Nuevo marco para la seguridad de la red

Cómo garantizar la conexión de las redes distribuidas modernas

Internet se diseñó como una inmensa red distribuida. Por ello, es resiliente por naturaleza, lo que permite a los ordenadores, servidores y otros dispositivos conectarse y enrutar los datos en función de las necesidades. Cuando un solo dispositivo (o grupo de dispositivos) falla o se desconecta de Internet, el impacto en el funcionamiento del resto de la red suele ser insignificante.

A pesar de su resiliencia innata, Internet no se diseñó de manera que pudiera garantizar conexiones rápidas o disponibles. También carecía de un marco de seguridad, por lo que no estaba preparada para proteger los dispositivos de la interceptación de datos, la actividad malintencionada y otros ciberataques.

Como resultado, la infraestructura de red tradicional seguía el enfoque de "castillo y foso" (también conocido como "seguridad perimetral”), en el que las aplicaciones y los datos se guardaban en centros de datos centralizados ubicados en entornos locales ("castillos") que podían defenderse de las amenazas externas con una compleja configuración de firewalls de hardware, dispositivos DDoS y otros dispositivos de seguridad ("fosos"). Los usuarios autorizados accedían a la red a través de las VPN, que funcionaban como el puente levadizo que unía el foso.

Este modelo de red perimetral permitía a las organizaciones proteger sus redes a un nivel básico, pero distaba mucho de ser perfecto. Planteaba varios obstáculos que debían superar, tales como:

  • Configuración y mantenimiento complejos: la configuración de los dispositivos de seguridad locales era cara, así como su actualización frente a nuevas amenazas, lo que obligaba a los equipos de seguridad a esforzarse en sobreponerse a esta desventaja cuando los atacantes encontraban nuevas formas de aprovechar las vulnerabilidades de los sistemas existentes.

  • Problemas de rendimiento: los usuarios que necesitaban conectarse a redes privadas de forma remota solían hacerlo a través de una VPN, a pesar de la ralentización del rendimiento que experimentaban debido a los servidores distantes desde el punto de vista geográfico y a los problemas de saturación.

  • Vulnerabilidades de seguridad: cualquiera que traspasara el perímetro de la red obtenía un acceso ilimitado a los recursos de la empresa, lo que dificultaba la prevención de amenazas de fugas de datos internas y externas.

Para muchas empresas, la misión de simplificar y reforzar la infraestructura de red heredada era necesaria pero complicada, y la transformación digital lo dificultó aún más.

La nube ofrece más flexibilidad, pero conlleva más problemas

La transformación del panorama técnico ha dificultado cada vez más la seguridad de la red. Los proveedores de soluciones SaaS y de nubes públicas permitieron a las organizaciones alejar sus aplicaciones y datos de los centros de datos locales, mientras que los teléfonos inteligentes y otros dispositivos móviles permitieron a los empleados conectarse cada vez más a las redes desde ubicaciones remotas.

La adopción de servicios en la nube ayudó a descentralizar los centros de datos locales, lo que brindó a las organizaciones más flexibilidad y agilidad que nunca. Sin embargo, con ello, los recursos corporativos confidenciales dejaron de alojarse en un único "castillo" y pasaron a distribuirse en varias ubicaciones, lo que dificultaba el establecimiento de un perímetro de seguridad unificado.

Proteger este tipo de entorno híbrido resultó más difícil de lo esperado. Las organizaciones tuvieron que adoptar soluciones de seguridad individuales para las aplicaciones y los datos locales y alojados en la nube, al tiempo que debían garantizar que los usuarios pudieran acceder de forma segura y cómoda a los recursos de la red desde cualquier lugar.

Como resultado, las organizaciones se vieron obligadas a configurar y mantener un complejo mosaico de soluciones de seguridad específicas, la mayoría de las cuales no estaban diseñadas para integrarse de forma eficaz. Esta práctica planteaba una serie de desafíos adicionales para los equipos de seguridad:

  • Pérdida de recursos internos: la protección de un entorno híbrido suele ser un trabajo complicado que exige mucho tiempo a los equipos de seguridad. Dado que los equipos locales no pueden proteger las aplicaciones y servicios en la nube, las empresas necesitan sistemas de seguridad independientes para salvaguardar todas las herramientas y recursos internos, lo que implica costes, tiempo y trabajo adicionales.

  • Varios proveedores: la seguridad de red basada en la nube tiene muchos componentes móviles, tales como firewalls de nube, puertas de enlace web seguras (SWG), agentes de seguridad de acceso a la nube (CASB), entre otros, de ahí que encontrar un proveedor que ofrezca todos los servicios de seguridad pueda ser un desafío. Para la mayoría de las empresas, la adquisición de servicios de varios proveedores es una parte necesaria de la protección de un entorno híbrido, aunque hacerlo puede conllevar costes y complejidades adicionales.

  • Fugas de seguridad: cuando se trabaja con varios proveedores de seguridad, puede ser difícil garantizar que cada punto de la red esté totalmente protegido, sin fugas de seguridad constantes, sobre todo porque no hay un "panel único" desde el que se pueda supervisar y mantener la infraestructura de seguridad de la red. Además, la naturaleza del teletrabajo significa que los usuarios suelen utilizar dispositivos personales para conectarse a las redes corporativas, lo que entraña riesgos de seguridad adicionales.

