Netskope es nombrado líder en el Cuadrante Mágico™ de Gartner 2022 para Security Service Edge. Obtenga el informe

  • Security Service Edge Products

    Protect against advanced and cloud-enabled threats and safeguard data across all vectors.

  • Borderless SD-WAN

    Confidently provide secure, high-performance access to every remote user, device, site, and cloud.

  • Plataforma

    Visibilidad inigualable y protección contra amenazas y datos en tiempo real en la nube privada de seguridad más grande del mundo.

Netskope ha sido nombrado Líder en el Informe del Cuadrante Mágico de Gartner™ 2022 en SSE

Obtenga el informe Todos los productos
Líder SSE Netskope gartner mq 2022

Respuesta rápida de Gartner®: ¿Cómo afecta la adquisición de Netskope a los proyectos SD-WAN, SASE y SSE?

Obtenga el informe
Quick Answer: How Does Netskope’s Acquisition of Infiot Impact SD-WAN, SASE and SSE Projects?

Netskope ofrece una estrategia de seguridad cloud moderna, con capacidades unificadas para los datos y protección frente a amenazas, además de un acceso privado seguro.

Explora nuestra plataforma
Vista aérea de una ciudad metropolitana

Cambie a los servicios de seguridad en la nube líderes del mercado con una latencia mínima y una alta fiabilidad.

Más información
Lighted highway through mountainside switchbacks

Prevenga las amenazas que a menudo eluden otras soluciones de seguridad utilizando un marco SSE de un solo paso.

Más información
Lighting storm over metropolitan area

Soluciones de confianza cero para implementaciones de SSE y SASE

Más información
Boat driving through open sea

Netskope hace posible un proceso seguro, rápido y con inteligencia cloud para la adopción de los servicios en la nube, las aplicaciones y la infraestructura de nube pública.

Más información
Wind turbines along cliffside
  • Nuestros clientes

    Netskope da servicio a más de 2.000 clientes en todo el mundo, entre los que se encuentran más de 25 de las 100 empresas de Fortune

  • Soluciones para clientes

    Le apoyamos en cada paso del camino, garantizando su éxito con Netskope.

  • Formación y certificación

    La formación de Netskope le ayudará a convertirse en un experto en seguridad en la nube.

Ayudamos a nuestros clientes a estar preparados para cualquier situación

Ver nuestros clientes
Woman smiling with glasses looking out window

El talentoso y experimentado equipo de servicios profesionales de Netskope proporciona un enfoque prescriptivo para su exitosa implementación.

Más información
Netskope Professional Services

Asegure su viaje de transformación digital y aproveche al máximo sus aplicaciones en la nube, web y privadas con la capacitación de Netskope.

Más información
Group of young professionals working
  • Recursos

    Obtenga más información sobre cómo Netskope puede ayudarle a proteger su viaje hacia la nube.

  • Blog

    Descubra cómo Netskope permite la transformación de la seguridad y las redes a través del servicio de seguridad (SSE).

  • Eventos & Workshops

    Manténgase a la vanguardia de las últimas tendencias de seguridad y conéctese con sus pares.

  • Security Defined

    Todo lo que necesitas saber en nuestra enciclopedia de ciberseguridad.

Podcast Security Visionaries

Episode 15: Building Permanent Security Awareness

Reproducir el pódcast
Black man sitting in conference meeting

Lea lo último sobre cómo Netskope puede hacer posible el viaje de confianza cero y SASE a través de las capacidades de SSE.

Lea el blog
Sunrise and cloudy sky

Semana SASE

Netskope puede ayudarle a dar los primeros pasos en el mundo SASE y a descubrir qué papel desempeñan en él la seguridad, las conexiones de red y Zero Trust.

Más información
Semana SASE

¿Qué es Security Service Edge (SSE)?

Explore el lado de la seguridad de SASE, el futuro de la red y la protección en la nube.

Más información
Four-way roundabout
  • Empresa

    Le ayudamos a mantenerse a la vanguardia de los desafíos de seguridad de la nube, los datos y la red.

