¿Qué es SASE? | Perímetro de servicio de acceso seguro

El perímetro de servicio de acceso seguro se refiere a un modelo de TI basado en la nube que combina los servicios de red y seguridad.

Share facebook icon linkedin icon twitter icon email icon

SASE

Objetivos de aprendizaje

Después de leer este artículo podrá:

  • Definir el perímetro de servicio de acceso seguro (SASE)
  • Conocer qué servicios incluye SASE
  • Saber cómo SASE difiere de la arquitectura de red convencional
  • Explorar las ventajas de adoptar un marco SASE

¿Qué es SASE?

El perímetro de servicio de acceso seguro es un modelo de seguridad basado en la nube que agrupa las redes definidas por software con funciones de seguridad de la red y las ofrece desde un único proveedor de servicios. El término «SASE» fue acuñado por Gartner, una firma mundial de investigación y asesoría, en 2019.

sase - perímetro de servicio de acceso seguro

SASE es una alternativa basada en la nube a la infraestructura de red convencional, tipo «hub-and-spoke» (red de estrella) utilizada para conectar a los usuarios en diversos lugares (spokes) a los recursos alojados en centros de datos centralizados (hubs). En un modelo de red tradicional, los datos y las aplicaciones se alojan en un centro de datos central. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al centro de datos desde dentro de una red privada localizada o desde una red secundaria que normalmente se conecta a la principal a través de una línea alquilada segura o VPN.

Si bien es simple en principio, un modelo de estrella no está bien equipado para abordar las complejidades derivadas de los servicios basados en la nube, tales como el Software como servicio (SaaS) y el aumento de la fuerza de trabajo distribuida. Cada vez más aplicaciones, cargas de trabajo y datos corporativos sensibles están optando por la nube, de ahí que las empresas se vean obligadas a replantearse cómo y dónde se inspecciona el tráfico de la red, así como la gestión de las políticas de acceso seguro de los usuarios. Ya no es práctico redirigir todo el tráfico a través de un centro de datos centralizado si la mayoría de las aplicaciones y los datos están alojados en la nube, ya que esto puede implicar una latencia innecesaria. Por otra parte, grandes grupos de usuarios remotos pueden experimentar una latencia significativa cuando se conectan a una red corporativa a través de una VPN, o bien se exponen a riesgos de seguridad adicionales cuando acceden a los recursos de la empresa a través de una conexión no segura.

Por el contrario, SASE coloca los controles de red en el perímetro de la nube, no en el centro de datos corporativo. En lugar de superponer servicios en la nube que requieren configuración y administración por separado, SASE optimiza los servicios de red y seguridad para crear un perímetro de la red seguro e ininterrumpido. La aplicación de políticas de acceso Zero Trust basadas en la identidad en la red de perímetro permite a las empresas ampliar su perímetro de red a cualquier usuario, sucursal, dispositivo o aplicación remota. A su vez, esto elimina la necesidad de emplear VPN y firewalls heredados y da a las empresas un control más detallado sobre sus políticas de seguridad de la red. Para ello, se crea un marco SASE sobre una red global única para acercar estos servicios integrados a los usuarios finales.

¿Por qué es necesario SASE?

Imagina un modelo de arquitectura de red convencional como un banco físico. Ahora imagina que Bob quiere comprobar el saldo de su cuenta antes de realizar el pago del alquiler. Para ello, deberá ir físicamente al banco y verificar su identidad con el cajero. Cada mes, tendrá que ir al banco para repetir este proceso, lo que le puede suponer mucho tiempo y esfuerzo, especialmente si vive lejos del banco.

