Si se unió a nosotros en la SASE Week de Netskope, sabrá que abarcamos bastante con nuestras charlas y programación. Para un concepto relativamente nuevo, hay todavía tanto potencial para explorar y analizar que probablemente podríamos hablar de ello por mucho más tiempo que sólo una semana.
Los clientes de Netskope, grandes y pequeños, están viendo los beneficios en cuanto a costos y para el negocio de moverse a un punto de control nativo en la nube, con la postura de seguridad y las herramientas de gestión de riesgos que necesitan.
Con eso en mente, es todavía comprensible tener preguntas y querer claridad sobre SASE (Secure Access Service Edge) como concepto.
A continuación, se presentan algunos temas clave de las muchas conversaciones sobre Netskope que están teniendo lugar en el mercado y lo que significan para su negocio:
¿Qué tecnologías tradicionales se están volviendo obsoletas por SASE?
Las soluciones basadas en dispositivos para funciones cubiertas en una arquitectura SASE se están volviendo obsoletas en favor de un borde de servicio de seguridad alojado en la nube y un tejido de red definido por software. Algunos ejemplos de las tecnologías que se están volviendo obsoletas son los dispositivos de gateway de seguridad web (SWG), dispositivos de sandboxing, dispositivos de redes privadas virtuales (VPN) y dispositivos de firewall para sucursales.
¿En qué se diferencia SASE de las actuales gateways web basadas en la nube?
La diferencia más importante es que el tráfico web es sólo uno de los cinco tipos de tráfico de usuario que analiza una arquitectura de servicio de acceso seguro en el borde (SASE). Más allá del tráfico web, SASE también cubre SaaS gestionado, SaaS no gestionado, servicios de nube pública y aplicaciones personalizadas en la nube pública con defensas de protección de datos y amenazas junto con controles de políticas granulares. El contexto de los datos se convierte en clave en estos controles de políticas granulares para el control de acceso condicional y contextual, el entrenamiento en tiempo real a los usuarios y la detección de anomalías. Los proxies de navegación web se centran principalmente en el acceso y la detección de amenazas y son débiles en el contexto de datos necesario para una arquitectura SASE exitosa.
¿Qué soluciones de seguridad dentro de la arquitectura SASE están cambiando más?
La arquitectura SASE está impulsando un borde de seguridad nativo en la nube de un solo paso que consolida las defensas mientras optimiza la experiencia del usuario. Las gateways de seguridad web (SWG) experimentarán cambios significativos desde un punto de inspección sólo web enfocado en el acceso y las defensas de protección de amenazas web, para expandirse a incluir aplicaciones, servicios en la nube, protección de datos y DLP avanzados. La arquitectura SASE de paso único requiere un contexto de usuario, aplicación y datos tanto para la protección de datos como frente a amenazas, y esto consolida de forma natural las tecnologías proxy en línea para la nube y la web. Los dispositivos SWG tradicionales no sólo migrarán a servicios en la nube, sino que también necesitarán proporcionar un contexto de datos en la nube. Los DLP tradicionales también migrarán desde sus raíces corporativas hacia la protección de datos en la nube a medida que más datos, aplicaciones y usuarios aprovechen las aplicaciones y servicios en la nube. Un ejemplo relevante es que cuando las organizaciones analizan los riesgos de datos de las aplicaciones gestionadas y no gestionadas (Shadow IT), llegan a la conclusión de que se requieren defensas en tiempo real en la nube y terminan participando en el proyecto de reemplazo o actualización de SWG con los departamentos de redes y seguridad. El control del movimiento de datos no aprobado y no intencionado, además de las amenazas en la nube y el phishing en la nube se convierten en parte de las capacidades necesarias para las SWG, mientras que una solución SWG tradicional sólo para la web se enfrenta a un cambio o a la extinción.
¿Cuáles son las claves de consolidación y ahorro de gastos de la arquitectura SASE para las transformaciones de la red y la seguridad?
