Nuevas estrategias de arquitectura en redes empresariales, como es el caso del servicio perimetral de acceso seguro (SASE, por sus siglas en inglés), surgen a partir de la necesidad de adoptar un enfoque convergente.
La transformación digital de las organizaciones, el crecimiento explosivo del trabajo y los servicios en forma remota, así como la necesidad de elevar los estándares de seguridad de los datos en entornos de nube, son sus causas.
Nombres como el mismo SASE, Zero Trust, o el perímetro de servicio seguro (SSE) están en el lenguaje común de los operadores de infraestructuras IT.
Y lo más importante es que estas tecnologías de seguridad forman parte de las prioridades en materia de inversión al interior de las organizaciones.
SASE al igual que Zero Trust o SSE ayudan a las organizaciones a hacer frente a las ciberamenazas, fortalecer la seguridad y robustecer las redes unificadas.
Además, esta clase de marcos de trabajo cambian la manera de implementar y gestionar las redes corporativas.
De la mano con el planteamiento estratégico de seguridad por capas, conocido también como defensa en profundidad, se busca:
- Asegurar todos los posibles puntos de acceso a la red
- Disminuir la superficie de ataque
- Y simplificar la gestión integral de las redes, particularmente en la nube.
¿Qué es SASE?
SASE o Secure Access Service Edge (perímetro de servicio de acceso seguro), es una estrategia empresarial convergente que proporciona una solución de seguridad y redes unificadas.
Es un servicio basado en la nube que permite a las organizaciones gestión mejorada en términos de accesibilidad, eficiencia y ciberseguridad.
También se le define como una arquitectura de seguridad basada en la nube, concepto que por sí mismo justifica su adopción si tomamos como referencia que, de acuerdo con el estudio de IBM “Cost of a Data Breach Report” de 2023, el 45% de las brechas de seguridad están relacionadas con servicios en la nube.
La revolución de SASE en la ciberseguridad
Como respuesta ante la creciente demanda de las organizaciones para tener acceso confiable en un entorno cloud, surge el concepto de SASE, un enfoque transformador que Gartner introdujo en 2019 en uno de sus informes acerca de la nube como el lugar donde radicaría la seguridad de la red en el futuro.
Con SASE como marco de trabajo, Gartner también impulsa la implementación de la arquitectura Zero Trust para cualquier organización.
¿De dónde viene la necesidad de transformar los servicios desde la nube?
En forma esquemática, las organizaciones emplean más datos, dispositivos y aplicaciones, además de tener más usuarios.
Estos nuevos entornos de trabajo aceleran el crecimiento que principalmente reside en la nube, o bien migra hacia ella.
Esto se conoce como “crecimiento fuera de la empresa tradicional” donde el perímetro empresarial deja de ser una ubicación para convertirse en un “conjunto de capacidades perimetrales dinámicas”.
Estas capacidades están disponibles cuando se le necesita bajo el formato de un servicio desde la nube.
Tanto la seguridad como la gestión de riesgos son mucho más complejas en este escenario de perímetro dinámico.
Tienen más entornos, productos dispares y escasez de personal capacitado para la administración IT integral, con usuarios, dispositivos y datos creados y almacenados prácticamente en todas partes.
SASE, el marco conceptual adecuado para migrar a la nube
Ante esta visión que pareciera caótica, SASE resulta el marco conceptual adecuado para planear la migración de la infraestructura de red heredada o bien para implementar desde cero la infraestructura de red en la nube.
Se trata entonces de un marco integral para permitir la seguridad y rápida adopción de la nube.
La revolución de SASE hace posible, desde una sola plataforma en la nube, la combinación de funciones de seguridad de red con capacidades de conexión de red definidas por software.
Así las organizaciones tienen mejor control del tráfico y datos que entran y salen de su red interna, al mismo tiempo que los empleados o usuarios se autentifican y conectan en forma segura desde cualquier sitio a recursos internos.