Sería algo similar a la arquitectura de red centrada en el hardware, en la que las decisiones de seguridad y acceso se toman y se aplican en un centro de datos fijo, en las instalaciones, en lugar de hacerlo en la nube. Añadir servicios de nube a un modelo de arquitectura de red tradicional es como darle a Bob la opción de comprobar el saldo de su cuenta a través de una llamada de teléfono al banco. Es ligeramente más cómodo que ir al banco, pero tendrá que completar un proceso de verificación de identidad completamente diferente (en lugar de entregar su identificación, por ejemplo, se le puede exigir que facilite otra serie de información confidencial por teléfono para comprobar su identidad). El banco tendrá que gestionar estos procedimientos diferentes para mantener segura la información de las cuentas de sus clientes.

modelo de red de estrella

La infraestructura tradicional de red en estrella no está diseñada tomando en cuenta los servicios de la nube. Se basa en un perímetro de red seguro construido en torno a un centro de datos central, que solo es efectivo cuando el bloque de aplicaciones y datos de una empresa residen dentro de ese perímetro. A los equipos de TI les puede resultar difícil la gestión y la actualización de diversos servicios de seguridad y políticas de acceso.

SASE, por otro lado, es como una aplicación bancaria en el dispositivo móvil de Bob. En lugar de conducir hasta el banco para comprobar su cuenta o hacer una larga llamada telefónica, puede verificar digitalmente su identidad y acceder de inmediato al saldo de su cuenta desde cualquier parte del mundo. Y esto no solo aplica al caso de Bob, sino a todos los clientes que tiene el banco, sin importar dónde se encuentren.

modelo de red de estrella

SASE acerca los servicios de seguridad de la red y el control de acceso al usuario final al trasladar esos procesos clave a la nube, al tiempo que opera en una red global para minimizar la latencia.

¿Qué capacidades incluye SASE?

Paquetes de perímetro de servicio de acceso seguro: capacidades de red de área amplia definidas por software (SD-WAN) con una serie de funciones de seguridad de red, suministradas y gestionadas en una plataforma de nube única. La oferta de SASE incluye cuatro componentes básicos de seguridad:

  1. Puertas de acceso web seguras (SWG, por sus siglas en inglés): también conocida como puerta de acceso segura de Internet, una SWG previene las amenazas cibernéticas y las fugas de datos al filtrar el contenido no deseado del tráfico web mediante el bloqueo del comportamiento de usuarios no autorizados y la aplicación de las políticas de seguridad de la empresa. Las SWG pueden ser desplegadas en cualquier lugar, lo que hace que sean ideales para asegurar fuerzas de trabajo en remoto.
  2. Agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés): un CASB realiza varias funciones de seguridad para los servicios alojados en la nube: revelar la TI en la sombra (sistemas corporativos no autorizados), asegurar los datos confidenciales mediante el control de acceso y la prevención de pérdida de datos, asegurar el cumplimiento de las normas de privacidad de datos, entre otras.
  3. Acceso a la red de confianza cero (ZTNA, por sus siglas en inglés): las plataformas ZTNA bloquean los recursos internos a la vista del público y ayudan a defenderse contra posibles fugas de datos al exigir la verificación en tiempo real de cada usuario a cada aplicación protegida.
  4. Firewall como servicio (FWaaS, por sus siglas en inglés): FWaaS se refiere a los firewalls entregados desde la nube como un servicio. FWaaS protege las plataformas, la infraestructura y las aplicaciones basadas en la nube contra los ataques cibernéticos. A diferencia de los firewalls tradicionales, FWaaS no es un dispositivo físico, sino un conjunto de capacidades de seguridad que incluye el filtrado de URL, la prevención de intrusiones y la gestión uniforme de políticas en todo el tráfico de la red.

Según el proveedor y las necesidades de la empresa, estos componentes básicos pueden combinarse con cualquier cantidad de servicios de seguridad adicionales, desde la protección de aplicaciones web y API (WAAP) y el aislamiento del navegador remoto hasta el DNS recursivo, la protección de puntos de acceso Wi-Fi, la ofuscación/dispersión de la red, la protección del proceso perimetral, etc.

¿Cuáles son las ventajas de un marco SASE?

