Zpedia 

/ ¿Qué es el perímetro de servicio de seguridad (SSE)?

¿Qué es el perímetro de servicio de seguridad (SSE)?

El perímetro de servicio de seguridad (SSE), tal y como lo define Gartner, es una convergencia de los servicios de seguridad de red que se ofrecen desde una plataforma en la nube especialmente diseñada. SSE puede considerarse un subconjunto del marco del perímetro de servicio de acceso seguro (SASE) con una arquitectura centrada directamente en los servicios de seguridad. Los servicios principales de SSE incluyen puerta de enlace web segura (SWG), acceso a la red de confianza cero (ZTNA), agente de seguridad de acceso a la nube (CASB) y cortafuegos como servicio (FWaaS).

Observaciones sobre SSE: cómo impedir las filtraciones de datos
Descargar el Magic Quadrant para SSE de Gartner
Confianza ceroPersonal híbridoSeguridad en la nube
  1. Por qué es necesario
  2. SASE frente a SSE
  3. SSE frente a la seguridad en la red tradicional
  4. Casos de uso
  5. Elegir la solución adecuada
  6. Zscaler y SSE
  7. Recursos sugeridos
  8. Preguntas frecuentes
  9. Temas relacionados

¿Por qué es importante SSE?

Como tendencia industrial en crecimiento, SSE resuelve los desafíos fundamentales a los que se enfrentan las organizaciones en relación con el trabajo remoto, la nube, la informática de perímetro seguro y la transformación digital. A medida que las organizaciones adoptan ofertas de software e infraestructura como servicio (SaaS, IaaS), así como otras aplicaciones en la nube, sus datos se distribuyen más fuera de sus centros de datos locales. Además, hay una población cada vez mayor de usuarios son móviles y remotos que se conectan desde cualquier lugar, a través de cualquier conexión, a sus aplicaciones y datos en la nube.

Proteger las aplicaciones en la nube y los usuarios móviles es difícil con los enfoques tradicionales de seguridad de red porque:

  • Ancladas al centro de datos, las tecnologías heredadas no pueden seguir las conexiones entre los usuarios y las aplicaciones en la nube.
  • Retornar el tráfico de usuarios ("hairpinning") a un centro de datos a través de una VPN tradicional para su inspección ralentiza todo.
  • La administración y el mantenimiento del hardware encarecen los enfoques tradicionales de los centros de datos.
  • Las VPN son fáciles de explotar debido a la falta de revisiones.

Para empeorar las cosas, las pilas de seguridad de los centros de datos actuales han crecido de forma orgánicae hasta convertirse en colecciones de productos puntuales complejas y difíciles de integrar. Esta complejidad deja inherentemente brechas entre soluciones de seguridad dispares, lo que aumenta aún más el riesgo de amenazas avanzadas o ataques de ransomware.

Ventajas de SSE

  • Seguridad basada en la nube más potente y uniforme que extiende la protección a través de la sede central y hacia las sucursales y los usuarios remotos/móviles
  • Rendimiento de seguridad y red optimizado y de baja latencia, porque el tráfico no está limitado a un centro de datos central para su aplicación
  • Escalabilidad para adaptarse a las necesidades cambiantes de una organización, como la adopción de nuevos servicios en la nube y el crecimiento o movimiento del personal
  • Seguridad y gestión de redes a través de una plataforma centralizada entregada en la nube para servicios de seguridad críticos
  • Costes más predecibles y gastos operativos reducidos al minimizar la necesidad de implementaciones de hardware locales

¿Cuál es la diferencia entre SASE y SSE?

En el marco de SASE, los servicios de red y seguridad deben consumirse a través de un enfoque unificado prestado en la nube. Los aspectos de red y seguridad de las soluciones SASE se centran en mejorar la experiencia del usuario a la aplicación en la nube y, al mismo tiempo, reducir los costes y la complejidad.

