Atrás 
Este blog forma parte de la serie en curso "I&O Perspectivas", que presenta las opiniones de expertos del sector sobre el impacto de las amenazas actuales, las redes y otras tendencias en ciberseguridad.
En la primera parte de esta serie de blogs, observamos el inicio de un modelo basado en Internet donde las redes corporativas ya no tienen fronteras, el hogar es la oficina, las aplicaciones están en la nube.
Este cambio de paradigma hace que la conectividad sea omnipresente. Pero los riesgos de seguridad han aumentado drásticamente. Para SASE escalar y proteger a todos los usuarios, requiere una Plataforma sólida. En Netskope, creamos NewEdge, una plataforma especialmente diseñada para ofrecer SSE y SD-WAN rápidos y de alta disponibilidad. Echemos un vistazo a las tecnologías y diseños que lo hicieron posible:
Internet vs. MPLS-VPN
Frente a las inflexibles, pero capaces de SLA, se encuentra el desdeñado gigante contorsionista, Internet.
Los proveedores de contenido y de la nube han sido muy activos para construir una Internet en la que puedan confiar. De hecho, requieren una red abierta y de alta calidad para verter el tráfico en las pantallas de sus clientes. Invierten en cables submarinos y operan infraestructuras de transporte que sustituyen a algunas empresas de telecomunicaciones y redes de tránsito. También patrocinaron masivamente iniciativas de interconexión, como instalaciones de intercambio de Internet. Las interconexiones son esenciales y han sido un tema delicado. Por un lado, los ISP invierten masivamente en sus infraestructuras de acceso. Por el contrario, los proveedores de contenido necesitan un acceso limpio a estos globos oculares (los consumidores). En el medio, los proveedores de transporte intentan ganar dinero conectando ambos extremos. Como resultado, los intereses a veces son contradictorios.
Ha habido algunas disputas en las que algunos sintieron que no se les pagaba lo suficiente por el valor que aportaban. En mayo de 2024, por ejemplo, Cogent eliminó parte de su conectividad con Tata, ya que los dos proveedores de transporte no pudieron llegar a un acuerdo para una estrategia de interconexión equilibrada. Esto afectó a las redes que dependían en gran medida de estos proveedores sin caminos alternativos decentes.
En cuanto a la tecnología, la óptica, los chips de reenvío y las mejoras de protocolo han permitido que Internet alcance alturas de ancho de banda con presupuestos bajos. La generalización de la telemetría habilitada por hardware ha ayudado enormemente a la optimización de las redes de gran ancho de banda, como las redes troncales de Internet.
En 2012, en una empresa anterior, desarrollamos un software de optimización de enrutamiento de Internet. Gracias a miles de millones de mediciones de rendimiento, obtuvimos una confirmación firme de que Internet requería mejoras para una mayor disponibilidad y rendimiento, principalmente en algunas áreas geográficas específicas o en condiciones de red particulares. Al igual que Netskope, la mayoría de los proveedores de contenido y proveedores de nube han desarrollado su propio marco de ingeniería de tráfico BGP para aumentar la disponibilidad y el rendimiento.
Gracias a los grandes anchos de banda, las colaboraciones entre pares y el enrutamiento inteligente, los largos debates en torno a la calidad del servicio, la ingeniería de tráfico y los SLA se han desvanecido.
Netskope ha invertido cientos de millones en su Plataforma, NewEdge y el marco de conectividad subyacente. Con computación completa y todos los servicios de seguridad disponibles en 75+ regiones y 100+ centros, NewEdge garantiza cero concesiones de rendimiento. Los usuarios de Netskope se benefician de la proximidad geográfica y de la conectividad mejorada de última milla a través de múltiples rutas de tránsito y un denso peering.
SDN – Redes definidas por software (o no)
Con MPLS-VPN, la empresa de telecomunicaciones configura explícitamente el contexto de cada cliente y controla todas las configuraciones en la red troncal. Por el contrario, en un marco SDN adecuado, el cliente tiene el control de la configuración.
Ha habido intentos de proporcionar a los clientes interfaces de usuario y API de autoservicio para operar sus configuraciones y automatizar las configuraciones de las redes principales. Además de un control estricto, no interferir con otros clientes y respetar los diseños restringidos, también significa restringir las opciones de configuración y las implementaciones sofisticadas que solo los ingenieros de telecomunicaciones pueden realizar manualmente. Por último, con las redes troncales privadas, la SDN sigue estando limitada por la infraestructura subyacente.
La construcción de túneles como superposiciones en Internet, por ejemplo, IPsec SD-WAN, es una tarea de configuración que solo está bajo el control del cliente, lo que proporciona más autonomía y flexibilidad. Siempre que tenga suficiente ancho de banda de Internet, todo es factible. SD-WAN también se beneficia de la innovación y los esfuerzos en modelos de orquestación, ergonomía e interfaces gráficas modernas, lo que hace que la experiencia de configuración sea ligera y fácil.
