pixel - Fotolia
Los 5 principales beneficios de SASE y algunos inconvenientes
Una arquitectura distribuida basada en la nube, administración centralizada y políticas de seguridad específicas de los puntos finales son solo algunos de los beneficios de Secure Access Service Edge.
El perímetro de servicios de acceso seguro (Secure Access Service Edge), conocido como SASE y pronunciado "sassy", fue descrito originalmente por Gartner en dos informes de investigación de mercado: "Tendencias del mercado: cómo ganar cuando WAN Edge y la seguridad convergen en el Secure Access Service Edge" y "El futuro de la seguridad de la red está en la nube". Pero, ¿qué es SASE exactamente y cuáles son los beneficios clave de SASE?
Para empezar, el perímetro seguro empresarial con acceso interno abierto ha desaparecido en gran medida. Las amenazas provienen del malware enviado a los sistemas internos a través de ataques de spear phishing. El perímetro de la red ahora existe dondequiera que se encuentren los empleados cuando se conectan a la red empresarial, como en casa, en una cafetería y de vacaciones. SASE prevé los mecanismos necesarios para proporcionar seguridad de TI integrada con conectividad de red en el punto de acceso.
Las aplicaciones han pasado del centro de datos corporativo a los proveedores de nube y de software como servicio (SaaS). Una aplicación podría estar todavía en un centro de datos corporativo. Otra aplicación se ha trasladado a una nube pública, mientras que un proveedor de SaaS proporciona una tercera aplicación. Otras aplicaciones dependen de los datos recopilados por los dispositivos de internet de las cosas (IoT) que no tienen un ser humano para proporcionar credenciales de autenticación y autorización. Esencialmente, los patrones de tráfico de la red han cambiado, lo que significa que la red y los sistemas de seguridad deben adaptarse.
La seguridad y el rendimiento de la red se ven desafiados por los flujos de tráfico de la red que atraviesan la infraestructura de comunicaciones que ya no está bajo el control de los equipos de seguridad y redes corporativas. En cambio, la seguridad de la red debe centrarse en la identidad de los dispositivos, empleados, socios y clientes por igual.
SASE prevé un rendimiento de red óptimo para todas las aplicaciones, al tiempo que integra controles de seguridad más cerca del usuario. Reemplaza el perímetro seguro con seguridad integrada en toda la red. Los puntos finales se conectan a instancias de análisis SASE basadas en la nube, que brindan los servicios de seguridad y luego reenvían el tráfico de red permitido y seguro a su destino previsto. La ubicación basada en la nube hace que sea conveniente reenviar el tráfico a la nube y las aplicaciones SaaS. El enrutamiento óptimo y la calidad de servicio (QoS) se utilizan para enrutar el tráfico a las aplicaciones que residen en el centro de datos corporativo.
Claramente, SASE introduce alguna innovación en torno a la seguridad del borde de la red. Entonces, profundicemos en cinco beneficios clave de SASE.
-
A SASE no le importa dónde residen las aplicaciones
Las aplicaciones pueden estar en un centro de datos corporativo, estar en una nube pública o privada, o ser una oferta de SaaS. La seguridad y la conectividad de red centralizada no son óptimas para esta amplia distribución de aplicaciones. La arquitectura distribuida de SASE facilita la realización de funciones de seguridad cerca del usuario final, al tiempo que simplifica la conectividad a las aplicaciones.
-
Las políticas centralizadas, dinámicas y basadas en roles agilizan las operaciones
La gestión centralizada de las políticas de seguridad agiliza los aspectos de red y seguridad de los trabajadores remotos, independientemente de su ubicación. En esencia, el perímetro de la red es donde existe el punto final, incluso si está en una red que no está controlada por el personal de la organización. La seguridad se aplica de forma dinámica, con políticas basadas en el rol de la entidad de conexión.
Por ejemplo, un vendedor obtiene una política diferente a la de un dispositivo de IoT, que, a su vez, es diferente para dispositivos no administrados como teléfonos y tabletas. Esta configuración es excelente para administrar la seguridad de dispositivos que tradicionalmente son difíciles de proteger debido a su antigüedad, proveedor o función, como los dispositivos médicos.
Además, el aislamiento del navegador remoto (RBI) proporciona conectividad web que protege el dispositivo de origen del malware. Del mismo modo, las protecciones para el hardware de IoT ayudan a evitar el secuestro de estos dispositivos.