  • Por qué Netskope

    La transformación de la nube y el trabajo desde cualquier lugar han cambiado la forma en que debe funcionar la seguridad.

  • Liderazgo

    Nuestro equipo de liderazgo está firmemente comprometido a hacer todo lo necesario para que nuestros clientes tengan éxito.

  • Partners

    Nos asociamos con líderes en seguridad para ayudarlo a asegurar su viaje a la nube.

Netskope posibilita el futuro del trabajo.

Descubra más
Curvy road through wooded area

Netskope está redefiniendo la seguridad de la nube, los datos y la red para ayudar a las organizaciones a aplicar los principios de Zero Trust para proteger los datos.

Más información
Switchback road atop a cliffside

Pensadores, constructores, soñadores, innovadores. Juntos, ofrecemos soluciones de seguridad en la nube de vanguardia para ayudar a nuestros clientes a proteger sus datos y usuarios.

Conozca a nuestro equipo
Group of hikers scaling a snowy mountain

La estrategia de venta centrada en el partner de Netskope permite a nuestros canales maximizar su expansión y rentabilidad y, al mismo tiempo, transformar la seguridad de su empresa.

Más información
Group of diverse young professionals smiling

Optimización de la eficacia y el rendimiento de la seguridad en la nube mediante una arquitectura de un solo paso

Jul 01 2021

La ciberseguridad tiene la mala reputación de interponerse en el camino del negocio. Muchos CIOs y CISOs dedican mucho tiempo a minimizar la merma en el rendimiento de las soluciones de seguridad sobre el tráfico de su red, al tiempo que se aseguran de que las soluciones siguen haciendo su trabajo manteniendo la red segura. El paso a la nube agrava este reto.

Hace unos años, un departamento de seguridad instalaba servicios de seguridad en una serie de dispositivos físicos. Las funciones de firewall, filtrado de URL, supervisión del correo electrónico, escaneo de amenazas y prevención de fuga de datos (DLP), por ejemplo, podían ejecutarse cada una en su propia caja. Los cinco dispositivos podrían estar configurados en serie, de forma que un paquete de datos fluyera hacia uno de ellos, el dispositivo realizara su servicio estándar y, a continuación, el paquete pasara al siguiente dispositivo, que volvería a realizar todos sus pasos habituales. La escalabilidad de cada servicio estaría limitada por el espacio disponible en su dispositivo físico. Y cuando el hardware se agotaba, el rendimiento de las comprobaciones de seguridad—y por extensión, el rendimiento del tráfico de red—se ralentizaba. Estos problemas se agravaban con los flujos de tráfico cifrado y la necesidad de descifrar, analizar y volver a cifrar el tráfico varias veces, para cada función.

Muchos clientes intentaron mejorar la escalabilidad cambiando a dispositivos virtuales, sólo para encontrarse con el mismo problema de "cuello de botella." Tanto si una solución se ejecuta en la nube como en las instalaciones, la virtualización requiere que los administradores asignen recursos específicos, como la CPU, la memoria y el espacio en disco. Algunas plataformas de seguridad consolidan una serie de servicios diferentes. Esto da al conjunto de soluciones acceso a mayor cantidad de recursos en total, pero los servicios tienen que competir por esa cantidad finita de todos los recursos disponibles, y en última instancia el rendimiento no está optimizado para ninguno de ellos. Inherente al diseño, este "tira y afloja" de recursos acaba obligando a hacer concesiones entre el procesamiento de la seguridad y el rendimiento.

Sea cual sea la estrategia, los enfoques físicos, virtuales o basados en la nube suelen tener un límite para escalar horizontalmente. A partir de ese punto, las limitaciones de recursos introducen latencia en el rendimiento de las soluciones que albergan. Una infraestructura de seguridad que opera a través de una tubería de tráfico con un diámetro fijo va a chocar eventualmente con esas limitaciones y cuellos de botella, y la velocidad de la red se verá afectada y, en última instancia, esto se traduce en una experiencia de usuario degradada y, en el peor de los casos, en el riesgo de que los usuarios pasen por alto los controles de seguridad por completo, lo que expone a las organizaciones al riesgo. 