El modelo de seguridad perimetral que antaño facilitaba la configuración, la seguridad y el mantenimiento de las redes corporativas ya no es compatible con los actuales entornos híbridos distribuidos y basados en la nube. Esta transición ya se estaba produciendo, pero el año 2020 ha obligado a acelerar este proceso. Los usuarios están más descentralizados, trabajan en remoto como nunca antes y se han acostumbrado a acceder a los recursos corporativos a través de una serie de dispositivos personales. Las empresas son cada vez más conscientes de la necesidad de incorporar a los empleados, los servidores y las aplicaciones en Internet en lugar de en el castillo.

Nuevo marco para la seguridad de la red

A medida que los modelos de seguridad de red obsoletos eran incapaces de seguir el ritmo de las nuevas amenazas y aumentaba la complejidad de la arquitectura de la red moderna, las organizaciones iniciaron el cambio hacia un nuevo modelo de seguridad basado en la nube: el perímetro de servicio de acceso seguro, o SASE.

El término SASE , acuñado por primera vez por Gartner en 2019, combina la red de área amplia definida por software con los servicios de seguridad de la red principal, incluidas las puertas de enlace web seguras (SWG), los agentes de seguridad de acceso a la nube (CASB), los firewalls de nube (FWaaS) y las políticas de acceso a la red Zero Trust (ZTNA), y los entrega en el perímetro de la red.

En lugar de depender de hardware ineficaz o parchear servicios de seguridad aislados, SASE ofrece un enfoque simplificado a la seguridad de la red. Sustituye la complicada red de retorno por el perímetro de Internet, lo que permite a las organizaciones enrutar, inspeccionar y proteger el tráfico en un único paso. SASE lleva más allá el concepto de la seguridad Zero Trust, que parte de la idea de autenticar siempre a cada usuario de cada aplicación. Junto con las políticas de acceso Zero Trust y la protección contra amenazas a nivel de red, SASE elimina la necesidad de VPN heredadas, firewalls de hardware y dispositivos de protección contra DDoS, lo que permite a las organizaciones consolidar los servicios de seguridad de la red y otorga a los equipos de seguridad más visibilidad y control sobre sus configuraciones de seguridad de la red.

En la práctica, la implementación de SASE puede variar considerablemente entre proveedores y organizaciones. La mayoría de las soluciones SASE, sin embargo, comparten varias ventajas fundamentales sobre las configuraciones de seguridad de las redes locales e híbridas:

  • Consolidación de proveedores: en lugar de tratar de compatibilizar varios proveedores y soluciones específicas, las organizaciones pueden recibir una protección de red completa de un único proveedor de SASE, eliminando así los costes innecesarios y la compleja configuración entre servicios.

  • Perímetro de seguridad unificado: al ofrecer estos servicios en el perímetro de la red, es decir, una red global de servidores y dispositivos que están geográficamente cerca del usuario final, SASE permite a las empresas proteger sus aplicaciones, datos y usuarios desde cualquier lugar del mundo.

  • Mejor visibilidad: al consolidar los servicios de red y seguridad de red y ofrecerlos desde una única plataforma basada en la nube, SASE elimina las fugas de seguridad entre servicios, ofrece a los equipos informáticos y de seguridad una mayor visibilidad de la actividad de la red y simplifica el proceso de migración a la nube.

SASE promete redoblar la seguridad de la red permitiendo a los servicios de red y de seguridad aislados fusionarse en una única plataforma basada en la nube que se ofrece como un servicio.

Este enfoque, cuando se implementa correctamente, permite a las empresas garantizar que sus redes corporativas sigan siendo globales, distribuidas y estén siempre conectadas, sin que se produzcan fallos en la seguridad o el rendimiento.

Cloudflare ha creado Cloudflare One para satisfacer las necesidades actuales de las empresas. Una solución integral de red como servicio basada en la nube que sustituye un mosaico de dispositivos y tecnologías WAN por una única red que ofrece seguridad, rendimiento y control a través de una interfaz de usuario. Dado que la red es el denominador común de todas las aplicaciones, incorporar control en la red Cloudflare One garantiza políticas coherentes tanto si una aplicación es nueva como si es heredada, e independiente de que se ejecute en las instalaciones o en la nube, o se entregue desde tu infraestructura o desde un proveedor de SaaS multiinquilino. Gracias a la enorme presencia global de Cloudflare, el tráfico se protege, enruta y filtra a través de una red troncal optimizada que utiliza la inteligencia de Internet en tiempo real para protegerse de las últimas amenazas y enrutar el tráfico para evitar dificultades e interrupciones de Internet.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Los obstáculos asociados al enfoque de seguridad perimetral

  • La complejidad que conlleva la nube

  • Las principales ventajas de SASE

  • La promesa de SASE

Recursos relacionados


Más información sobre este tema

Para obtener más información sobre SASE, el marco para la seguridad de la red más reciente, descarga la guía para proteger y optimizar tu infraestructura de red.

Get the guide

Receive a monthly recap of the most popular Internet insights!