What is SASE?
(Secure Access Service Edge)

Migre a la nube para una seguridad más simple, más rápida y menos costosa.

The traditional network perimeter is dissolving

Los datos de las empresas se están trasladando a la nube, los empleados tienen cada vez más movilidad y las iniciativas de transformación digital están cogiendo fuerza. Todo ello significa que los datos fluyen hacia más ubicaciones. En consecuencia, los requisitos de redes y seguridad están cambiando, y con ello la estrategia de seguridad tradicional.

 

Los responsables de las empresas buscan defensas más sólidas para afrontar el continuo aumento de las amenazas a la ciberseguridad; los usuarios quieren transparencia y privacidad sin renunciar a la facilidad de uso ni al rendimiento; y los responsables de TI quieren capacitar a sus empresas y respetar en todo momento los requisitos de conformidad con una normativa que cambia continuamente.

 

Simplificando, las estrategias antiguas ya no ofrecen el nivel de seguridad y control de accesos que necesitan los usuarios y las empresas en el actual panorama, donde el perímetro se ha desvanecido. Por lo tanto, cada vez es más necesario hacer converger las defensas de seguridad y las redes, de modo que se puedan ofrecer los servicios de manera más sencilla, rápida, flexible, eficiente y asequible.

¿Qué es SASE?

Secure Access Service Edge, o SASE, es un término acuñado por Gartner en 2019 para denominar una nueva arquitectura de seguridad nativa de la nube. SASE unifica múltiples defensas de seguridad web, en la nube, de datos y frente a amenazas, además de ofrecer funciones de red, en un potente edge en la nube para respaldar a los usuarios, los datos y las aplicaciones en cualquier lugar. En este modelo en evolución, los appliances basados en perímetro y las antiguas soluciones se transforman en microservicios en la nube completamente integrados. De este modo, se crea una plataforma con políticas unificadas, compatibles con una infraestructura de red global ampliable y de alto rendimiento.

SASE incorpora las siguientes tecnologías

  • Microservicios nativos de la nube en una arquitectura de plataforma única
  • Capacidad para inspeccionar tráfico con cifrado SSL/TLS a escala cloud
  • Compatibilidad con proxies en línea para decodificar tráfico web y en la nube (NG SWG)
  • Firewall y protección frente a intrusiones para todos los puertos y protocolos (FWaaS)
  • Integración con API de servicios gestionados en la nube para datos en reposo (CASB)
  • Evaluación de seguridad continua de IaaS para nube pública (CSPM)
  • Protección avanzada de datos para datos en tránsito y en reposo (DLP)
  • Protección avanzada frente a amenazas, entre otros, IA/aprendizaje automático, UEBA, entornos aislados, etc. (ATP)
  • Uso compartido de inteligencia frente a amenazas e integración con EPP/EDR, SIEM y SOAR
  • Acceso a la red Zero Trust que sustituye a los sistemas antiguos de VPN y hairpinning (ZTNA)
  • Perímetro definido mediante software, con acceso Zero Trust (SD-WAN, SDP)
  • Infraestructura de red a hiperescala en el nivel de operador con PoP de acceso global
  • Aceleración del SaaS, conformación de tráfico, almacenamiento en caché y optimización de ancho de banda

 

Una arquitectura SASE es capaz de identificar a los usuarios y los dispositivos, aplicando controles de seguridad basados en políticas y ofreciendo un acceso seguro a las aplicaciones y los datos correctos. SASE permite proporcionar un acceso seguro con independencia de la ubicación de los usuarios, los datos, las aplicaciones o los dispositivos.

Predicciones de Gartner sobre SASE

El 20 %

de las empresas adoptarán SWG, CASB, ZTNA y FWaaS para sus sucursales de aquí a 2023

Fuente: informe de Gartner: El futuro de la seguridad de la red está
en la nube

El 40 %

de las empresas desarrollarán estrategias para adoptar SASE de aquí a 2024

Fuente: informe de Gartner: El futuro de la seguridad de la red está
en la nube

Ventajas de SASE

01

Flexibilidad

Permite un acceso directo a la red o directo a la nube desde cualquier parte, en comparación con el sistema tradicional de hairpinning de vuelta al centro de datos.