Microservicios poco acoplados pero independientes 

Cuando Netskope desarrolló lo que ahora es nuestra plataforma para el servicio de acceso seguro en el borde (SASE), diseñamos la arquitectura con el objetivo de superar la latencia que degrada el rendimiento de las soluciones de seguridad tradicionales. Para alcanzar ese objetivo, nos replanteamos dos aspectos del funcionamiento fundamental de la tecnología de seguridad. 

En primer lugar, consolidamos las capacidades clave de seguridad en una única plataforma unificada, al tiempo que abstraíamos las funciones de seguridad individuales en lo que en Netskope llamamos "microservicios." Procesos como la prevención de fuga de datos (DLP), la protección contra amenazas, el filtrado de contenidos web y el acceso a la red basado en confianza cero (ZTNA) funcionan de forma independiente, cada uno con sus propios recursos. Cuando las limitaciones de recursos empiezan a afectar al rendimiento de uno de los microservicios, Netskope Security Cloud está diseñada para escalar (o reducir) automáticamente ese microservicio liberando de forma independiente los recursos necesarios.

Por ejemplo, la interceptación SSL es más probable que se vea limitada por la entrada-salida (E/S) del sistema, tratando de descifrar el tráfico que recibe de la red. Mientras que el establecimiento de la sesión TLS/SSL se entiende que está ligado a la unidad central de procesamiento (CPU) para las operaciones de clave asimétrica, una vez que se establece una sesión, las funciones de cifrado y descifrado simétrico ya no están vinculadas a la CPU, ya que la mayoría de las CPU modernas tienen instrucciones AES integradas de forma nativa. En consecuencia, durante la fase de transferencia de datos propiamente dicha, el cuello de botella se convierte rápidamente en la rapidez con la que los paquetes pueden entrar y salir del sistema (E/S, no CPU), y cada copia de paquete añade una carga adicional que aumenta la latencia del procesamiento general de los paquetes. Por otro lado, la funcionalidad de DLP tiende a estar más limitada por la unidad central de procesamiento (CPU), ya que su objetivo es analizar archivos sospechosos utilizando tecnologías que requieren un uso intensivo del procesador, como varios motores de expresiones regulares. Si el rendimiento de DLP se viera restringido por las limitaciones de la CPU, el diseño de Netskope aumentaría rápidamente la potencia del procesador específicamente para ese microservicio de DLP, en lugar de aumentar la potencia de la CPU de forma generalizada y para que todos los servicios de seguridad compitan por ella.

Esto puede sonar un poco a los viejos tiempos, en los que cada solución de seguridad corría en su propio hardware, pero no lo es. Es una simplificación y abstracción espectacular a través de la miríada de microservicios de Netskope. Esto nos lleva al segundo aspecto digno de mención de la arquitectura de Netskope, que es cómo los microservicios individuales son independientes, pero siguen estando estrechamente acoplados. Aunque utilizan recursos de forma independiente, como la E/S o la CPU, comparten los resultados de ciertos procesos para que las mismas cargas de trabajo no se repitan innecesariamente en varios microservicios que analizan los mismos paquetes. Esto proporciona una eficiencia significativa en la forma en que Netskope es capaz de procesar grandes volúmenes de tráfico, de unir mejor el "contexto" de los resultados de seguridad y, en última instancia, de acelerar el rendimiento y reducir la latencia. 

Procesamiento más rápido del tráfico y seguridad más eficaz 

Cualquier producto o servicio de seguridad va a introducir cierta latencia. Es un hecho. Todas las soluciones que tocan un paquete de datos en movimiento, según las leyes de la física, se ralentizan; sin embargo, la arquitectura de paso único de Netskope está diseñada para minimizar la latencia de extremo a extremo. Lo consigue separando el "contenido" de los metadatos y realizando las actividades repetitivas una sola vez para aprovechar mejor los resultados en todos los microservicios que utilizan esas actividades. No trataré esto en detalle en este blog, pero las optimizaciones de la nube privada de seguridad de Netskope, llamada NewEdge, reducen aún más la latencia y optimizan para la mejor experiencia posible del usuario y la aplicación. Esto incluye las decisiones tomadas en los racks integrados que construimos para el despliegue en nuestros centros de datos, en el control de todo el enrutamiento del tráfico y las ubicaciones de los centros de datos, el peering extensivo con los proveedores web, de servicios en la nube y SaaS (en cada centro de datos), así como el sobre-aprovisionamiento masivo de cada centro de datos y el funcionamiento de la infraestructura con una baja utilización (y el máximo margen libre) para acomodar los picos de tráfico inusuales o la adopción de los clientes.