SASE ofrece varios beneficios en comparación con un modelo de seguridad de red tradicional basado en un centro de datos:

  • Aplicación y gestión racionalizadas. SASE combina soluciones de seguridad de un solo punto en un servicio basado en la nube, lo que libera a las empresas para que interactúen con menos proveedores e inviertan menos tiempo, dinero y recursos internos para configurar y realizar tareas de mantenimiento en la infraestructura física.
  • Gestión de políticas simplificada. En lugar de hacer malabares con múltiples políticas para soluciones independientes, SASE permite que las organizaciones establezcan, supervisen, ajusten y apliquen políticas de acceso en todas las ubicaciones, usuarios, dispositivos y aplicaciones desde un portal único.
  • Acceso a la red Zero Trust basado en la identidad. SASE se apoya en gran medida en un modelo de seguridad Zero Trust, que no concede al usuario acceso a las aplicaciones y datos hasta que su identidad haya sido verificada, incluso si ya se encuentran dentro del perímetro de una red privada. Al establecer las políticas de acceso, un enfoque SASE no solo tiene en cuenta la identidad de una entidad sino también factores como la ubicación del usuario, la hora del día, las normas de seguridad de la empresa, las políticas de cumplimiento y una evaluación continua del riesgo o confianza.
  • Enrutamiento optimizado para la latencia. Para las empresas que prestan servicios impactados por la latencia (por ejemplo, videoconferencias, transmisión en directo, juegos en línea, etc.), cualquier aumento significativo de la latencia es un problema. SASE ayuda a reducir la latencia al enrutar el tráfico de la red a través de una red de perímetro global en la que el tráfico se procesa lo más cerca posible del usuario. Las optimizaciones del enrutamiento pueden ayudar a determinar la ruta de red más rápida con base en la congestión de la red y otros factores.

Es importante que se tenga en cuenta que no todas las implementaciones de SASE se verán igual. Aunque pueden compartir algunas características básicas —políticas de acceso basadas en la identidad, servicios de seguridad de la red y una arquitectura centrada en la nube— también puede haber algunas diferencias notables con base en las necesidades de la organización. Por ejemplo, una implementación SASE puede optar por una arquitectura de tenencia única en lugar de una arquitectura de tenencia múltiple, incorporar el control de acceso a la red para IoT (Internet de las cosas) y los dispositivos del perímetro, ofrecer capacidades de seguridad adicionales, apoyarse en un mínimo de hardware o dispositivos virtuales para ofrecer soluciones de seguridad, etc.

¿Cómo ayuda Cloudflare en la adopción de SASE?

El modelo SASE de Cloudflare es aplicable tanto a Cloudflare para Infraestructura como a Cloudflare para Teams, ambos respaldados por una red global única que presta servicio a más de 25 millones de propiedades de Internet. Cloudflare tiene una arquitectura única para ofrecer una plataforma de red integrada y servicios de seguridad a través de cada una de sus 200+ ciudades distribuidas a nivel global, lo que elimina la necesidad de que las empresas compren y gestionen una colección compleja de soluciones puntuales en la nube.

Cloudflare para Infraestructura abarca la suite de servicios integrados de seguridad y rendimiento de Cloudflare, que aseguran, aceleran y garantizan la confiabilidad de cualquier entorno en las instalaciones, híbrido y en la nube. Una parte integral de Cloudflare para Infraestructura es Cloudflare Magic Transit, que protege la infraestructura de red frente a las amenazas DDoS y los ataques a la capa de la red, y trabaja en conjunto con el Web Application Firewall (WAF) de Cloudflare para defenderse contra el aprovechamiento de las vulnerabilidades. Magic Transit también utiliza la red global de Cloudflare para acelerar el tráfico de red legítimo, y lograr una latencia y un rendimiento óptimos. Obtén más información sobre Cloudflare Magic Transit.

Cloudflare para Teams protege los datos de la empresa de dos formas distintas: con Cloudflare Access, una solución de acceso a la red Zero Trust y Cloudflare Gateway, un servicio de filtrado del DNS y de seguridad de la red que protege contra amenazas como el malware y el phishing. Cloudflare Access elimina la necesidad de usar VPN heredadas y permite el acceso seguro basado en la identidad a aplicaciones y datos internos, sin importar dónde se encuentren los usuarios. Cloudflare Gateway protege los datos de los usuarios y de las empresas, ya que filtra y bloquea el contenido malicioso, identifica los dispositivos con riesgo y utiliza la tecnología de aislamiento del navegador para evitar que el código malicioso se ejecute en los dispositivos de los usuarios. Obtén más información sobre Cloudflare para Teams.