La arquitectura de borde de servicio de acceso seguro (SASE) es un modelo de TI que combina servicios de seguridad y de red en una plataforma en la nube.
Después de leer este artículo podrás:
Contenido relacionado
Seguridad Zero Trust
¿Qué es la red como servicio (NaaS)?
Puerta de enlace web segura
Control de acceso
Seguridad de la nube
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
Secure Access Service Edge, o SASE (pronunciado "sassy") es un modelo arquitectónico que hace converger la conectividad de red con las funciones de seguridad de red, y las ofrece a través de una única plataforma en la nube y/o un control de políticas centralizado.
A medida que las organizaciones migran cada vez más aplicaciones y datos a la nube, se ha vuelto más complejo y arriesgado gestionar la seguridad de la red con un enfoque "de castillo y zanja" tradicional. A diferencia del enfoque de red tradicional, SASE unifica la seguridad y la red en una plataforma en la nube y un plano de control para una visibilidad, controles y experiencias coherentes desde cualquier usuario a cualquier aplicación.
De este modo, SASE crea una nueva red corporativa unificada basada en servicios en la nube que funcionan a través de Internet, lo que permite a las organizaciones prescindir de muchas capas arquitectónicas y soluciones puntuales.
En un modelo de red tradicional, los datos y las aplicaciones se encuentran en un data center principal. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al data center desde una red privada localizada o una red secundaria que normalmente se conecta a la principal a través de una línea alquilada segura o de una VPN.
Sin embargo, este modelo está mal equipado para manejar las complejidades introducidas por los nuevos servicios basados en la nube y el aumento de las plantillas distribuidas. No es práctico, por ejemplo, redirigir todo el tráfico a través de un centro de datos centralizado si una organización aloja la aplicación SaaS y los datos en la nube.
En cambio, SASE sitúa los controles de red en el borde de la nube, no en el centro de datos corporativo. En lugar de estratificar los servicios que requieren una configuración y gestión separadas, SASE hace converger los servicios de red y seguridad utilizando un único plano de control. Implementa políticas de seguridad Zero Trust basadas en identidades en la red periférica, lo que permite a las empresas ampliar el acceso a la red a cualquier usuario remoto, sucursal, dispositivo o aplicación.
Las plataformas SASE combinan las capacidades de Red como servicio (NaaS) con una serie de funciones de seguridad gestionadas desde una interfaz y suministradas desde un plano de control.
Estos servicios incluyen lo siguiente:
Al fusionar estos servicios en una arquitectura unificada, SASE simplifica la infraestructura de red.
Dado que el borde de servicio de acceso seguro implica la convergencia de una serie de servicios tradicionalmente dispares, las organizaciones pueden avanzar hacia una arquitectura SASE de forma progresiva, en lugar de todo a la vez. Las organizaciones pueden implantar primero los componentes que satisfagan sus casos de uso de mayor prioridad, antes de trasladar todos los servicios de red y seguridad a una única plataforma.
Las plataformas SASE suelen incluir los siguientes componentes tecnológicos:
Dependiendo de las capacidades del proveedor, los componentes SASE anteriores también pueden incluir seguridad del correo electrónico en la nube, protección de aplicaciones web y API (WAAP), seguridad DNS y/o capacidades de borde de servicio de seguridad (SSE), tal y como se describen más adelante.
SASE ofrece varios beneficios en comparación con un modelo de seguridad de red tradicional basado en un centro de datos:
Reducción del riesgo mediante los principios de Zero Trust: SASE se basa en gran medida en el modelo de seguridad Zero Trust, que no concede a un usuario acceso a aplicaciones y a los datos hasta que se haya verificado su identidad, —aunque ya se encuentre dentro del perímetro de una red privada. Al establecer las políticas de acceso, un enfoque SASE tiene en cuenta algo más que la identidad de una entidad; también puede considerar factores como la geolocalización, la postura del dispositivo, las normas de seguridad de la empresa y una evaluación continua del riesgo/confianza.
Reducción de costes mediante la consolidación de plataformas: SASE hace converger las soluciones de seguridad de un solo punto en un servicio basado en la nube, lo que libera a las empresas para interactuar con menos proveedores y gastar menos tiempo, dinero y recursos internos intentando forzar la integración de productos dispares.
Eficiencia y agilidad operativas: en lugar de hacer malabarismos con soluciones puntuales que no fueron diseñadas para trabajar juntas, SASE permite a las organizaciones establecer, ajustar y aplicar políticas de seguridad en todas las ubicaciones, usuarios, dispositivos y aplicaciones desde una única interfaz. Los equipos informáticos pueden solucionar los problemas con más eficacia y dedicar menos tiempo a resolver cuestiones sencillas.