SASE por medio de su componente de acceso seguro (secure access) gestiona la definición de políticas de seguridad Zero Trust para todos los dispositivos y aplicaciones de los usuarios.
También brinda seguridad para el tráfico de datos en oficina o sucursal, centros de datos y la nube.
Por su parte, el componente de perímetro de servicio (service edge) dirige todo el tráfico hacia los controles de acceso seguro.
Para una mejor comprensión de este marco, es necesario revisar otro concepto creado también por Gartner, que es el SSE, entendido como un subconjunto de la funcionalidad de SASE, pero dedicado puntualmente a capacidades de aplicación de seguridad.
Beneficios de aplicar SASE
Algunos de los beneficios que tiene la adopción de SASE en las organizaciones son:
- Los ahorros en costos y tiempo
- La eliminación de procesos complejos
- Y un esquema de acceso confiable por parte de los usuarios hacia las redes empresariales
- La optimización en tiempo real de las aplicaciones.
- La centralización de la gestión.
- La disponibilidad de acceso en forma remota y móvil en entornos más seguros.
Además de restringir accesos para usuarios, dispositivos y aplicaciones no seguras, todo lo cual da como resultado un mejor desempeño de los equipos de IT y de seguridad informática.
Componentes clave de SASE
Los elementos clave que conforman SASE son las funciones de seguridad, como es el caso del acceso Zero Trust a la red y el agente de seguridad de acceso a la nube (CASB).
En ambos casos se trata de qué es lo que tiene que hacer la plataforma de SASE.
Para complementar, se agregan las descripciones acerca de cómo llevar a cabo las funciones, con tres aspectos distintivos:
1. Acceso seguro
Acceso seguro, implica los procesos que monitorean y toman acciones sobre el tráfico, para mantener la seguridad de usuarios, aplicaciones, redes y datos.
2. Acceso directos a la red
Son las rutas que sigue el tráfico desde un punto de origen hasta uno de destino, luego de haber pasado por los filtros predeterminados, de acuerdo con las políticas establecidas para ello.
3. Perímetro de servicio en SASE
Es una red distribuida, ubicada lo más cerca posible de los usuarios y las aplicaciones en cualquier lugar del mundo.
Arquitectura. Cómo funciona SASE
En la arquitectura de red SASE, varios elementos resultan simplificados y se reduce el uso de dispositivos a cargo de la seguridad informática integral dentro de una organización.
Es una red única, basada en la nube, donde todo se conecta.
Seguridad en la nube
El sistema SASE, al ser nativo de nube y formar parte de un modelo descentralizado en la gestión de seguridad, también cumple con las normativas aplicables a la protección de servicios cloud.
Su capacidad para asegurar la protección de datos en la nube constituye su mayor utilidad.
Transformación de redes
SASE, al fusionar las redes y la seguridad, permite ofrecerlas como un servicio único, cohesionado.
Emplea todos los puntos de conexión de la red para detectar actividades sospechosas.
Al detectarlas, puede detenerlas antes de que accedan a la red, mejorando así su viabilidad operativa.
Servicios integrados
Con SASE, se aplica una gestión de servicios integrados, a los que se tiene acceso en aquellos lugares donde se ubican geográficamente los usuarios.
Una vez autenticados, acceden directamente a los servicios que requieren.
Existe también la flexibilidad de agregar recursos adicionales para satisfacer los picos de demanda y retirarlos cuando ésta disminuye.
Computación en el borde (edge computing)
Este elemento es parte esencial de SASE.
Acercar el procesamiento de datos al sitio donde se originan los mismos (es decir, procesarlos en el borde), reduce la latencia, mejora el desempeño de la red y los parámetros de seguridad.
Características de la arquitectura SASE
Se dice que la arquitectura SASE brinda muchas ventajas, gracias a que responde puntualmente a las necesidades de agilidad y rapidez del mundo digital.
