¿Qué es SASE? | Perímetro de servicio de acceso seguro

SASE incluye cuatro componentes básicos de seguridad:

1. Puertas de acceso web seguras (SWG, por sus siglas en inglés): una SWG previene las amenazas cibernéticas y las fugas de datos al filtrar el contenido no deseado del tráfico web mediante el bloqueo del comportamiento de usuarios no autorizados y la aplicación de las políticas de seguridad de la empresa. Las SWG pueden ser implementadas en cualquier lugar, lo que hace que sean ideales para asegurar fuerzas de trabajo en remoto.
2. Agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés): un CASB realiza varias funciones de seguridad para los servicios alojados en la nube, como revelar la TI en la sombra (sistemas corporativos no autorizados), asegurar los datos confidenciales mediante el control de acceso y la prevención de pérdida de datos (DLP), y asegurar el cumplimiento de las normas de privacidad de datos.
3. Acceso a la red de confianza cero (ZTNA, por sus siglas en inglés): las plataformas ZTNA bloquean los recursos internos a la vista del público y ayudan a defenderse contra posibles fugas de datos al exigir la verificación en tiempo real de cada usuario y dispositivo a cada aplicación protegida.
4. Firewall como servicio (FWaaS, por sus siglas en inglés): FWaaS se refiere a los firewalls entregados desde la nube como un servicio. FWaaS protege las plataformas, la infraestructura y las aplicaciones basadas en la nube contra los ataques cibernéticos. A diferencia de los firewalls tradicionales, FWaaS no es un dispositivo físico, sino un conjunto de capacidades de seguridad que incluye el filtrado de URL, la prevención de intrusiones y la gestión uniforme de políticas en todo el tráfico de la red.

En función del proveedor y de las necesidades de la empresa, estos componentes básicos pueden ir acompañados de servicios de seguridad adicionales, como la protección de aplicaciones web y de la API (WAAP), el aislamiento remoto del navegador o la protección de puntos de acceso Wi-Fi.

¿Cuáles son las ventajas de un marco SASE?

SASE ofrece varios beneficios en comparación con un modelo de seguridad de red tradicional basado en un centro de datos:

• Acceso a la red Zero Trust basado en la identidad. SASE se apoya en gran medida en un modelo de seguridad Zero Trust, que no concede al usuario acceso a las aplicaciones y datos hasta que su identidad haya sido verificada, incluso si ya se encuentran dentro del perímetro de una red privada. Al establecer las políticas de acceso, un enfoque SASE no solo tiene en cuenta la identidad de una entidad sino también factores como la ubicación del usuario, la hora del día, las normas de seguridad de la empresa, las políticas de cumplimiento y una evaluación continua del riesgo o confianza.
• Bloqueo de ataques contra la infraestructura de red. Los componentes del firewall y del CASB de SASE ayudan a prevenir que ataques externos (como ataques DDoS y explotaciones de vulnerabilidades) entren y pongan en riesgo los recursos internos. Tanto las redes locales como las basadas en la nube pueden protegerse con un enfoque SASE.
• Prevención de actividades maliciosas. Al filtrar las URL, las consultas DNS y otro tráfico de red saliente y entrante, SASE ayuda a prevenir los ataques basados en malware, la exfiltración de datos y otras amenazas a los datos corporativos.
• Implantación y gestión optimizadas. SASE fusiona las soluciones de seguridad de un solo punto en un servicio basado en la nube, lo que libera a las empresas para que interactúen con menos proveedores y dediquen menos tiempo, dinero y recursos internos a configurar la infraestructura física.
• Gestión de políticas simplificada. En lugar de hacer malabares con múltiples políticas para soluciones independientes, SASE permite que las organizaciones establezcan, ajusten y apliquen políticas de acceso en todas las ubicaciones, usuarios, dispositivos y aplicaciones desde un portal único.
• Enrutamiento optimizado para la latencia. SASE ayuda a reducir la latencia al enrutar el tráfico de la red a través de una red de perímetro global en la que el tráfico se procesa lo más cerca posible del usuario. Las optimizaciones del enrutamiento pueden ayudar a determinar la ruta de red más rápida con base en la congestión de la red y otros factores.

¿Cómo se compara el SASE con las redes tradicionales?

En un modelo de red tradicional, los datos y las aplicaciones se alojan en un centro de datos central. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al centro de datos desde dentro de una red privada localizada o desde una red secundaria que normalmente se conecta a la principal a través de una línea alquilada segura o VPN.

Este modelo ha demostrado estar mal equipado para manejar las complejidades introducidas por los servicios basados en la nube como software como servicio (SaaS) y el aumento de las fuerzas de trabajo distribuidas. Si las aplicaciones y los datos se alojan en la nube, ya no es práctico redirigir todo el tráfico a través de un centro de datos centralizado.

Por el contrario, SASE coloca los controles de red en el perímetro de la nube, no en el centro de datos corporativo. En lugar de superponer servicios en la nube que requieren configuración y administración por separado, SASE optimiza los servicios de red y seguridad para crear un perímetro de la red seguro. La aplicación de políticas de acceso Zero Trust basadas en la identidad en la red de perímetro permite a las empresas ampliar su perímetro de red a cualquier usuario, sucursal, dispositivo o aplicación remota.

Cómo pueden implementar las organizaciones el SASE

Muchas organizaciones adoptan un enfoque poco sistemático en la implantación del SASE. De hecho, puede que algunas ya hayan adoptado ciertos elementos del SASE sin saberlo. Los pasos clave que pueden dar las organizaciones para adoptar plenamente un modelo SASE son:

1. Asegurar la fuerza de trabajo a distancia
2. Ubicar las sucursales detrás de un perímetro en la nube
3. Trasladar la protección contra DDoS al perímetro
4. Migrar las aplicaciones autoalojadas a la nube
5. Sustituir los dispositivos de seguridad por una aplicación de políticas unificada y nativa de la nube

Estos pasos están explicados con más detalle en el documento técnico "Iniciarse en SASE," disponible para su descarga aquí.

Cómo Cloudflare habilita el SASE

Cloudflare tiene una arquitectura única para ofrecer una plataforma de servicios de red y seguridad integrados en centros de datos de más de 300 ciudades distribuidas por todo el mundo, lo que elimina la necesidad de que las empresas compren y gestionen una compleja colección de soluciones puntuales.

Cloudflare One es una plataforma SASE que conecta de forma segura a usuarios, oficinas y centros de datos remotos entre sí, y con los recursos que necesitan. Para iniciarse en Cloudflare One, consulta la página de producto de Cloudflare One. O, más información sobre ZTNA, una tecnología fundamental detrás de SASE.