¿Qué es SASE? | Secure access service edge

Secure Access Service Edge (SASE) hace referencia a un modelo de TI en la nube que combina servicios de red y de seguridad.

Share facebook icon linkedin icon twitter icon email icon

SASE

Metas de aprendizaje

Después de leer este artículo usted podrá:

  • Definir Secure Access Service Edge (SASE)
  • Conocer los servicios que incluye SASE
  • Conocer cómo SASE se diferencia de la arquitectura de red tradicional
  • Explorar las ventajas de adoptar un marco SASE

¿Qué es SASE?

Secure Access Service Edge (SASE) es un modelo de seguridad en la nube que agrupa redes definidas por software con funciones de seguridad de la red y las suministra desde un único proveedor de servicios. El término "SASE" fue acuñado por Gartner, una firma internacional de investigación y asesoramiento, en 2019.

sase - secure access service edge

SASE es una alternativa en la nube a la tradicional infraestructura de red "hub-and-spoke" que se utiliza para conectar a los usuarios de muchos lugares diversos (radios) a los recursos alojados en data centers centralizados (hubs). En un modelo de red tradicional, los datos y las aplicaciones se encuentran en un data center principal. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al data center desde una red privada localizada o una red secundaria que normalmente se conecta a la principal a través de una línea alquilada segura o de una VPN.

Si bien en principio parece simple, un modelo de red "hub-and-spoke" no está bien preparado para gestionar las complejidades de los servicios en la nube, como el Software como Servicio (SaaS) y el incremento de fuerza laboral distribuida. Con más aplicaciones, cargas de trabajo y datos corporativos sensibles trasladándose a la nube, las empresas se ven obligadas a replantearse cómo y dónde se examina el tráfico de la red y se gestionan las políticas de acceso seguro de los usuarios. Ya no resulta práctico redirigir todo el tráfico a través de un data center centralizado si la mayoría de las aplicaciones y los datos están alojados en la nube, ya que eso podría generar una latencia innecesaria. Mientras tanto, grandes cantidades de usuarios remotos pueden tener una latencia significativa al conectarse a una red corporativa a través de VPN, o bien exponerse a otros riesgos de seguridad al acceder a los recursos de la empresa a través de una conexión no segura.

En cambio, SASE ubica los controles de la red en el perímetro de la nube, no en el data center corporativo. En lugar de estratificar los servicios en la nube que requieren una configuración y administración separadas, SASE simplifica los servicios de red y de seguridad para crear un perímetro de red seguro y eficiente. Implementar políticas de acceso Zero Trust en función de la identidad en el perímetro de la red permite a las empresas ampliar su perímetro de red a cualquier usuario, sucursal, dispositivo o aplicación remotos. A su vez, esto elimina la necesidad de las VPN y los firewalls heredados, y da a las empresas un mayor control granular con respecto a sus políticas de seguridad de la red. Para ello, se crea un marco SASE sobre una única red global para acercar estos servicios integrados a los usuarios finales.

¿Por qué es necesario SASE?

Compara un modelo de arquitectura de red tradicional como el edificio de un banco. Ahora imagina que Bob quiere verificar el saldo de su cuenta antes de pagar el alquiler. Para ello, tendrá que trasladarse físicamente hasta el banco y verificar su identidad ante el cajero. Todos los meses, tendrá que trasladarse al banco para repetir este proceso, lo que puede costarle mucho tiempo y esfuerzo, especialmente si vive lejos del banco.

Esto es similar a la arquitectura de red centrada en el hardware, en la que se toman decisiones de seguridad y acceso en un data center fijo en las instalaciones en lugar de hacerlo en la nube. Agregar servicios en la nube a un modelo de arquitectura de red tradicional es como darle a Bob la opción de verificar el saldo de su cuenta mediante una llamada telefónica al banco. Es un poco más cómodo que conducir hasta el banco, pero deberá completar un proceso de verificación de identidad completamente diferente (en lugar de tener que entregar su identificación, por ejemplo, es posible que se le solicite otra información confidencial por teléfono para demostrar su identidad). El banco tendrá que gestionar estos diferentes procedimientos para mantener la seguridad de la información de las cuentas de sus clientes.

modelo de red hub and spoke

La infraestructura tradicional de "hub-and-spoke" no está diseñada para los servicios en la nube. Se basa en un perímetro de red seguro desarrollado alrededor de un data center principal, que solo es efectivo cuando grandes cantidades de aplicaciones y datos de una empresa se encuentran dentro de ese perímetro. Administrar varios servicios de seguridad y políticas de acceso puede resultar una tarea que se vuelva rápidamente difícil de administrar y actualizar para los equipos de TI.