Volviendo al tema de las actividades repetitivas realizadas dentro de Netskope Security Cloud, consideremos el "descifrado" como ejemplo. Alrededor del 90% del tráfico que Netskope maneja hoy en día está cifrado. Aunque nuestros microservicios de seguridad realizarán diferentes operaciones en el tráfico una vez descifrado, todos ellos requieren que el paquete sea descifrado primero antes de poder realizar su acción u operación especializada. En este caso, nuestra arquitectura de paso único abstrae los microservicios de nivel superior del proceso de descifrado, por lo que Netskope descifra el tráfico una sola vez, y luego aplica los múltiples y diversos microservicios adecuados a las políticas sobre el tráfico, antes de volver a cifrarlo y enviarlo por su camino. 

Para profundizar en esto, el propio proceso de descifrado del tráfico da lugar tanto a contenido utilizable como a metadatos que describen los paquetes interceptados. Cuando un microservicio de Netskope—como DLP o la protección contra amenazas—encuentra posteriormente ese tráfico, tiene acceso inmediato a la información sobre quién es el usuario, a qué aplicación está accediendo, qué actividad está intentando realizar y en qué parte del flujo de paquetes se encuentra el contenido asociado. Si el microservicio necesita inspeccionar el contenido del paquete, puede hacerlo mucho más rápidamente que si se encontrara con comunicaciones cifradas por primera vez. 

Además del escenario de descifrado, la "política" de seguridad es otra área en la que las cargas de trabajo comunes pueden realizarse una vez y luego ser compartidas y aprovechadas por múltiples microservicios. Todos los microservicios de Netskope utilizan el mismo motor de políticas y las búsquedas de políticas pueden reutilizarse en todos los servicios. Esto significa que las definiciones de seguridad son consistentes en todos los diferentes servicios de Netskope Security Cloud. En consecuencia, los CISO y sus profesionales de la seguridad no tienen que definir por separado, por ejemplo, el Reglamento General de Protección de Datos (RGPD/GDPR) o la política del sector de las tarjetas de pago (PCI) para el correo electrónico frente a la seguridad de los puntos finales, la web o el SaaS. Esta unificación y simplificación de la política, no sólo a través de una única consola administrativa que los clientes de Netskope realmente aprecian, sino también a un nivel inferior de microservicios que mejora aún más el rendimiento general del sistema. 

Este enfoque también ahorra que varios servicios repitan las mismas acciones. Por ejemplo, varios procesos de seguridad podrían requerir que la identidad del usuario que inició una solicitud web específica (con un paquete de red correspondiente) se coteje con una lista de perfiles de usuario. Esta información podría ser valiosa para definir las acciones de la política sobre el tráfico de este usuario, por ejemplo. Una vez completada esta búsqueda e identificado el usuario, esta información puede compartirse fácilmente con el resto de los microservicios de Netskope. El servicio DLP podría utilizar esa información para determinar cómo se clasifican los datos, por ejemplo, si son sensibles o no. Mientras que el servicio de protección contra amenazas podría referirse a este contexto de usuario en las decisiones de inspección de malware, por ejemplo, si se trata de un usuario de riesgo conocido. En cualquier caso, una vez determinada la identidad, ninguno de los dos microservicios tendría que repetir esta acción. 

