el enrutamiento a las aplicaciones en la nube.

Capacidades básicas de SSE

Los cuatro servicios básicos esenciales de SSE son:

• Puerta de enlace web segura (SWG) : una solución de seguridad que evita que el tráfico de Internet no seguro entre en la red interna de una organización
• Acceso a la red de confianza cero (ZTNA): un modelo de confianza adaptable, donde la confianza nunca es implícita, que permite el acceso seguro a aplicaciones internas para usuarios remotos
• Agente de seguridad de acceso a la nube (CASB): un punto de cumplimiento entre los usuarios de aplicaciones en la nube y los servicios en la nube para la protección de datos y defensa contra amenazas
• Cortafuegos como servicio (FWaaS): una tecnología de seguridad de red que ofrece capacidades de cortafuegos de próxima generación/capa avanzada 7 desde la nube

Fuente: CXO REvolutionaries, "El perímetro de servicio de seguridad (SSE) refleja un mercado cambiante: lo que necesita saber".

Ventajas del SSE en comparación con la seguridad de red tradicional

Ofrecido desde una plataforma unificada centrada en la nube, SSE permite a las organizaciones liberarse de los desafíos de la seguridad de red tradicional. SSE ofrece cuatro ventajas principales:

1. Mejor reducción de riesgos

SSE permite la entrega de ciberseguridad sin estar vinculada a una red. La seguridad se entrega desde una plataforma en la nube que puede seguir al usuario hasta la conexión con la aplicación, independientemente de la ubicación. Ofrecer todos los servicios de seguridad de una manera unificada reduce los riesgos porque elimina las brechas que a menudo se observan entre los productos.

SSE también mejora la visibilidad de los usuarios (dondequiera que estén) y de los datos, independientemente de los canales a los que se acceda. Además, SSE aplica automáticamente las actualizaciones de seguridad en la nube sin el retraso habitual de la administración manual de TI.

2. Acceso de confianza cero

Las plataformas SSE (junto con las SASE) deben permitir el acceso con privilegios mínimos de los usuarios a las aplicaciones en la nube o privadas con una sólida política de confianza cero basada en cuatro factores: usuario, dispositivo, aplicación y contenido. Ningún usuario debe ser inherentemente fiable y el acceso debe otorgarse en función de la identidad y la política.

La conexión segura de usuarios y aplicaciones mediante políticas empresariales a través de Internet garantiza una experiencia remota más segura, ya que los usuarios nunca se sitúan en la red. Mientras tanto, las amenazas no pueden moverse lateralmente y las aplicaciones permanecen protegidas tras la plataforma SSE. Las aplicaciones no están expuestas a Internet y, por tanto, no pueden ser descubiertas, lo que reduce la superficie de ataque para que tenga más seguridad y se minimice aún más el riesgo empresarial.

3. Experiencia del usuario

Según la definición de Gartner, SSE debe estar totalmente distribuido en una huella global de centros de datos. Las mejores arquitecturas de SSE están creadas específicamente para la inspección en cada centro de datos, a diferencia de los proveedores que alojan sus plataformas SSE en infraestructuras de IaaS.

La arquitectura distribuida mejora el rendimiento y reduce la latencia porque la inspección de contenidos (incluidos el descifrado y la inspección TLS/SSL) tiene lugar donde el usuario final se conecta a la nube SSE. En combinación con el emparejamiento en la plataforma SSE, esto proporciona a sus usuarios móviles la mejor experiencia. Ya no necesitan utilizar VPN lentas. Acceder a las aplicaciones en nubes públicas y privadas es un proceso rápido y cómodo.

4. Ventajas de consolidación

Al tener todos los servicios de seguridad clave unificados, será testigo de cómo se reducen los costes y la complejidad. SSE puede ofrecer, en una sola plataforma, numerosos servicios de seguridad clave como SWG, CASB, ZTNA, cortafuegos en la nube (FWaaS), sandbox en la nube, prevención contra la pérdida de datos en la nube (DLP), administración de la postura de seguridad en la nube (CSPM) y aislamiento del navegador en la nube (CBI). Además, si no necesita todos estos servicios de inmediato, puede agregar fácilmente cualquiera de ellos a medida que su organización vaya creciendo.