Experiencia del usuario mejorada para el trabajo híbrido: las optimizaciones inteligentes de red pueden ayudar a determinar la ruta de red más rápida en función de la congestión de la red y otros factores. SASE ayuda a reducir la latencia del usuario final mediante un tráfico inteligente seguro a través de una red de borde global en la que el tráfico se procesa lo más cerca posible del usuario.
Aumentar o sustituir las VPN para un acceso seguro modernizado
Un motivo común para pasar a una arquitectura SASE es mejorar el acceso a los recursos y la conectividad. El enrutamiento y el procesamiento del tráfico de red a través de una red global en la nube lo más cerca posible del usuario -en lugar de a través de VPNs - reduce la fricción del usuario final, a la vez que elimina el riesgo del movimiento lateral.
Simplificar el acceso de contratistas (terceros)
El servicio de acceso seguro Edge amplía el acceso seguro más allá de los empleados internos, a terceros como contratistas, socios y otros trabajadores temporales o independientes. Con el acceso basado en recursos, las organizaciones mitigan el riesgo de sobreaprovisionar a los contratistas.
Defensa contra amenazas para oficinas distribuidas y trabajadores remotos
SASE permite a las organizaciones aplicar políticas uniformes de seguridad informática a todos los usuarios, independientemente de su ubicación. Al filtrar e inspeccionar todo el tráfico de red saliente y entrante, SASE ayuda a prevenir amenazas como ataques de malware, phishing multicanal (ataques que abarcan múltiples canales de comunicación), amenazas internas, exfiltración de datos, etc.
Protección de datos para el cumplimiento normativo
Puesto que SASE proporciona visibilidad sobre cada solicitud de red, las organizaciones pueden aplicar políticas a los datos en cada solicitud. Estas políticas ayudan a garantizar el cumplimiento de las leyes de privacidad de datos que exigen a las organizaciones procesar los datos sensibles de determinadas formas.
Simplifica la conectividad de las filiales
Una arquitectura SASE puede ayudar a aumentar o sustituir un mosaico de circuitos de conmutación de etiquetas multiprotocolo (MPLS) y dispositivos de red para encaminar más fácilmente el tráfico entre sucursales, y facilitar la conectividad entre ubicaciones.
La empresa de análisis del sector Gartner define el servicio de acceso seguro Edge como el que incluye SD-WAN, SWG, CASB, NGFW y ZTNA para "permitir el acceso a Zero Trust basado en la identidad del dispositivo o entidad, combinado con el contexto a tiempo real y las políticas de seguridad y cumplimiento".
En otras palabras, el SASE incorpora el acceso seguro de un usuario como parte de la arquitectura de la red. (Merece la pena señalar aquí que la empresa de análisis del sector Forrester clasifica el modelo SASE como "Zero Trust Edge" o ZTE).
Pero no todas las organizaciones tienen un enfoque cohesionado entre los equipos de TI, seguridad de redes y redes. Por lo tanto, pueden dar prioridad al borde de servicio de seguridad (SSE) —un subconjunto de la funcionalidad SASE centrado principalmente en asegurar el acceso a la web, los servicios en la nube y la aplicación privada.
Además, aunque la mayoría de las plataformas SASE incluyen las capacidades básicas señaladas anteriormente, algunas incluyen capacidades SSE adicionales, como:
La SSE es un peldaño común hacia el despliegue completo de la SASE. Sin embargo, es posible que algunas organizaciones (sobre todo las que tienen implementaciones SD-WAN maduras) no quieran consolidarse totalmente con un único proveedor de SASE. Estas organizaciones pueden desplegar componentes individuales de SASE para abordar sus casos de uso inmediatos, con la opción de ampliar sus esfuerzos de consolidación de la plataforma con el tiempo.
Cloudflare One es la plataforma SASE de Cloudflare para proteger aplicaciones, usuarios, dispositivos y redes empresariales. Se basa en la conectividad cloud de Cloudflare, una plataforma unificada y componible de servicios nativos de nube programables que permiten la conectividad de cualquier tipo entre todas las redes (empresariales y de Internet), entornos en la nube, aplicaciones y usuarios.
Los servicios Cloudflare One (que incluyen todos los aspectos de SASE) están diseñados para ejecutarse en todas las ubicaciones de red de Cloudflare, de modo que todo el tráfico se conecta, inspecciona y filtra cerca de la fuente para obtener el mejor rendimiento y una experiencia del usuario consistente. Obtén más información acerca de Cloudflare One y otras soluciones de seguridad de redes.