Finalmente, al reutilizar las operaciones de alto nivel de esta manera (por ejemplo, descifrado, política, identificación del usuario), la arquitectura de paso único agiliza el procesamiento de paquetes de manera significativa y reduce la latencia de extremo a extremo de los microservicios. El efecto puede ser sustancial. En el caso de DLP, por ejemplo, este tipo de actividades puede constituir el 20% del tiempo total (y de los recursos) que consume este microservicio. La abstracción de microservicios de la arquitectura de Netskope, mientras que al mismo tiempo acopla libremente estos servicios, optimiza el procesamiento del tráfico hacia y desde la nube y minimiza el impacto de la seguridad en la experiencia del usuario final.

Consistencia de la política y visibilidad a nivel ejecutivo

La arquitectura de un solo paso de Netskope también permite que los eventos de seguridad generados a través de Gateway de seguridad web de nueva generación (NG-SWG), el agente de seguridad de acceso a la nube (CASB), DLP y otras ofertas de servicios de Netskope sean visibles a través de un único cuadro de mando de gestión y administración de incidentes. Desde la perspectiva del CISO, todos los microservicios de Netskope parecen funcionar como una solución integrada, gestionada a través de una consola. Esto permite a los departamentos de seguridad responder con mayor rapidez, estar al tanto de los incidentes de seguridad antes, desplegar políticas nuevas o actualizadas con mayor fluidez y cumplir con éxito la misión de seguridad. 

Los diversos servicios de Netskope Security Cloud (por ejemplo, NG-SWG, CASB, DLP) también utilizan el mismo lago de datos en la infraestructura de soporte y producen resultados normalizados que describen los eventos de seguridad en términos estándar. También permite a los clientes obtener información avanzada – como la identificación de comportamientos anómalos o la señalización de usuarios de riesgo – gracias al análisis del comportamiento de usuarios y entidades (UEBA) de Netskope, basado en el aprendizaje automático, que incluye la puntuación de la confianza de los usuarios y la correlación inteligente de eventos basada en los datos recopilados. Esto facilita al departamento de seguridad el reconocimiento de los problemas y reduce el esfuerzo necesario para extraer datos de los diferentes microservicios en el sistema corporativo de gestión de eventos e información de seguridad (SIEM). Los profesionales de la seguridad dedican menos tiempo a la limpieza manual de los datos y más a responder a los eventos que los diferentes microservicios de Netskope identifican. Esto es mucho más fácil y rápido que los enfoques tradicionales con múltiples productos, consolas, datos y formatos diferentes, etc.

En definitiva, la arquitectura de un solo paso de Netskope es atractiva tanto para los analistas y profesionales de la seguridad que viven en el complicado día a día de intentar proteger a la empresa y sus activos digitales más valiosos, como para los responsables de la red que intentan minimizar la latencia y el impacto general en la red. Además, este enfoque de un solo paso ofrece a los líderes y ejecutivos de alto nivel, incluyendo a los directivos, la visión "general" del estado de la infraestructura de la organización y la postura de seguridad a través de potentes y esclarecedoras vistas de cuadro de mando. 

Como líder de SASE, Netskope ofrece una seguridad holística en la nube y una protección de datos que, a través de su exclusiva arquitectura de un solo paso, optimiza simultáneamente la eficacia y la eficiencia de los servicios de seguridad, al tiempo que ofrece un rendimiento superior. Es un gran paso adelante para los líderes de las redes y la seguridad que buscan apoyar el paso de su organización a la nube y la transformación digital. Y es solo otro ejemplo de cómo Netskope está llevando a cabo su misión de ofrecer una seguridad de primera clase sin sacrificar la experiencia de usuarios.

author image
Krishna Narayanaswamy
Krishna Narayanaswamy, fundador y CTO de Netskope, es un investigador de gran prestigio en inspección profunda de paquetes, seguridad y detección de anomalías de comportamiento con más de 25 años de experiencia en el sector. Dirige los esfuerzos de investigación de Netskope en materia de protección de datos y frente a amenazas y es un ponente frecuente en temas de liderazgo intelectual en materia de seguridad en las principales conferencias. Anteriormente, fundó Top Layer Networks y fue un distinguido ingeniero en Juniper Networks, donde lanzó productos de éxito al mercado. Es titular de más de 50 patentes que abarcan desde la seguridad hasta el procesamiento acelerado de paquetes y la clasificación de datos.