Aprovechamiento de la tenencia múltiple
Junto con el concepto de SDN viene la necesidad de la tenencia múltiple. MPLS-VPN trajo la separación de enrutamiento, una arquitectura estandarizada e interoperable que aísla a múltiples clientes en contextos. Del mismo modo, los proveedores y los colaboradores de código abierto implementaron la separación de enrutamiento en firewalls y sistemas operativos. La mayoría de los dispositivos SD-WAN tienen técnicas propietarias similares y extienden segmentos separados a través de túneles IPsec.
Además de separar el enrutamiento, la tenencia múltiple ofrece una instancia de servicio completa a múltiples clientes: interfaces de administración y API, las aplicaciones de capas superiores y la seguridad en torno a eso. Permite la abstracción del hardware y los sistemas operativos para el aprovisionamiento instantáneo, la independencia geográfica y la elasticidad. La implementación de una verdadera tenencia múltiple requiere dominar la arquitectura y la orquestación de computadoras para construir un sistema efectivo y seguro. En la última década, cientos de ingenieros de Netskope Plataforma han invertido su energía en los detalles de estas tecnologías para construir el marco NewEdge .
El auge de los servicios de seguridad en la nube
Si bien los servicios de seguridad se ejecutan en hardware dedicado en las ubicaciones remotas de los clientes y en sus centros de datos, la tenencia múltiple les permite ejecutarse en la nube. Viene con todas las ventajas conocidas que aportan las soluciones en la nube bien diseñadas:
- Mejoras continuas
- Escalabilidad
- Redundancia
- Rendimiento – proximidad
- Observancia
- Tranquilidad (servicio gestionado 24/7)
SASE para los usuarios corporativos
¿Por qué SASE está superando la seguridad perimetral?
- En primer lugar, SASE proporciona los servicios que el departamento de TI de un cliente no podría crear con los mejores equipos, software y cualquier complejidad dedicados. De hecho, la prevención de pérdida de datos (DLP), la protección contra amenazas y malware requieren modelos en la nube con habilitación de API central y computación de alto rendimiento, que apenas son escalables en un modelo descentralizado basado en firewall.
- En segundo lugar, están disponibles en cualquier lugar con un rendimiento superior al que si estuviéramos recorriendo un centro de datos de un cliente.
Si nos detuviéramos aquí, podríamos imaginar un mundo en el que las redes locales se han convertido en una mercancía simple y llana. Aíslan y segmentan el dispositivo entre sí en todas las capas, y todas sus comunicaciones fluyen a través de la plataforma SASE . Para los usuarios (humanos), esto es 100% correcto.
Sin embargo, la infraestructura de TI también tiene otros tipos de máquinas para las que la conectividad privada y a Internet es imprescindible. ¿Cómo funciona esto, entonces?
Integración de IoT, dispositivos heredados y redes no administradas con SASE
En SASE, los usuarios se conectan a la plataforma de seguridad en la nube con un cliente integrado en su sistema operativo. Dentro del perímetro de la corporación, algunos dispositivos no pueden incorporar el mismo cliente inteligente. A veces, también operan la conectividad entre sí dentro de la ubicación geográfica o con el centro de datos. En estos casos, la conectividad privada se proporciona a través de mallas IPsec a través de internet en un modelo SD-WAN, complementado con el marco de seguridad SSE con:
- Servidores locales
- IoTs industrial, médico y cualquier IoT sensible
- Caso de uso heredado, impresoras, por ejemplo
- Dispositivo no administrado e invitados Wi-Fi
De cara al futuro
Con Internet como una red de transporte estable y de alto rendimiento, la adopción indiscutible de aplicaciones SaaS y la madurez de las nubes de seguridad multiusuario, las corporaciones ahora pueden conectar a los usuarios de manera fluida y segura, marcando un cambio con respecto a las redes corporativas tradicionales. Si bien algunos usan Caso todavía requieren control perimetral, y los firewalls perimetrales siguen siendo necesarios para el enrutamiento del campus, SASE, incluido SD-WAN Dispositivo, ofrece la solución más flexible para usuarios corporativos, así como para dispositivos fijos y no administrados.
El impulso detrás de SASE continúa creciendo, marcando un cambio fundamental en la forma en que los departamentos de TI se conectan y protegen sus redes.
Estén atentos a mi próxima publicación de blog, donde discutiremos la arquitectura, la disponibilidad y el rendimiento de Internet.
Únete a nosotros en SASE Week 2024 para explorar lo último en SASE y Zero Trust, y aprender a mejorar la estrategia de seguridad y transformación de la red de su organización. No se pierda la "Mesa redonda de SASE para networkers: Lograr la seguridad de la red sin concesiones de rendimiento" el 25 de septiembre, donde los clientes compartirán sus viajes de transformación digital hacia SASE
Lea el blog