02

Ahorro de costes

Elimina inversiones en activos fijos (CapEx) para infraestructura local y ofrece unos gastos de explotación (OpEx) inferiores y predecibles gracias a su modelo de seguridad como servicio.

03

Complejidad reducida

Permite a las organizaciones derivar a su personal de seguridad de la gestión de dispositivos hacia los servicios de seguridad basados en políticas; asimismo, las tecnologías consolidadas y convergentes, con cumplimiento de políticas unificado, simplifican las operaciones de seguridad.

04

Mayor rendimiento

Mejora y acelera el acceso a los recursos de Internet a través de una infraestructura de red global optimizada para baja latencia, alta capacidad y alta disponibilidad.

05

Zero trust

Proporciona acceso seguro a aplicaciones privadas en nubes públicas y centros de datos, en lugar de acceso a la red.

06

Protección contra Amenazas

Detecta y previene los ataques a la web y a la nube, como el phishing en la nube, el malware, el ransomware y los usuarios internos malintencionados.

07

Protección de datos

Protege los datos allá donde vayan, dentro y fuera de la organización, incluidas las nubes públicas, así como entre instancias personales y de la empresa en las aplicaciones en la nube.

Primeros pasos con SASE

La base de SASE es una arquitectura integrada y ampliable que redefine las defensas de seguridad en la nube como servicio. Para comenzar, siga estos pasos:

Plantéese consolidar su pasarela web segura (SWG) y su agente de seguridad del acceso a la nube (CASB) en una única solución de proxy en línea con capacidad para descodificar miles de aplicaciones en la nube y tráfico web mediante API y JSON.

De este modo, dispondrá de una visibilidad y control críticos para la protección frente a la pérdida de datos (DLP) y defensas de protección avanzada frente a amenazas (ATP) que también se encuentran alojadas en la nube en la misma plataforma. Además de retirar sus dispositivos de SWG antiguos, migre al acceso a la red Zero Trust (ZTNA) para sustituir sus antiguos dispositivos de VPN y modernizar su estrategia de acceso seguro global.

Dado que la mayoría del tráfico en internet está cifrado, implemente una solución de descifrado e inspección de SSL/TLS a escala de la nube.

Este enfoque de nube aplica la inspección a cualquier lugar, frente al tráfico de conexiones entre nodos de vuelta a su centro de datos en la sede central, lo que reduce la necesidad de análisis adicionales.

Use una red de edge global para un mayor rendimiento y disponibilidad.

El alojamiento en la nube pública para defensas de seguridad es costoso y el gasto no compensa a largo plazo. Por eso los entornos compatibles con SASE requieren una red distinta y mejor. Los proveedores de servicios de nube (CSP), de Internet (ISP) y de aplicaciones SaaS ofrecen principalmente infraestructuras de red que se basan en el coste, no en el rendimiento. Utilice una solución SASE, que proporciona el acceso local a través de múltiples PoP con conexiones de red a hiperescala. De este modo, la reducción del rendimiento en favor de la seguridad es mínima. Con ello, se optimiza el primer tramo. No obstante, debe pensar en optimizar los segundos y terceros tramos de la arquitectura compatible con SASE. Las oficinas principales y remotas deberían ser capaces de usar túneles GRE e IPSec para conectarse, mientras que los usuarios remotos pueden ser habilitados por el cliente o incorporados a las defensas de seguridad en la nube mediante su acceso IAM/IdP, junto a una implementación de proxy para dispositivos personales no gestionados sin un cliente seguro.

Evite las soluciones de seguridad y de red que se basan meramente en dispositivos o en el alojamiento en la nube y que requieren múltiples consolas, diversas interfaces y diferentes controles de política, lo cual sobrecarga a los equipos de operaciones de seguridad con un caos en el análisis e inspección de consolas.

Las consolas integradas, las arquitecturas de nube y los agentes ofrecen una configuración de seguridad, operaciones y experiencia de respuesta mucho más sencillas al diseñar un entorno compatible con SASE. Siempre es aconsejable perseguir objetivos como concentrarse en la consolidación y reducir la complejidad y los costes.

Recursos