¿Qué es el SASE? SASE (Secure Access Service Edge) lo define Gartner.
Las funciones de seguridad de la red no son nuevas, y SD-WAN tampoco lo es para el sector.
SASE las ofrece como un servicio en la nube.
En pocas palabras, SASE combina SD-WAN, funciones de seguridad de red y las ofrece como un servicio en la nube.
Los proveedores de SD-WAN ofrecen una conectividad determinista y fiable a las empresas que tienen varias oficinas en diferentes ubicaciones a través de una infraestructura PoP geodistribuida.
El servicio SD-WAN también proporciona acceso remoto seguro basado en VPN para conectar a los usuarios WFH (trabajo desde casa) y en itinerancia a las redes de la empresa.
Muchos servicios SD-WAN también incluyen componentes básicos de seguridad como cortafuegos y NAT.
La combinación de funciones de protección frente a amenazas (cortafuegos de nueva generación, antimalware, filtrado de URL y funciones de prevención de pérdida de datos para proteger diversos activos de la empresa con SD-WAN) proporciona múltiples ventajas a las empresas.
Entre las ventajas se incluyen una infraestructura de red menos compleja, una ampliación/reducción más rápida con cambios en las sedes de la empresa, servicios en la nube, servicios SaaS, personal distribuido y una ampliación más rápida con el aumento de la carga de las aplicaciones de la empresa.
Los administradores de la empresa también ven un único panel de visión para la gestión de políticas y la observabilidad.
Los puntos de aplicación distribuidos de las redes y la seguridad proporcionan una experiencia coherente y determinista a los usuarios y las aplicaciones estén donde estén. ¿Qué constituye el SASE? La imagen inferior proporciona una visión consolidada de SASE.
El servicio SASE se sitúa entre las entidades cliente y los activos de aplicaciones/datos de la empresa.
Los clientes pueden ser clientes humanos, dispositivos y programas.
Los clientes pueden estar en cualquier lugar.
Las aplicaciones y los datos de la empresa con la transformación digital no se limitan a las ubicaciones On-Prem y Colos de la empresa.
Las empresas están desplegando las aplicaciones en múltiples regiones y múltiples nubes por motivos de resiliencia, redundancia, baja latencia y reglamentación.
Además, las empresas utilizan cada vez más los servicios SaaS, que también se despliegan en múltiples ubicaciones.
Debido a los clientes en cualquier lugar y los servicios en cualquier lugar, el servicio SASE también se proporciona como servicio distribuido, pero por supuesto con un plano de gestión común.
Los principales componentes de SASE son SD-WAN: SD-WAN proporciona una conectividad segura, optimizada, determinista y fiable entre oficinas y centros de datos a través de múltiples PoP con gestión centralizada.
Los servicios SD-WAN son cada vez más inteligentes.
Ya no tienen características básicas relacionadas con la sustitución de MPLS, sino que también proporcionan enrutamiento/QoS consciente del usuario y de la aplicación, aceleración SaaS mediante enrutamiento inteligente, optimización WAN y almacenamiento en caché para un acceso de baja latencia a datos redundantes, e incluso servicios básicos de seguridad como NAT, cortafuegos y VPN. Cortafuegos de nueva generación (NGFW): Es la tecnología de seguridad fundamental para cualquier tipo de acceso.
Normalmente proporciona servicios NAT, inspección de estado e IDS/IPS (Sistema de detección y prevención de intrusiones).
Para abordar los requisitos de Confianza Cero, se espera que el NGFW en la arquitectura SASE soporte la funcionalidad de acceso consciente de la identidad. Acceso a la red de confianza cero (ZTNA): La funcionalidad ZTNA protege las aplicaciones empresariales y los datos asociados.
Los servicios SD-WAN tienen una funcionalidad ZTNA básica a través de VPN y cortafuegos de inspección de estado.
Esto no es suficiente para denominarla ZTNA en la arquitectura SASE.
La funcionalidad ZTNA incluye el acceso a las aplicaciones consciente de la identidad, el acceso granular a las aplicaciones basado en el rol del usuario para abordar el principio de «acceso con menos privilegios», la ingeniería del tráfico a múltiples instancias de la aplicación a través de nubes y centros de datos, la gestión del acceso privilegiado a servicios críticos, etc.
Los marcos ZTNA diferenciados se complementan con WAF (cortafuegos de aplicaciones web), seguridad de API, DLP (prevención de pérdida de datos) y funcionalidad antimalware tanto para la protección contra amenazas como para detener cualquier intento de exfiltración de datos. Corredor de seguridad de acceso a la nube (CASB): La funcionalidad CASB protege los datos de la empresa en los servicios SaaS garantizando que los usuarios auténticos acceden a los recursos permitidos.
Y lo que es más importante, proporciona visibilidad sobre los usuarios y los recursos a los que se accede.
Los CASB también ayudan a detener el acceso a sitios SaaS no autorizados.
Dado que los CASB se interponen en el tráfico, también pueden identificar cualquier acceso de TI en la sombra e identificar si hay alguna fuga de datos entre cuentas corporativas y cuentas personales.
Algunos proveedores de SaaS no recomiendan la seguridad en línea.
Para abordar los requisitos de seguridad de las empresas para estos servicios SaaS, se espera que los CASB a nivel de API estén presentes en la solución SASE. Los CASB a nivel de API trabajan con las API de los proveedores de SaaS para automatizar los privilegios y escanear el contenido en busca de cualquier malware y filtración de datos (sensibles, PII). Secure Web Gateway (SWG): La funcionalidad SWG protege los activos de los clientes de la empresa mientras acceden a Internet.