Las actividades a distancia: trabajo, educación, entrenamiento, investigación o las altamente dependientes de tecnologías están cada vez más influidas por big data, cómputo en la nube o inteligencia artificial (AI, por sus siglas en inglés).
Este entorno obliga a buscar infraestructuras de redes, así como de seguridad empresarial más robustas, dinámicas y avanzadas, que es precisamente lo que SASE garantiza.
La reducción en el uso de dispositivos a cargo de la seguridad informática integral es una de las características sobresalientes de la arquitectura SASE.
Además, SASE brinda la posibilidad de una red única donde todo está conectado, utilizando las capacidades de adaptación, versatilidad, mantenimiento y auto reparación automatizados.
Protege la totalidad de recursos informáticos de la organización, incluidos los equipos físicos, la información en la nube o los dispositivos móviles.
Potenciar la infraestructura de red con SASE
Son cinco las tecnologías que hacen posible el funcionamiento de SASE.
SASE en sí misma no es otra tecnología, sino la conjugación de cinco servicios diferentes unidos a la manera de una solución, que es habilitada por uno o por múltiples proveedores.
Dichas tecnologías son: SWG, CASB, ZTNA, SD-WAN y FWaaS:
SWG
SWG (Secure Web Gateway, o puerta segura de acceso web) conecta y asegura a los empleados remotos a sus servicios SASE, de nube o de internet.
De acuerdo con la visión de Gartner, aquí debiera incluirse filtrado de URL, identificación y control de aplicaciones, así como detección y bloqueo de códigos maliciosos.
CASB
CASB (Cloud Access Security Broker, o agente de seguridad de acceso a la nube).
Es la tecnología que proporciona control de acceso y seguridad en el caso de aplicaciones de software como servicio, tales como Salesforce o bien, como Office 365.
ZTNA
Por su parte, la conexión de confianza cero entre los usuarios y los recursos privados de un centro de datos o una red corporativa, se hace mediante ZTNA (Zero Trust Network Access, o acceso de confianza cero a la red).
SD-WAN
En cuarto lugar, SD-WAN (Software-Defined Wide Area Network, o red de área amplia definida por software).
Permite la gestión y control centralizados de todos los componentes de hardware por medio de software.
FWaaS
Por último, FWaaS (Firewall as a Service) que es conocido también como firewall en la nube.
Se encarga de filtrar el tráfico potencialmente dañino, sin necesidad de hardware físico dentro de la red.
Las cinco tecnologías que hacen funcionar SASE
El funcionamiento de SASE puede explicarse como si fuera un diagrama de flujo:
ZTNA entra en juego para la autenticación y autorización del usuario que busca acceder a recursos empresariales, siguiendo políticas de seguridad preestablecidas.
Cada requerimiento de acceso, sin importar ubicación o dispositivo, es verificado.
Con la autorización de la solicitud, el control queda en manos de la función SD-WAN que enruta el tráfico de manera inteligente a través de la red.
Para ello emplea conexiones eficientes y seguras, sobre redes privadas o públicas.
La seguridad en las redes y en la nube es responsabilidad del componente SWG que monitorea el tráfico, pone en práctica políticas de seguridad, gestiona el mejor uso de los recursos en línea, así como bloquea posibles ataques de malware.
Funcionamiento de SASE en la nube
Si los usuarios acceden a recursos en la nube, la protección de aplicaciones le corresponde al componente CASB que gestiona el cumplimiento normativo y protege datos confidenciales.
Cuando el tráfico se acerca a la red corporativa o bien, a recursos internos, participa el componente FWaaS a manera de firewall para supervisar y controlar el tráfico, aplicando los esquemas de seguridad en puntos de acceso.
Implementación de SASE en un ambiente empresarial
Una solución SASE exitosa requiere de un complejo y detallado trabajo de preparación de la infraestructura IT en una organización.
Este trabajo implica tanto la implementación de una red perimetral global y robusta, como la consolidación de múltiples tecnologías de seguridad en un modelo nativo en la nube.