Con toda la protección unificada en una sola política, todos los canales que sus usuarios utilizan y por los que pasan los datos disfrutan de la misma protección uniforme.

Principales casos de uso del SSE

1. Acceso seguro a servicios en la nube y uso de la web

La aplicación del control de políticas sobre el acceso de los usuarios a Internet, la web y las aplicaciones en la nube (que antes realizaba una SWG) es uno de los principales casos de uso del perímetro de servicio de seguridad. El control de políticas de SSE ayuda a mitigar el riesgo cuando los usuarios finales acceden a los contenidos dentro y fuera de la red. La aplicación de políticas corporativas de control de acceso e Internet para el cumplimiento de la normativa es también un factor clave para este caso de uso en IaaS, PaaS y SaaS.

Otra capacidad clave es la gestión de la postura de seguridad en la nube (CSPM), que protege a su organización de configuraciones incorrectas y de riesgo, que se pueden derivar en infracciones.

2. Detección y mitigación de amenazas

La detección de amenazas y la prevención de ataques con éxito a través de Internet, la web y los servicios en la nube son factores clave para la adopción del SSE y, en menor medida, SASE. Dado que los usuarios finales acceden a los contenidos a través de cualquier conexión o dispositivo, las organizaciones necesitan un sólido enfoque de defensa en profundidad contra el malware, el phishing y otras amenazas.

Su plataforma SSE debe contar con capacidades avanzadas de prevención de amenazas, entre las que se incluyen los cortafuegos en la nube (FWaaS), el sandbox en la nube, la detección de malware y el aislamiento del navegador en la nube. Los CASB permiten que se inspeccionen los datos dentro de las aplicaciones SaaS y pueden identificar y poner en cuarentena el malware existente antes de que produzca daños. El control de acceso adaptable, mediante el cual se determina la postura del dispositivo del usuario final y se ajusta el acceso en consecuencia, es también un componente clave.

3. Conexión y seguridad de los trabajadores remotos

Los trabajadores remotos modernos necesitan acceso remoto a los servicios en la nube y a las aplicaciones privadas sin los riesgos inherentes a las redes privadas virtuales. Permitir el acceso a las aplicaciones, los datos y el contenido sin permitir el acceso a la red es una función fundamental del acceso de confianza cero, ya que elimina las ramificaciones de seguridad de colocar al usuario en una red plana.

Brindar acceso seguro a aplicaciones privadas y en la nube sin necesidad de abrir ACL de cortafuegos o exponer aplicaciones a Internet es fundamental en este sentido. Las plataformas SSE deben permitir la conectividad nativa de las aplicaciones de dentro a fuera y dejar las aplicaciones "oscuras" para Internet. Un enfoque ZTNA también debería ofrecer escalabilidad en una red global de puntos de acceso, lo que brinda a todos sus usuarios la experiencia más rápida independientemente de las demandas de conectividad.

4. Identificación y protección de los datos confidenciales

SSE le permite encontrar y controlar los datos confidenciales sin importar dónde residan. Al unificar las tecnologías clave de protección de datos, una plataforma SSE proporciona una mejor visibilidad y una mayor simplicidad en todos los canales de datos. DLP en la nube permite que los datos confidenciales (por ejemplo, información de identificación personal [PII]) se encuentren, clasifiquen y protejan fácilmente para cumplir con los estándares de la industria de tarjetas de pago (PCI) y otras políticas de cumplimiento. SSE también simplifica la protección de datos, ya que puede crear políticas de DLP solo una vez y aplicarlas al tráfico en línea y los datos en reposo en las aplicaciones en la nube a través de CASB.

