¿Qué es la arquitectura SASE? | Borde de servicio de acceso seguro

La arquitectura de borde de servicio de acceso seguro (SASE) es un modelo de TI que combina servicios de seguridad y de red en una plataforma en la nube.

Objetivos de aprendizaje

Después de leer este artículo podrás:

  • Definir el modelo de borde de servicio de acceso seguro (SASE)
  • Conoce los componentes arquitectónicos de SASE
  • Explora las ventajas y los casos de uso del SASE
  • Comprende cómo se relaciona el SASE con la seguridad de la ESS y Zero Trust

Contenido relacionado


¿Quieres saber más?

Suscríbase a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar enlace del artículo

¿Qué es SASE?

Secure Access Service Edge, o SASE (pronunciado "sassy") es un modelo arquitectónico que hace converger la conectividad de red con las funciones de seguridad de red, y las ofrece a través de una única plataforma en la nube y/o un control de políticas centralizado.

A medida que las organizaciones migran cada vez más aplicaciones y datos a la nube, se ha vuelto más complejo y arriesgado gestionar la seguridad de la red con un enfoque "de castillo y zanja" tradicional. A diferencia del enfoque de red tradicional, SASE unifica la seguridad y la red en una plataforma en la nube y un plano de control para una visibilidad, controles y experiencias coherentes desde cualquier usuario a cualquier aplicación.

De este modo, SASE crea una nueva red corporativa unificada basada en servicios en la nube que funcionan a través de Internet, lo que permite a las organizaciones prescindir de muchas capas arquitectónicas y soluciones puntuales.

La arquitectura SASE combina la seguridad y los servicios de red de Zero Trust

¿Cómo se compara el SASE con las redes tradicionales?

En un modelo de red tradicional, los datos y las aplicaciones se alojan en un centro de datos central. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al centro de datos desde dentro de una red privada localizada o desde una red secundaria que normalmente se conecta a la principal a través de una línea alquilada segura o VPN.

Sin embargo, este modelo está mal equipado para manejar las complejidades introducidas por los nuevos servicios basados en la nube y el aumento de las plantillas distribuidas. No es práctico, por ejemplo, redirigir todo el tráfico a través de un centro de datos centralizado si una organización aloja la aplicación SaaS y los datos en la nube.

En cambio, SASE sitúa los controles de red en el borde de la nube, no en el centro de datos corporativo. En lugar de estratificar los servicios que requieren una configuración y gestión separadas, SASE hace converger los servicios de red y seguridad utilizando un único plano de control. Implementa políticas de seguridad Zero Trust basadas en identidades en la red periférica, lo que permite a las empresas ampliar el acceso a la red a cualquier usuario remoto, sucursal, dispositivo o aplicación.

¿Qué capacidades ofrece SASE?

Las plataformas SASE combinan las capacidades de Red como servicio (NaaS) con una serie de funciones de seguridad gestionadas desde una interfaz y suministradas desde un plano de control.

Estos servicios incluyen:

  • Servicios de red que simplifican la conectividad, como red de área extensa definida por software (SD-WAN) o WAN-as-a-service (WANaaS), para conectar diversas redes en una única red corporativa.
  • Los servicios de seguridad aplicados al tráfico que entra y sale de la red para ayudar a proteger el acceso de usuarios y dispositivos , defenderse de amenazas y proteger datos sensibles.
  • Servicios operativos que proporcionan capacidades para toda la plataforma, como la supervisión de la red y el registro
  • Un motor de políticas que sustenta todos los atributos contextuales y reglas de seguridad, y luego aplica esas políticas en todos los servicios conectados

Al fusionar estos servicios en una arquitectura unificada, SASE simplifica la infraestructura de red.

¿Cuáles son los componentes tecnológicos de una plataforma SASE ?

Dado que el borde de servicio de acceso seguro implica la convergencia de una serie de servicios tradicionalmente dispares, las organizaciones pueden avanzar hacia una arquitectura SASE progresivamente, en lugar de todo a la vez. Las organizaciones pueden implantar primero los componentes de que satisfagan sus casos de uso de mayor prioridad, antes de trasladar todos los servicios de red y seguridad a una única plataforma.

Las plataformas SASE suelen incluir los siguientes componentes tecnológicos:

  • Acceso a la red Zero Trust (ZTNA): el modelo de seguridad Zero Trust asume que las amenazas están presentes tanto dentro como fuera de una red; por lo tanto, se requiere una verificación contextual estricta cada vez que una persona, aplicación o dispositivo intenta acceder a los recursos de una red corporativa. El acceso a la red Zero Trust (ZTNA) es la tecnología que hace posible el enfoque Zero Trust: establece conexiones uno a uno entre los usuarios y los recursos que necesitan, y requiere la reverificación y recreación periódicas de esas conexiones.
  • Pasarela web segura (SWG): una (SWG) impide las ciberamenazas y protege los datos filtrando el contenido no deseado del tráfico web y bloqueando el comportamiento arriesgado o no autorizado de los usuarios en línea. Las SWG pueden desplegarse en cualquier lugar, lo que las hace ideales para asegurar el trabajo híbrido.
  • Agente de seguridad de acceso a la nube (CASB): utilizar la nube y la aplicación SaaS hace más difícil garantizar que los datos permanezcan privados y seguros. Un CASB es una solución a este reto: proporciona controles de seguridad de los datos sobre (y visibilidad de) los servicios y la aplicación alojados en la nube de una organización.
  • WAN definida por software (SD-WAN) o WANaaS: en una arquitectura SASE, las organizaciones adoptan SD-WAN o WAN como servicio (WANaaS) para conectar y escalar operaciones (por ejemplo, oficinas, tiendas minoristas, centro de datos) a través de grandes distancias. SD-WAN y WANaaS utilizan enfoques diferentes:
    • La tecnología SD-WAN utiliza software en las sedes de las empresas y un controlador centralizado para superar algunas de las limitaciones de las arquitecturas WAN tradicionales, simplificando las operaciones y las decisiones de dirección del tráfico .
    • WANaaS se basa en las ventajas de SD-WAN adoptando un enfoque de "sucursal ligera, nube pesada" que despliega el hardware mínimo necesario dentro de las ubicaciones físicas y utiliza la conectividad a Internet de bajo coste para llegar a la ubicación de "borde de servicio" más cercana. Esto puede reducir los costes totales, ofrecer una seguridad más integrada, mejorar el rendimiento de la milla intermedia y servir mejor a la infraestructura de la nube.
  • Firewall de nueva generación (NGFW): un NGFW inspecciona los datos a un nivel más profundo que un Firewall tradicional. Por ejemplo, los NGFW pueden ofrecer conocimiento y control de la aplicación, prevención de intrusiones e información sobre amenazas, lo que les permite identificar y bloquear amenazas que pueden estar ocultas en el tráfico de apariencia normal. Los NGFW que pueden desplegarse en la nube se denominan Firewall en la nube o Firewall-as-a-service(FWaaS).

Dependiendo de las capacidades del proveedor, los componentes SASE anteriores también pueden incluir seguridad del correo electrónico en la nube, aplicación web y protección de la API (WAAP), seguridad DNS y/o capacidades de borde de servicio de seguridad (SSE), tal y como se describen más adelante.

¿Cuáles son las principales ventajas del SASE?

SASE ofrece varios beneficios en comparación con un modelo de seguridad de red tradicional basado en un centro de datos:

Reducción del riesgo mediante los principios de Zero Trust: SASE se basa en gran medida en el modelo de seguridad Zero Trust, que no concede a un usuario acceso a aplicaciones y a los datos hasta que se haya verificado su identidad, —aunque ya se encuentre dentro del perímetro de una red privada. Al establecer las políticas de acceso, un enfoque SASE tiene en cuenta algo más que la identidad de una entidad ; también puede considerar factores como la geolocalización, la postura del dispositivo, las normas de seguridad de la empresa y una evaluación continua del riesgo/confianza .

Reducción de costes mediante la consolidación de plataformas: SASE hace converger las soluciones de seguridad de un solo punto en un servicio basado en la nube, lo que libera a las empresas para interactuar con menos proveedores y gastar menos tiempo, dinero y recursos internos intentando forzar la integración de productos dispares.

Eficiencia y agilidad operativas: en lugar de hacer malabarismos con soluciones puntuales que no fueron diseñadas para trabajar juntas, SASE permite a las organizaciones establecer, ajustar y aplicar políticas de seguridad en todas las ubicaciones, usuarios, dispositivos y aplicaciones desde una única interfaz. Los equipos informáticos pueden solucionar los problemas con más eficacia y dedicar menos tiempo a resolver cuestiones sencillas.

Experiencia del usuario mejorada para el trabajo híbrido: las optimizaciones inteligentes de red pueden ayudar a determinar la ruta de red más rápida en función de la congestión de la red y otros factores. SASE ayuda a reducir la latencia del usuario final mediante un tráfico inteligente seguro a través de una red de borde global en la que el tráfico se procesa lo más cerca posible del usuario.

¿Cuáles son los casos de uso habituales del SASE?

Aumentar o sustituir las VPN para un acceso seguro modernizado

Un motivo común para pasar a una arquitectura SASE es mejorar el acceso a los recursos y la conectividad. El enrutamiento y el procesamiento del tráfico de red a través de una red global en la nube lo más cerca posible del usuario -en lugar de a través de VPNs - reduce la fricción del usuario final, a la vez que elimina el riesgo del movimiento lateral.

Simplificar el acceso de contratistas (terceros)

El servicio de acceso seguro Edge amplía el acceso seguro más allá de los empleados internos, a terceros como contratistas, socios de y otros trabajadores temporales o independientes. Con el acceso basado en recursos, las organizaciones mitigan el riesgo de sobreaprovisionando a los contratistas.