Cuatro aspectos a considerar para implementar SASE
Se consideran cuatro aspectos principales a la hora de preparar la infraestructura necesaria para la implementación de SASE.
Adopción de una arquitectura basada en la nube
El comienzo está en la adopción de una arquitectura basada en la nube, con capacidad para brindar servicios de seguridad continuos, orientados a la reducción de riesgos.
Integración de servicios de seguridad
En segundo lugar, está la integración de servicios de seguridad considerados como esenciales.
Esto implica múltiples servicios de seguridad en un solo paquete o, dicho de otra manera, consolidar múltiples tecnologías de seguridad en un entorno simplificado.
Utilizar una red perimetral global
Luego está la necesidad de utilizar una red perimetral global, en la nube, que reduzca la latencia y mejore el desempeño de los controles de seguridad.
Métodos de acceso remoto
Por último, poner énfasis en la indispensable evolución de los métodos de acceso remoto.
Se requiere de soluciones seguras y escalables, distintas de las tradicionales VPN (virtual private network) con sus costos y riesgos asociados, que permitan a los usuarios acceso confiable a centros de datos y aplicaciones privadas, sin importar su ubicación.
En suma, con una solución SASE es posible brindar acceso a nivel de aplicaciones privadas, siguiendo los principios de confianza cero.
Esto requiere para los usuarios el cumplimiento de requisitos de autenticación, así como de verificación del comportamiento de sus dispositivos, previo a la autorización para acceder a ciertas aplicaciones privadas.
Evaluación de requisitos
Integrar el plan de implementación, considerando entre otros los siguientes elementos:
- Determinar el perímetro que se abordará con SASE
- Establecer qué usuarios y aplicaciones estarán incluidas
- Clasificar aplicaciones y servicios
- Optimizar conectividad
Selección de proveedores
Akamai, Barracuda Networks, Cisco Umbrella, Cato Networks, Forcepoint, Netskope, Zscaler son algunos de los proveedores que ofrecen soluciones SASE.
Cada organización debe valorar sus necesidades, la situación de sus redes y quiénes le ofrecen las alternativas más alineadas con sus requerimientos.
Estrategias de migración
Uno de los desafíos a considerar es la asignación de prioridades que acompaña una estrategia de migración.
Así como la integración de los equipos humanos que no solo están operativos en sus áreas habituales, sino que deben trabajar colaborando con otras áreas para una migración exitosa.
Consideraciones de seguridad
Imprescindible ZTNA para garantizar que todos los usuarios y dispositivos sean autenticados y autorizados antes de acceder a cualquier recurso de la red.
Casos de uso SASE
Si bien es cierto que el uso cada vez más extendido de recursos tecnológicos basados en la nube ha sido muy favorable, es igualmente cierto que las líneas de negocio se van aislando en la misma medida que se estandarizan entornos de nube separados.
Esto hace cada vez más compleja la gestión y operación de recursos a cargo de los administradores de IT.
Desde esta perspectiva es que se adopta SASE, para dotar de mayor agilidad operativa a estos entornos, aprovechando también su escalabilidad.
Seguridad a usuarios o sucursales remotas con SASE
El caso de uso tal vez más representativo es el de los usuarios remotos o a distancia, junto con las oficinas y sucursales remotas, que coinciden con necesidades similares.
En algunos casos requieren interacción mediante videoconferencias, en otras, acceso sin falla a información confidencial, algunos más buscan las aplicaciones basadas en la nube.
Todos precisan de conectividad, seguridad y alta disponibilidad de la red.
Seguridad con SASE de recursos en la nube
Otro caso de uso muy recurrente corresponde a la adopción y migración a la nube.
El marco unificado de SASE brinda la posibilidad de acelerar los procesos de migración bajo un entorno de seguridad, siguiendo las políticas predefinidas en cada organización.