Puede ver una plataforma SASE en dos partes. El segmento SSE se centra en unificar servicios de seguridad, incluidos SWG, ZTNA, CASB, FWaaS y otros. El otro, el segmento de perímetro WAN, se centra en servicios de red, incluidas las redes de área amplia definidas por software (SD-WAN), la optimización de WAN, la calidad de servicio (QoS) y otros medios para mejorar el enrutamiento a aplicaciones en la nube.

Capacidades principales de SSE

Los cuatro servicios principales esenciales para SSE son:

Fuente: CXO REvolutionaries, "Security Service Edge (SSE) refleja un mercado cambiante: lo que necesita saber"

Ventajas del SSE en comparación con la seguridad de red tradicional

SSE, que se entrega desde una plataforma unificada centrada en la nube, permite a las organizaciones liberarse de los desafíos de la seguridad de red tradicional. SSE ofrece cuatro ventajas principales:

1. Mejor reducción de riesgos

. SSE permite ofrecer ciberseguridad sin estar vinculado a una red. La seguridad se brinda desde una plataforma en la nube que puede seguir la conexión del usuario a la aplicación independientemente de su ubicación. Ofrecer todos los servicios de seguridad de forma unificada reduce el riesgo porque elimina las brechas que a menudo se observan entre productos específicos.

SSE también mejora la visibilidad entre los usuarios (estén donde estén) y los datos, independientemente de los canales a los que se acceda. Además, SSE aplica automáticamente actualizaciones de seguridad en toda la nube sin el típico retraso de la administración manual de TI.

2. Las plataformas Zero Trust Access

SSE (junto con SASE) deben permitir el acceso con menos privilegios de los usuarios a la nube o aplicaciones privadas con una potente política de confianza cero basada en cuatro factores: usuario, dispositivo, aplicación y contenido. No se debe confiar inherentemente en ningún usuario y se debe otorgar acceso en función de su identidad y política.

La conexión segura de usuarios y aplicaciones mediante políticas comerciales a través de Internet garantiza una experiencia remota más segura porque los usuarios nunca se colocan en la red. Mientras tanto, las amenazas no pueden moverse lateralmente y las aplicaciones permanecen protegidas detrás de la plataforma SSE. Las aplicaciones no están expuestas a Internet y, por lo tanto, no se pueden descubrir, lo que reduce la superficie de ataque, aumenta la seguridad y minimiza aún más el riesgo empresarial.

3. Experiencia del usuario

Según la definición de Gartner, SSE debe estar completamente distribuido en una huella global de centros de datos. Las mejores arquitecturas SSE están diseñadas específicamente para la inspección en cada centro de datos, a diferencia de los proveedores que alojan sus plataformas SSE en infraestructuras IaaS.

La arquitectura distribuida mejora el rendimiento y reduce la latencia porque la inspección de contenido, incluido el descifrado y la inspección TLS/SSL, ocurre cuando el usuario final se conecta a la nube SSE. Combinado con el peering a través de la plataforma SSE, se brinda a sus usuarios móviles la mejor experiencia. Ya no necesitan utilizar lentas VPN y el acceso a aplicaciones en nubes públicas y privadas es rápido y fluido.

4. Ventajas de la consolidación

Con todos los servicios de seguridad clave unificados, verá menores costes y menos complejidad. SSE puede ofrecer muchos servicios de seguridad clave: SWG, CASB, ZTNA, cortafuegos en la nube (FWaaS), entorno de pruebas en la nube, prevención de pérdida de datos en la nube (DLP), gestión de la postura de seguridad en la nube (CSPM) y aislamiento del navegador en la nube (CBI), todo en una misma plataforma. Además, si no lo necesita todo de inmediato, puede agregar fácilmente cualquiera de estos servicios a medida que su organización crece.

Con toda la protección unificada bajo una sola política, todos los canales que atraviesan sus usuarios y sus datos obtienen la misma protección constante.

