Perímetro de Servicio de Acceso Seguro o SASE
El Perímetro de Servicio de Acceso Seguro (Secure Access Service Edge), también conocido como SASE, es un modelo de arquitectura en la nube que agrupa las funciones de red y seguridad como servicio y las ofrece como un único servicio en la nube.
SASE permite a las organizaciones unificar sus herramientas de red y seguridad en una única consola de administración. Esto proporciona una herramienta simple de seguridad y redes que es independiente de dónde se encuentran los empleados y los recursos. SASE requiere poco o ningún hardware, y utiliza la conectividad generalizada de la tecnología en la nube para combinar SD-WAN con funciones de seguridad de red, que incluyen:
- firewall como servicio (FaaS)
- software como servicio (SaaS)
- gateways web seguros
- corredores de seguridad de acceso a la nube (CASB)
- acceso a la red de confianza cero
Con el aumento del número de trabajadores remotos y las organizaciones que utilizan cada vez más los servicios en la nube para ejecutar aplicaciones, SASE ofrece un producto SaaS conveniente, ágil, rentable y escalable para redes y seguridad.
Las organizaciones que buscan una red más avanzada y centrada en el usuario para las necesidades de gestión de red de su empresa se beneficiarían de conocer las arquitecturas SASE. Debido a la adopción de servicios en la nube, fuerzas de trabajo móviles y redes perimetrales, la transformación digital y en la nube está cambiando la forma en que las organizaciones consumen la seguridad de la red. En el pasado, las organizaciones consumían su seguridad a través de redes de hardware heredadas y una mentalidad de arquitectura de seguridad obsoleta.
¿Cómo funciona una arquitectura SASE?
Las plataformas SASE funcionan agrupando múltiples elementos, combinando SD-WAN con servicios de seguridad de red como FaaS, SaaS, puertas de enlace web seguras, agentes de seguridad de acceso a la nube, seguridad de punto final y acceso a la red de confianza cero. El resultado es una plataforma multiinquilino y multirregional para la seguridad que no se ve afectada por las ubicaciones de los empleados, centros de datos, servicios en la nube u oficinas locales.
SASE no depende de motores de inspección en centros de datos. En cambio, los motores de inspección SASE se llevan a un punto de presencia cercano (PoP). Un cliente SASE (como un dispositivo móvil con un agente SASE, un dispositivo de internet de las cosas, un dispositivo móvil con acceso sin cliente o un equipo de sucursal) enviará tráfico al PoP para su inspección y reenvío, ya sea a internet o a través de la arquitectura SASE central.
Los servicios de SASE tienen cuatro rasgos definitorios:
- Servicio global SD-WAN. SASE utiliza un servicio SD-WAN con una red troncal privada, que evita problemas de latencia de internet global y conecta los PoP individuales utilizados para el software de seguridad y redes. El tráfico rara vez toca internet, y solo lo hace para conectarse con la red troncal SASE global.
- Inspección distribuida y aplicación de políticas. Los servicios SASE no solo conectan dispositivos; los protegen. El cifrado y descifrado de tráfico en línea son apuestas de mesa. Los servicios SASE deben inspeccionar el tráfico con múltiples motores que operan en paralelo. Los motores de inspección incluyen escaneo de malware y sandboxing. SASE también debe proporcionar otros servicios, como protección basada en DNS y protección de denegación de servicio distribuida (DDoS). Las regulaciones locales, como el reglamento general de protección de datos (GDPR), deben ser aplicables en las políticas de enrutamiento y seguridad de SASE.
- Arquitectura de la nube. Los servicios SASE deben usar recursos y arquitecturas en la nube sin requisitos de hardware específicos, y no deben incluir el encadenamiento de servicios. El software debe ser multiinquilino por razones de precio y capaz de crear instancias para una rápida expansión.
- Impulsado por la identidad. Los servicios SASE tienen acceso en función de los marcadores de identidad del usuario, como el dispositivo y la ubicación específicos del usuario, en lugar del sitio.