Las plataformas SSE más eficaces también ofrecen inspección TLS/SSL de alto rendimiento para abordar el tráfico cifrado (es decir, la mayoría de los datos en tránsito). Para este caso de uso, también es clave el descubrimiento de la TI en la sombra, que permite a las organizaciones bloquear aplicaciones peligrosas o sancionadas en todos los puntos finales.

Consejos para seleccionar la plataforma SSE adecuada

Necesita una plataforma SSE que le brinde seguridad rápida y escalable, y una experiencia de usuario perfecta basada en la confianza cero.

Busque una plataforma que sea:

Diseño específico para una experiencia de usuario y de la aplicación en la nube rápidas

El acceso rápido y seguro requiere una arquitectura nativa en la nube distribuida globalmente a través de una gran huella de centros de datos. Las plataformas SSE construidas para la inspección tienen una ventaja sobre las plataformas SSE alojadas en nubes IaaS, que no están diseñadas originalmente para las exigencias de la inspección de contenidos en tiempo real. Si cada centro de datos es un nodo de inspección, la seguridad siempre se desarrolla de forma rápida y local para el usuario, dondequiera que se encuentre. Además, busque proveedores de SSE que faciliten un emparejamiento rápido y potente para mantener optimizada la experiencia de la aplicación en la nube.

Construcción desde cero con una arquitectura de confianza cero

El control de acceso lo debe regular la identidad y nunca se debe colocar a los usuarios en su red. Busque proveedores nativos de la nube que ofrezcan una amplia compatibilidad con el acceso de confianza cero en todos los usuarios, dispositivos, IoT, aplicaciones en la nube y cargas de trabajo. Asimismo, un proveedor con una gran huella global de centro de datos garantizará que sus usuarios siempre tengan una experiencia rápida sin el obstáculo de una VPN. El enfoque ZTNA de su proveedor para SSE debería tener un historial comprobado en grandes implementaciones globales, ya que la escalabilidad es imperativa para la productividad del usuario remoto.

Capacidad de inspección de proxy escalable y en línea

La inspección de proxy finaliza ambas conexiones, desde el dispositivo y desde la aplicación en la nube. Estar entre los dos significa que se puede realizar una inspección completa de SSL y que las conexiones no pueden "pasar". Esto hace que se tenga una mejor seguridad e inspección que con los cortafuegos de paso tradicionales. Céntrese en plataformas SSE que puedan ofrecer inspección de contenidos y TLS/SSL a escala mundial. Dado que la inspección en línea suele realizarse sobre el tráfico crítico para la empresa, las interrupciones debidas a problemas de escalabilidad pueden tener un grave impacto. Asegúrese de que el proveedor de SSE que elija tenga acuerdos de nivel de servicio (SLA) potentes y un historial de inspección del tráfico en línea para grandes empresas globales.

Impulso a la innovación en el crecimiento de SSE

A medida que las organizaciones adoptan SSE como plataforma unificada, las capacidades y servicios de seguridad adicionales garantizarán que la plataforma SSE esté preparada para el futuro. Un servicio que comienza a migrar a SSE es la supervisión de la experiencia digital, que permite a TI identificar rápidamente los problemas de conectividad en la conexión entre usuarios y aplicaciones en la nube.

Además, tal como se define en la arquitectura SASE, la consolidación del servicio de red junto con una plataforma SSE es importante. Esto incluye un sólido soporte de conectividad en todos los servicios SD-WAN, conectividad de sucursales locales y conectividad multinube. Al centrarse en los proveedores de servicios SASE que también están promoviendo la innovación de SSE, puede garantizar espacio para seguir creciendo sin añadir complejidad a medida que el ecosistema de la nube de su organización va madurando.

Zscaler y SSE

Zscaler resuelve los retos de la nube y la movilidad con una plataforma revolucionaria para SSE y mucho más. Le ayudaremos a reducir los costes y la complejidad con confianza cero, a eliminar su superficie de ataque y a proporcionar una fantástica experiencia de usuario.