Principales casos de uso del SSE

1. Acceso seguro a los servicios en la nube y al uso de la web

Hacer cumplir el control de políticas sobre el acceso de los usuarios a Internet, la web y las aplicaciones en la nube (históricamente realizado por un SWG) es uno de los principales casos de uso del perímetro del servicio de seguridad. El control de políticas de SSE ayuda a mitigar el riesgo cuando los usuarios finales acceden al contenido dentro y fuera de la red. Hacer cumplir las políticas corporativas de control de acceso e Internet para el cumplimiento también es un factor clave para este caso de uso en IaaS, PaaS y SaaS.

Otra capacidad clave es la gestión de la postura de seguridad en la nube (CSPM), que protege a su organización de configuraciones erróneas de riesgo que pueden provocar infracciones.

2. Detectar y mitigar amenazas

Detectar amenazas y prevenir ataques exitosos en Internet, la web y los servicios en la nube son factores clave para adoptar SSE y, en menor medida, SASE. Dado que los usuarios finales acceden al contenido a través de cualquier conexión o dispositivo, las organizaciones necesitan un potente enfoque de defensa en profundidad contra el malware, el phishing y otras amenazas.

Su plataforma SSE debe tener capacidades avanzadas de prevención de amenazas, incluido cortafuegos en la nube (FWaaS), zona de pruebas en la nube, detección de malware y aislamiento del navegador en la nube. Los CASB permiten la inspección de datos dentro de las aplicaciones SaaS y pueden identificar y poner en cuarentena el malware existente antes de que cause daños. El control de acceso adaptativo, mediante el cual se determina la postura del dispositivo del usuario final y se ajusta el acceso en consecuencia, también es un componente clave.

3. Conectar y proteger a los trabajadores remotos

El personal remoto moderno necesita acceso remoto a servicios en la nube y aplicaciones privadas sin los riesgos inherentes de la VPN. Permitir el acceso a aplicaciones, datos y contenidos sin permitir el acceso a la red es una pieza fundamental del acceso de confianza cero porque elimina las ramificaciones de seguridad de colocar al usuario en una red plana.

Aquí es clave proporcionar acceso seguro a aplicaciones privadas y en la nube sin necesidad de abrir ACL de cortafuegos o exponer aplicaciones a Internet. Las plataformas SSE deberían permitir la conectividad nativa de aplicaciones de adentro hacia afuera, manteniendo las aplicaciones "oscuras" en Internet. Un enfoque ZTNA también debería ofrecer escalabilidad a través de una red global de puntos de acceso, brindando a todos sus usuarios la experiencia más rápida independientemente de las demandas de conectividad.

4. Identificar y proteger datos confidenciales

SSE le permite encontrar y controlar datos confidenciales sin importar dónde residan. Al unificar tecnologías clave de protección de datos, una plataforma SSE proporciona una mejor visibilidad y una mayor simplicidad en todos los canales de datos. Cloud DLP facilita la búsqueda, clasificación y protección de datos confidenciales (p. ej., información de identificación personal) [PII]) a fin de respaldar los estándares de la industria de tarjetas de pago (PCI) y otras políticas de cumplimiento. SSE también simplifica la protección de datos, ya que puede crear políticas DLP solo una vez y aplicarlas en el tráfico en línea y los datos en reposo en aplicaciones en la nube a través de CASB.

Las plataformas SSE más eficaces también ofrecen inspección de TLS/SSL de alto rendimiento para abordar el tráfico cifrado (es decir, la mayoría de los datos en tránsito). También es clave para este caso de uso el descubrimiento de TI en la sombra, que permite a las organizaciones bloquear aplicaciones peligrosas o sancionadas en todos los terminales.

Consejos para seleccionar la plataforma SSE adecuada

Necesita una plataforma SSE que le brinde seguridad rápida y escalable, y una experiencia de usuario perfecta basada en confianza cero.

Busque una plataforma que esté:

Diseñada específicamente para una experiencia rápida de usuario y de aplicaciones en la nube.