La gestión de la identidad es un requisito fundamental para identificar la función del punto final y utiliza políticas de seguridad y conectividad adecuadas. Los parámetros de red, como la QoS y la selección de ruta dinámica, esta última una función WAN definida por software (SD-WAN), se implementan automáticamente por cada terminal para optimizar el rendimiento de la aplicación y proporcionar las políticas de seguridad adecuadas para la función de ese terminal.
La seguridad integrada y la red con administración centralizada reducen el costo continuo de mantenimiento del sistema. Centralizar la gestión reduce la posibilidad de errores humanos que podrían crear agujeros indeseables.
-
Seguridad y enrutamiento integrados
SASE integra varias funciones de seguridad en un sistema:
- reputación de DNS
- RBI
- acceso a la red de confianza cero
- prevención de pérdida de datos (DLP)
- protección de malware
- agente de seguridad de acceso a la nube
- firewall como servicio
- detección de intrusos
- prevención de intrusiones
- puerta de enlace web segura
Con la estructura adecuada, los mecanismos SASE pueden realizar análisis del comportamiento de la red para identificar casos en los que el malware comienza a explorar y atacar la infraestructura interna.
La consolidación de funciones en un producto por parte de un proveedor puede reducir significativamente la complejidad de implementar una funcionalidad de seguridad integral. El personal pasa del mantenimiento de políticas por dispositivo a los servicios de políticas de todo el sistema, lo que los hace mucho más productivos. Por supuesto, asegúrese de que las funciones estén bien integradas y no sean componentes dispares que simplemente estén atornillados.
La integración con el enrutamiento garantiza que el tráfico sea seguro y se enrute correctamente a través de los enlaces deseados. Deben investigarse los detalles de cómo se enruta el tráfico y dónde residen los controles de seguridad durante la investigación de su producto. Algunos proveedores dependerán de una red privada virtual (VPN) para sistemas de seguridad basados en la nube, mientras que otros pueden depender de los dispositivos de equipos en las instalaciones del cliente (CPE).
-
Costos de WAN reducidos
El componente de enrutamiento inherente a SASE funciona de manera similar a SD-WAN. Debe esperar controlar los costos de WAN reduciendo o eliminando la necesidad de MPLS más costosos y circuitos arrendados a favor de la conectividad VPN a través de la internet pública. Las tecnologías de optimización de WAN también se pueden utilizar para hacer que la WAN sea más eficiente.
Las implementaciones de SASE basadas en la nube pueden optimizar aún más los flujos de tráfico al aprovechar la conectividad en la nube para los principales proveedores de SaaS. Estas conexiones suelen ser redundantes y muy fiables. Es posible que vea una mejora en la disponibilidad de la aplicación.
-
Arquitectura distribuida
SASE se basa en una arquitectura distribuida con administración centralizada para ganar eficiencia, tal como lo hace SD-WAN. La administración centralizada suele estar en una instancia en la nube. Los puntos finales y las sucursales pueden utilizar dispositivos CPE dedicados o conectarse a una instancia en la nube que proporciona los mecanismos de seguridad. Los flujos de tráfico de la red se enrutan de manera óptima a su destino. La arquitectura basada en la nube puede ser más resistente cuando se enfrenta a ataques de denegación de servicio (DoS).
SASE proporciona mejores características de latencia de red que usar una VPN en un centro de datos corporativo, donde normalmente se ha implementado la seguridad. El tráfico que se ha protegido, ya sea a través de los dispositivos CPE o los sistemas de seguridad en la nube, se enruta directamente a su destino. El enrutamiento de trombón del tráfico hacia y desde un centro de datos solo para transitar los sistemas de seguridad ya no es necesario.
Los desafíos de SASE
Es posible que ahora se pregunte si hay desventajas en SASE, ya que simplemente suena demasiado bueno para ser verdad. Cada tecnología o marco tiene sus detractores y SASE no es una excepción.
Es probable que el mayor desafío sea un efecto secundario de la estrecha integración de las redes y la seguridad. Es posible que se requiera un cambio cultural significativo en organizaciones que tienen equipos de redes y seguridad independientes. Gartner recomienda que SASE sea impulsado por un ejecutivo de nivel CIO porque requerirá seguridad y redes para trabajar juntas.
Debe tenerse en cuenta que SASE es un principio rector o un marco, no un producto específico o una directiva de cumplimiento. Al igual que con cualquier tecnología, debe comprender sus capacidades, adaptarlas a sus requisitos y elegir proveedores según su análisis.