Futuro
Con SASE, al combinar en una sola plataforma servicios de redes y seguridad, las organizaciones tienen una visión más completa e integral de su situación y se les facilita tanto la identificación como la respuesta ante ciberamenazas.
Además, gracias a que los servicios SASE están basados en la nube, las organizaciones se benefician de las últimas actualizaciones e innovaciones de seguridad.
Y las organizaciones tienen ganancia adicional de no tener que invertir nuevamente en hardware o software.
SASE y Zero Trust funcionan en forma combinada para el resguardo de datos, aplicaciones y políticas de red, con lo que se logra reducir vulnerabilidades.
La acción combinada ofrece una solución de seguridad optimizada, que reduce la superficie de ataque y habilita un perímetro de seguridad robusto.
Tecnologías Emergentes
Con la implementación de SASE hay retos también en cuanto a garantizar los controles de seguridad, privacidad de datos, así como el cumplimiento de las regulaciones de la industria.
SASE se inserta en el segmento de las soluciones y tecnologías convergentes que están transformando la manera en la que las organizaciones gestionan la seguridad.
Con SASE pueden tener una mejor protección de redes y datos, en medio de entornos altamente demandantes, con una mezcla de dispositivos, usuarios, centros de datos, sucursales, oficinas y nubes geográficamente dispersos.
SASE, un mercado en expansión
De acuerdo con Dell’Oro Group, en un informe de agosto de 2023, el gasto acumulado de las empresas en soluciones SASE etiquetadas como de un solo proveedor, se estimaba en $34,000 millones de dólares para el periodo 2022 a 2027.
Sin embargo, para el cierre de 2023 reporta un sorprendente brinco del 31% de crecimiento, que la firma explica cómo la respuesta lógica ante la creciente necesidad de soluciones seguras para el trabajo remoto y en la nube.
Desde otra perspectiva, la firma Markets and Markets hace una proyección del valor de mercado SASE partiendo de una cifra estimada en $1,900 millones de dólares en 2023, hasta alcanzar los $5,900 millones de dólares en 2028, esto es una tasa de crecimiento anual compuesto (CAGR) del 25%.
Adopción de SASE en la Industria
Adoptar SASE es una recomendación que se repite con frecuencia ante la necesidad de las organizaciones para contar con una infraestructura de red más ágil, al mismo tiempo que escalable y segura.
También que responda a las demandas crecientes de computación en la nube, trabajo remoto y transformación digital.
Desafíos potenciales para implementar SASE
Al tratarse de un concepto relativamente nuevo, la evaluación cuidadosa de los proveedores de SASE y sus características, es una tarea prioritaria para las organizaciones.
En una primera etapa, es posible que las organizaciones no identifiquen plenamente la mezcla de servicios y componentes tecnológicos que requieren de una solución SASE.
Y que las organizaciones se enfrenten a un proceso de prueba y error, con implicaciones en costos y tiempo.
Ya con la solución en marcha, las complejidades de la migración incluyen temas de compatibilidad con la infraestructura existente, así como la integración con los sistemas en uso.
En cuanto al rendimiento de la red, los desafíos incluyen:
- Su optimización
- El impacto del enrutamiento del tráfico
- Latencia
- Requisitos de ancho de banda
- Y el desempeño de los servicios de seguridad basados en la nube.
Conclusiones
La continua evolución tecnológica modifica enfoques y formas de trabajo en las organizaciones de todo tamaño.
Así que la interdependencia entre la gestión corporativa, la implementación de plataformas y arquitecturas de IT cada vez más complejas y los modelos de negocio, van empujando hacia la adopción de soluciones convergentes.
Es precisamente bajo este supuesto que SASE se presenta como la gran oportunidad para resolver problemas asociados a la ciberseguridad.
Hoy en día, la ciberseguridad es una de las preocupaciones más importantes en todos los ámbitos.
De hecho, hay analistas que afirman que el mayor motor para considerar SASE es tenerla como la respuesta de primera elección ante las ciberamenazas.