El acceso rápido y seguro requiere una arquitectura nativa de la nube distribuida globalmente en un gran espacio de centro de datos. Las plataformas SSE creadas para la inspección tienen una ventaja sobre las plataformas SSE alojadas en nubes IaaS, que no están diseñadas principalmente para las demandas de inspección de contenido en tiempo real. Cuando cada centro de datos es un nodo de inspección, la seguridad siempre es rápida y local para el usuario, esté donde esté. Además, busque un emparejamiento rápido y potente de los proveedores de SSE, para que la experiencia de la aplicación en la nube siga optimizada.

Construido desde cero con una arquitectura Zero Trust.

El control de acceso debe regirse por la identidad y nunca colocar usuarios en su red. Busque proveedores nativos de la nube que ofrezcan un amplio soporte para el acceso de confianza cero en todos los usuarios, dispositivos, IoT, aplicaciones en la nube y cargas de trabajo. También en este caso, un proveedor con una gran presencia en el centro de datos global garantizará que sus usuarios siempre obtengan una experiencia rápida sin el obstáculo de una VPN. El enfoque ZTNA de su proveedor para SSE debe tener un historial comprobado en grandes implementaciones globales, ya que la escalabilidad es imperativa para la productividad de los usuarios remotos.

Capaz de inspección de proxy escalable en línea

La inspección de proxy finaliza ambas conexiones, desde el dispositivo y desde la aplicación en la nube. Situarse entre los dos significa que se puede realizar una inspección SSL completa y no se permite que las conexiones "pasen". Esto permite una mejor seguridad e inspección que los cortafuegos de paso tradicionales. Centrarse en plataformas de SSE que puedan ofrecer contenido e inspección TLS/SSL a escala global. Dado que la inspección en línea generalmente se realiza en tráfico esencial para el negocio, las interrupciones debidas a problemas de escalabilidad pueden tener un impacto grave. Asegúrese de que el proveedor de SSE elegido tenga acuerdos de nivel de servicio (SLA) potentes y un historial de inspección del tráfico en línea para grandes empresas globales.

Impulse una mayor innovación en el crecimiento de la SSE

A medida que las organizaciones adopten la SSE como una plataforma unificada, capacidades y servicios de seguridad adicionales garantizarán que la plataforma de la SSE esté preparada para el futuro. Un servicio que comienza a migrar a SSE es la supervisión de la experiencia digital, que permite a TI identificar rápidamente problemas de conectividad en la conexión del usuario a la aplicación en la nube.

Además, tal como lo define la arquitectura SASE, la consolidación del servicio de red junto con una plataforma SSE es importante. Esto incluye un sólido soporte de conectividad entre servicios SD-WAN, conectividad de sucursales locales y conectividad multinube. Al centrarse en los proveedores de servicios SASE que también están impulsando la innovación SSE, puede garantizar espacio para el crecimiento sin agregar complejidad a medida que madura el ecosistema de nube de su organización.

Zscaler y SSE

Zscaler resuelve los retos de la nube y la movilidad con una plataforma revolucionaria para SSE y mucho más. Le ayudaremos a reducir los costes y la complejidad con confianza cero, a eliminar su superficie de ataque y a proporcionar una fantástica experiencia de usuario.

promotional background

Zscaler es líder en el Gartner® Magic Quadrant™ para Security Service Edge (SSE).

Obtenga el informe GartnerMás información sobre Zscaler SSE

Recursos sugeridos

Zscaler obtuvo la calificación AAA en el informe CyberRatings SSE, segundo trimestre de 2024
Lea el informe
Los siete escollos que hay que superar al elegir una solución de SSE
Lea el libro electrónico
Extienda SSE más allá de sus usuarios
Más información
Charla del sector con Gartner: SASE es el futuro de la seguridad de las redes
Vea el webinario
01 / 02
Preguntas frecuentes