Al adoptar SASE para crear un borde de red seguro, las organizaciones pueden gestionar mejor una plantilla cada vez más remota y el movimiento de migración de aplicaciones y datos a la nube. Esto permite a las organizaciones reducir su dependencia en costosas arquitecturas WAN tradicionales con su complejo enrutamiento, abundante tráfico de retorno, y la latencia adicional que viene con estas arquitecturas legadas. En última instancia, estas estrategias tradicionales conducen a sacrificar el rendimiento en aras de la seguridad, lo que termina por ralentizar el negocio e impactar en la productividad.
Con las estrategias de seguridad y de arquitecturas de red nativas en la nube como las de Netskope, los clientes pueden sencilla y fácilmente aprovechar la nube para la seguridad y la protección de datos, ir directamente a la red para reducir los costos de la WAN hasta un 65%, posiblemente en conjunción con las inversiones en SD-WAN y los mayores esfuerzos de transformación de la red. Con este enfoque, el enrutamiento del tráfico se simplifica, se elimina el retorno innecesario del tráfico y la WAN tradicional puede reservarse sólo para las aplicaciones más críticas o para la redundancia si se desea. Al aprovechar el peering exhaustivo y la interconexión como lo ha hecho Netskope con NewEdge, por ejemplo, con el peering directo con Microsoft, google y muchos otros, los clientes no necesitan sacrificar el rendimiento y la buena experiencia del usuario para conseguir seguridad, ya que las conexiones se optimizan para las aplicaciones web, en la nube y SaaS que les interesan a los usuarios. Además, tener los mandos de control adecuados para determinar si el tráfico, como en el caso de Office 365, se deja pasar o es inspeccionado es importante para dar a los clientes el control que pueden requerir. En este tema, algunos clientes se dan cuenta de que pueden eliminar los costosos enlaces privados, como las Express Routes, además de sus enlaces MPLS WAN, lo que abre la puerta a ahorros adicionales en la infraestructura y a la simplificación de la red. Y a medida que las organizaciones adoptan las estrategias de Confianza Cero, existen oportunidades para aumentar las inversiones tradicionales de VPN, tanto para protegerse contra los ataques entrantes como contra el riesgo de movimientos laterales (a los que las VPN son notoriamente vulnerables), al tiempo que se adapta el acceso a las aplicaciones a usuarios específicos, independientemente de qué dispositivo o desde dónde accedan esos usuarios.
¿Cuál es la diferencia entre Acceso de Confianza Cero a la Red (ZTNA) y Confianza Cero?
La Confianza Cero es un concepto de seguridad centrado en la creencia de que las organizaciones nunca deben confiar en los usuarios o dispositivos que intentan acceder a los datos y sistemas de la red hasta que su legitimidad haya sido verificada. Está diseñado para permitir el acceso con el mínimo de privilegios, limitando estrechamente la aplicación o el recurso al que un usuario o dispositivo puede conectarse. Esto protege los datos contra el uso no autorizado y limita el impacto de las violaciones de seguridad perpetradas por amenazas internas o cuentas comprometidas. La Confianza Cero puede ser aplicada a muchas áreas de la infraestructura y arquitectura de TI, sin embargo, cuando el principio de Confianza Cero se utiliza para controlar el acceso a los datos y recursos internos desde fuera de la organización, se trata del Acceso de Confianza Cero a la Red. ZTNA se entrega mejor desde una plataforma nativa de la nube como la de Netskope, ya que esto evita cualquier retorno del tráfico de acceso remoto a través de los centros de datos cuando se accede a aplicaciones privadas en la nube. La capacidad de ZTNA para desplegarse en la nube, proporcionar un acceso seguro a las aplicaciones en la nube tanto para los empleados internos como para los socios/contratistas externos, y permitir a las personas trabajar desde cualquier lugar, son las razones por las que es un componente esencial de una arquitectura SASE.
Still looking for more from SASE Week?
- Check out our on-demand session overviews and recordings from SASE Week.
- Take our How SASE Are You self assessment.
- You can even take our SWG for a test drive with Prove It.