Impide que los usuarios visiten sitios maliciosos que alojan malware y sitios de ingeniería social que roban contraseñas.
También impide que los usuarios descarguen o suban contenidos con malware.
Para ello, SWG incluye funciones de filtrado de malware de URL y antimalware.
SWG también ofrece la función de filtrado de URL basado en la identidad para proporcionar un acceso diferenciado a los servicios de Internet en función del grupo/rol del usuario. SASE unificado La verdadera convergencia de múltiples funciones de seguridad y SD-WAN es crucial para que las empresas obtengan todos los beneficios de SASE.
Las soluciones SASE comenzaron como un acoplamiento laxo de múltiples funciones de seguridad entregadas en la infraestructura SD-WAN.
Aunque las empresas ven a un único proveedor para todas las funciones de SASE, este enfoque de solución desagregada («SASE desagregada») presenta algunos retos:
- Múltiples paneles de configuración de políticas:Esto puede llevar a una configuración repetitiva y a una curva de aprendizaje pronunciada y, por lo tanto, puede conducir a errores de configuración.
- Múltiples pilas de observabilidad:La falta de observabilidad de extremo a extremo y de correlaciones puede hacer que se pasen por alto incidentes y que la respuesta a los mismos sea lenta.
- Retos de rendimiento con el encadenamiento de proxies:Múltiples proxies en el camino del tráfico pueden conducir a múltiples terminaciones TCP/TLS, autenticaciones y múltiples saltos.
Eso puede dar lugar a una mayor latencia y un menor rendimiento que repercuta en la experiencia del usuario. - Retos de rendimiento con varios PoP:Las funciones de seguridad y SD-WAN en varios PoP pueden provocar saltos de PoP para el tráfico, lo que conlleva problemas de experiencia del usuario debido a la mayor latencia introducida por los saltos de PoP.
SASE Unificado es el término asociado a los proveedores que abordan los retos anteriores.
El SASE unificado permite
- Verdadero cristal único tanto para la configuración como para la observabilidad
- Objetos comunes de red/servicio/aplicación/usuario a través de las funciones SD-WAN y las funciones de seguridad.
- Una sesión de tráfico determinada sólo pasa por un PoP para las funciones SD-WAN y las funciones de seguridad.
- Inspección del tráfico TLS una sola vez.
- Arquitectura de paso único para una sesión determinada a través de SD-WAN y funciones de seguridad.
- Reducción de la superficie de ataque en el propio SASE
De este modo, las empresas se benefician de una mejor experiencia de usuario, una reducción de costes y una mayor confianza.
También es importante comprender que los proveedores de SASE no pueden desarrollar todas las funciones de seguridad por sí solos.
Las alianzas tecnológicas son clave, ya que algunos proveedores se especializan en pocas funciones de seguridad.
Es tarea de los proveedores de SASE crear una solución integral con una profunda colaboración técnica con los socios para hacer realidad la visión de ‘SASE Unificado’. SASE Universal La parte ‘edge’ de SASE es un conjunto de ubicaciones PoP de un proveedor de SASE o un conjunto de múltiples PoP/Nubes de varios proveedores de funciones de seguridad del SASE.
Es una arquitectura distribuida, lo que significa que los PoP están distribuidos por todo el mundo y las funciones SASE desplegadas en cada PoP hacen que el SASE sea distribuido.
Dicho esto, la forma en que se suministra el SASE hoy en día no cubre bien todas las sesiones de tráfico.
Cubre muy bien los flujos de tráfico que van por la WAN entre los clientes a Internet y los recursos de la empresa.
Piense en estos flujos de tráfico.
Los proveedores de SASE no se ocupan bien de ellos.
- Sesiones de tráfico cuando tanto las entidades cliente como las entidades de servicios de aplicación se encuentran en el mismo centro de datos/VPC.
- Sesiones de tráfico entre microservicios dentro de un clúster Kubernetes.
- Flujos de tráfico VPC cruzados que atraviesan los servicios WAN del proveedor de la nube.
- Sesiones de tráfico de usuarios móviles 5G y aplicaciones Edge.
O bien se espera que otros mecanismos se encarguen de la automatización de la red y la aplicación de la seguridad, o bien se fija el tráfico a los PoP SASE.
En el primer caso, se pierde uniformidad y, en el segundo, podría haber problemas de experiencia de usuario.
De ahí el requisito del SASE Universal.
El servicio SASE no se limitará únicamente a las ubicaciones de los PoP.
Las empresas esperarían servicios de red y seguridad comunes para todas las sesiones de tráfico de manera uniforme.
El SASE Universal necesita habilitar un plano de datos distribuido nativo de la nube con una plataforma de gestión y observabilidad proporcionada por la nube. Resumen: El viaje de SASE comenzó en 2019.
Aunque el SASE de «primera generación» comenzó como funciones SD-WAN y de seguridad vagamente acopladas, el viaje conduciría a un SASE unificado y universal para realizar una verdadera arquitectura de confianza cero para las empresas que tienen una fuerza de trabajo distribuida y despliegues de aplicaciones distribuidos.
En Aryaka estamos en este viaje. Hable con nosotros si desea saber más Recursos adicionales Informe del Grupo Dell’Oro: SASE unificado: Consideraciones para SASE de un único proveedor
-
Blog CTO Insights
La serie de blogs Aryaka CTO Insights proporciona liderazgo de pensamiento para temas de red, seguridad y SASE.
Para conocer las especificaciones de los productos Aryaka, consulte Aryaka Datasheets.