SASE, por otro lado, podría compararse con una aplicación bancaria en el dispositivo móvil de Bob. En lugar de conducir hasta el banco para verificar su cuenta o perder tiempo en una larga llamada telefónica, él puede verificar su identidad de manera digital y acceder instantáneamente al saldo de su cuenta desde cualquier lugar del mundo. Y esto no solo se aplica a Bob, sino a todos los clientes que tiene el banco, independientemente de dónde se encuentren.

modelo de red hub and spoke

SASE acerca los servicios de seguridad de la red y el control de acceso al usuario final al trasladar esos procesos clave a la nube, y operar en una red global para minimizar la latencia al mismo tiempo.

¿Qué funciones incluye SASE?

Secure Access Service Edge tiene funciones de red de área amplia definida por software (SD-WAN) con una serie de funciones de seguridad de red, que se distribuyen y gestionan en una sola plataforma en la nube. La oferta de SASE incluye cuatro componentes básicos de seguridad:

  1. Secure web gateways (SWG): las puertas de enlace seguras (SWG), también conocidas como puertas de enlace de Internet seguras, evitan las amenazas cibernéticas y las fugas de datos mediante la filtración de contenido no deseado de tráfico web, el bloqueo del comportamiento no autorizado de los usuarios y la aplicación de las políticas de seguridad de la empresa. Las SWG pueden implementarse en cualquier lugar, por lo tanto, son ideales para garantizar el trabajo de la fuerza laboral remota.
  2. Cloud access security broker (CASB): un agente de seguridad de acceso en la nube (CASB) cumple varias funciones de seguridad para los servicios alojados en la nube: revela los "shadow IT" (sistemas corporativos no autorizados), protege los datos confidenciales mediante el control de acceso y la prevención de pérdida de datos (DLP), garantiza el cumplimiento de las normas de privacidad de datos, etc.
  3. Zero Trust Network Access (ZTNA): las plataformas de acceso a la red Zero trust (ZTNA) bloquean los recursos internos de la vista del público y ayudan a defenderse de posibles fugas de datos al exigir la verificación en tiempo real de cada usuario para cada aplicación protegida.
  4. Firewall-as-a-Service (FWaaS): el Firewall como servicio (FWaaS) se refiere a los firewalls distribuidos desde la nube como un servicio. El FWaaS protege las plataformas, la infraestructura y las aplicaciones en la nube de los ataques cibernéticos. A diferencia de los firewalls tradicionales, el FWaaS no es un dispositivo físico, sino un conjunto de funciones de seguridad que incluye filtrado de URL, prevención de intrusiones y gestión uniforme de políticas en todo el tráfico de la red.

Según el proveedor y las necesidades de la empresa, estos componentes básicos pueden combinarse con otros servicios de seguridad, desde la protección de aplicaciones web y API (WAAP), y el aislamiento del navegador remoto hasta el DNS recursivo, la protección de puntos de acceso Wi-Fi, la confusión/dispersión de la red, la protección de la informática perimetral (edge computing), etc.

¿Cuáles son las ventajas de un marco SASE?