Defensa contra amenazas para oficinas distribuidas y trabajadores remotos

SASE permite a las organizaciones aplicar políticas de seguridad informática coherentes a todos los usuarios, independientemente de su ubicación. Al filtrar e inspeccionar todo el tráfico de red saliente y entrante, SASE puede ayudar a prevenir amenazas como ataques basados en malware, phishing multicanal (ataques que abarcan múltiples canales de comunicación ), amenazas internas, exfiltración de datos, y más.

Protección de datos para el cumplimiento de la normativa

Puesto que SASE proporciona visibilidad sobre cada solicitud de red, las organizaciones pueden aplicar políticas a los datos en cada solicitud. Estas políticas ayudan a garantizar el cumplimiento de las leyes de privacidad de datos que exigen a las organizaciones procesar los datos sensibles de determinadas formas.

Simplifica la conectividad de las filiales

Una arquitectura SASE puede ayudar a aumentar o sustituir un mosaico de circuitos de conmutación de etiquetas multiprotocolo (MPLS) y dispositivos de red para encaminar más fácilmente el tráfico entre sucursales, y facilitar la conectividad entre ubicaciones.

¿En qué se diferencian el SASE y el SSE (borde de servicio de seguridad) ?

La empresa de análisis del sector Gartner define el servicio de acceso seguro Edge como el que incluye SD-WAN, SWG, CASB, NGFW y ZTNA para "permitir el acceso a Zero Trust basado en la identidad del dispositivo o entidad, combinado con el contexto a tiempo real y las políticas de seguridad y cumplimiento".

En otras palabras, el SASE incorpora el acceso seguro de un usuario como parte de la arquitectura de la red. (Merece la pena señalar aquí que la empresa de análisis del sector Forrester clasifica el modelo SASE como "Zero Trust Edge" o ZTE).

Pero no todas las organizaciones tienen un enfoque cohesionado entre los equipos de TI, seguridad de redes y redes. Por lo tanto, pueden dar prioridad al borde de servicio de seguridad (SSE) —un subconjunto de la funcionalidad SASE centrado principalmente en asegurar el acceso a la web, los servicios en la nube y la aplicación privada.

Además, aunque la mayoría de las plataformas SASE incluyen las capacidades básicas señaladas anteriormente, algunas incluyen capacidades SSE adicionales, como:

  • Aislamiento remoto del navegador (RBI): RBI aplica el principio Zero Trust a la navegación web asumiendo que no hay código del sitio web (por ejemplo HTML, CSS, JavaScript) deben ser de confianza para ejecutarse por defecto. El aislamiento remoto del navegador carga las páginas web y ejecuta cualquier código asociado en la nube —lejos de los dispositivos locales de los usuarios. Esta separación ayuda a evitar las descargas de malware, minimiza el riesgo de vulnerabilidades del navegador tipo zero-day y defiende contra otras amenazas transmitidas por el navegador
  • Prevención de la pérdida de datos (DLP): para evitar que los datos sean robados o destruidos sin permiso, las tecnologías DLP detectan la presencia de datos sensibles en la web, SaaS y aplicaciones privadas. En combinación con un SWG, las soluciones de DLP pueden escanear datos en tránsito; en combinación con un CASB, las soluciones de DLP pueden escanear datos en reposo.
  • Monitorización de la experiencia digital (DEM): la DEM es una herramienta para monitorizar el comportamiento de los usuarios y sus experiencias con el tráfico del sitio web y el rendimiento de la aplicación. La DEM ayuda a las organizaciones a capturar datos en tiempo real sobre problemas de red, ralentizaciones del rendimiento y cortes de la aplicación. Esto ayuda a localizar los problemas de la red y a identificar las causas de las anomalías de conectividad

La SSE es un peldaño común hacia el despliegue completo de la SASE. Sin embargo, es posible que algunas organizaciones (sobre todo las que tienen implementaciones SD-WAN maduras en ) no quieran consolidarse totalmente con un único proveedor de SASE. Esas organizaciones pueden desplegar componentes individuales de SASE para abordar sus casos de uso inmediatos, con la opción de ampliar sus esfuerzos de consolidación de la plataforma con el tiempo.

Cómo Cloudflare habilita el SASE

Cloudflare One es la plataforma SASE de Cloudflare para proteger aplicaciones, usuarios, dispositivos y redes empresariales. Se basa en la conectividad cloud de Cloudflare, una plataforma unificada y componible de servicios nativos de nube programables que permiten la conectividad de cualquier tipo entre todas las redes (empresariales y de Internet), entornos en la nube, aplicaciones y usuarios.

Los servicios Cloudflare One (que incluyen todos los aspectos de SASE) están diseñados para ejecutarse en todas las ubicaciones de red de Cloudflare , de modo que todo el tráfico se conecta, inspecciona y filtra cerca de la fuente para obtener el mejor rendimiento y una experiencia del usuario consistente. Más información sobre Cloudflare One.