Ventajas de usar una arquitectura SASE
Facilidad de uso. Existe una plataforma de administración que controla y aplica las políticas de seguridad de toda una organización, ofreciendo una simplificación operativa. Esta es una mejora importante para los equipos de TI, ya que les permite pasar de la seguridad centrada en el sitio a la seguridad centrada en el usuario.
Simplicidad general de la red. No hay necesidad de complejas y costosas líneas de conmutación de etiquetas multiprotocolo (MPLS) o infraestructura de red. Toda la infraestructura de red está adaptada para que sea simple, administrable y fácil de consumir, independientemente de dónde se encuentren los empleados, los centros de datos o los entornos en la nube.
Ofrece seguridad de red mejorada. La implementación efectiva de los servicios SASE puede proteger datos confidenciales y ayudar a mitigar una variedad de ataques, tales como intercepciones de intermediarios, suplantación de identidad y tráfico malicioso. Los servicios líderes de SASE también proporcionan cifrado seguro para todos los dispositivos remotos y aplican políticas de inspección más rigurosas para redes de acceso público (como Wi-Fi público). Los controles de privacidad también se pueden hacer cumplir mejor, enrutando el tráfico a PoP en regiones específicas.
Backbone y unificación de borde. SASE permite combinar una única red troncal con servicios perimetrales, como redes de entrega de contenido (CDN), agentes de seguridad de acceso a la nube (CASB), reemplazo de redes privadas virtuales (VPN) y redes perimetrales. SASE le permite a un proveedor ofrecer servicios en la nube, acceso a internet, servicios de centros de datos, redes y seguridad, todo a través de un solo servicio, como un esfuerzo conjunto entre los equipos de redes, seguridad, dispositivos móviles, desarrollo de aplicaciones y administración de sistemas.
Desventajas de usar una arquitectura SASE
Como el término SASE describe una tecnología emergente con enfoques variables, los inconvenientes aún no son específicos. En términos generales, los inconvenientes potenciales más importantes son que los equipos de TI pierden ciertos beneficios del multisourcing, como garantizar que se obtengan varios elementos de los mejores proveedores posibles para funciones individuales y diversificar el riesgo en las operaciones de los proveedores. Con la arquitectura SASE, los usuarios se arriesgan a un punto único de falla (SPOF) o exposición masiva, ya que SASE ofrece todas las funciones de red y seguridad juntas como un solo servicio, los problemas técnicos en el lado del proveedor pueden potencialmente provocar el cierre de todo el sistema para los usuarios finales.
Importancia de SASE
A medida que las organizaciones adoptan cada vez más los servicios en la nube, muchas están aprendiendo rápidamente que la seguridad de la red no es tan simple. La seguridad de red tradicional se basaba en la idea de que las organizaciones deberían enviar tráfico a las redes estáticas corporativas donde se ubicaban los servicios de seguridad necesarios. Este fue el modelo aceptado ya que la mayoría de los empleados trabajaban desde oficinas centradas en el sitio.
El concepto de redes centradas en el usuario ha cambiado la red tradicional que una vez conocimos. Durante la última década, ha habido un aumento en la cantidad de personas que trabajan de forma remota desde su hogar en todo el mundo. Como resultado, los dispositivos de seguridad estándar basados en hardware de los que dependían los administradores de red ya no son adecuados para asegurar el acceso remoto a la red.
SASE permite a las empresas considerar los servicios de seguridad sin estar dictados por la ubicación de los recursos de la empresa, con una gestión de políticas consolidada y unificada, basada en las identidades de los usuarios.
Esto cambia la pregunta de "¿Cuál es la política de seguridad para mi sitio o mi oficina en Nueva York?" a "¿Cuál es la política de seguridad del usuario?" Este cambio crea un cambio importante en la forma en que las empresas consumen la seguridad de la red, lo que les permite reemplazar de siete a 10 proveedores de seguridad diferentes con una sola plataforma.