SASE ofrece varios beneficios en comparación con un modelo de seguridad de red tradicional basado en un centro de datos:

  • Implementación y gestión simplificadas. SASE fusiona soluciones de seguridad en un punto único de un servicio en la nube, permite que las empresas interactúen con menos proveedores y destinen menos tiempo, dinero y recursos internos a la configuración y el mantenimiento de la infraestructura física.
  • Gestión de políticas simplificada. En lugar de tener varias políticas para soluciones separadas, SASE permite que las organizaciones establezcan, supervisen, ajusten y apliquen políticas de acceso en todas las ubicaciones y a todos los usuarios, los dispositivos y las aplicaciones desde un único portal.
  • Acceso a la red Zero Trust en función de la identidad. SASE depende en gran medida de un modelo de seguridad de Zero Trust, que no permite que el usuario acceda a las aplicaciones y a los datos hasta que se haya verificado su identidad, incluso si ya se encuentra dentro del perímetro de una red privada. Al establecer las políticas de acceso, un enfoque SASE tiene en cuenta algo más que la identidad de una entidad; también considera factores como la ubicación del usuario, la hora del día, las normas de seguridad de la empresa, las políticas de cumplimiento y una evaluación constante del riesgo o confianza.
  • Enrutamiento optimizado por latencia. Para las empresas que prestan servicios que se ven afectados por la latencia (p. ej., video conferencias, streaming, juegos en línea, etc.), cualquier aumento significativo de la latencia resulta un problema. SASE ayuda a reducir la latencia al redirigir el tráfico de la red a través de una red de perímetro global en la que el tráfico se procesa lo más cerca posible del usuario. Las optimizaciones de enrutamiento ayudan a determinar la ruta de red más rápida según la congestión de la red y otros factores.

Es importante tener en cuenta que no todas las implementaciones de SASE tendrán el mismo aspecto. Si bien pueden compartir algunas características básicas, como políticas de acceso en función de la identidad, servicios de seguridad de la red y una arquitectura centrada en la nube, también puede haber algunas diferencias notables en función de las necesidades de la organización. Por ejemplo, una implementación SASE puede optar por una arquitectura de arrendamiento único en lugar de una arquitectura de arrendamiento múltiple, incorporar el control de acceso a la red para la IoT (Internet de las Cosas) y los dispositivos perimetrales, ofrecer funciones de seguridad adicionales, depender de un nivel mínimo de dispositivos de hardware/virtuales para ofrecer soluciones de seguridad, etc.

¿Cómo puede ayudar Cloudflare con la adopción de SASE?

El modelo SASE de Cloudflare se aplica tanto a Cloudflare para Infraestructura como a Cloudflare para Teams, ambos respaldados por una red global única que presta servicios a más de 25 millones de propiedades de Internet. Cloudflare cuenta con una arquitectura única para ofrecer una plataforma de servicios integrados de red y seguridad en 200+ ciudades de todo el mundo, y elimina la necesidad de que las empresas compren y gestionen una compleja serie de soluciones puntuales en la nube.

Cloudflare para Infraestructura comprende el paquete de servicios integrados de seguridad y rendimiento de Cloudflare, que aseguran, aceleran y garantizan la fiabilidad de cualquier entorno en las instalaciones, híbrido y en la nube. Cloudflare Magic Transit es una parte integral de Cloudflare para Infraestructura que protege la infraestructura de la red de las amenazas DDoS y de los ataques a la capa de red, y además funciona en forma conjunta con el Firewall de aplicaciones web (Web Application Firewall, WAF) de Cloudflare para brindar protección contra las vulnerabilidades. Magic Transit también utiliza la red global de Cloudflare para acelerar el tráfico legítimo de la red, y que tenga una latencia y un rendimiento óptimos. Más información sobre Magic Transit de Cloudflare.

Cloudflare para Teams protege los datos de la empresa de dos formas distintas: con Cloudflare Access, una solución de acceso a la red Zero Trust, y Cloudflare Gateway, un servicio de filtrado de DNS y de seguridad de la red que protege contra amenazas, como malware y phishing. Cloudflare Access elimina la necesidad de VPN heredadas y permite un acceso seguro en función de la identidad a las aplicaciones y a los datos internos, independientemente de dónde se encuentren los usuarios. Cloudflare Gateway protege los datos de los usuarios y de las empresas mediante el filtrado y el bloqueo de contenido malicioso, la identificación de los dispositivos comprometidos y el uso de la tecnología de aislamiento del navegador para evitar que el código malicioso se ejecute en los dispositivos de los usuarios. Más información sobre Cloudflare para Teams.