Asegurar los recursos informáticos entre cuatro paredes ya es bastante difícil, pero es un reto de un orden diferente cuando se trata de asegurar una WAN con enlaces que llegan a todo el mundo, proporcionados por una serie de proveedores de servicios y que soportan una mezcla de dispositivos de seguridad para puntos finales.
El panorama de la seguridad se vuelve aún más turbio cuando se incorpora una SD-WAN para aumentar las redes MPLS anticuadas, porque la mayoría de las SD-WAN utilizan exclusivamente la Internet pública para el transporte.
La mayoría, pero no todas.
Y ésta es una consideración importante a la hora de evaluar las implicaciones para la seguridad de las distintas opciones de SD-WAN.
Si sustituye la Internet pública por una red privada definida por software en la milla intermedia, eso equivale a añadir una capa adicional de seguridad.
De hecho, un enfoque de defensa en profundidad de varias capas es la mejor forma de enfocar la seguridad de SD-WAN.
Sencillamente, hay demasiados tipos de amenazas y vectores de ataque como para que una única «respuesta» de seguridad sirva de algo.
Asuma que algunas defensas no funcionarán todo el tiempo y tenga preparadas capas adicionales de defensa.
He aquí las mejores prácticas para la implantación de la seguridad SD-WAN:
1. Contenga su red
Si su SD-WAN utiliza únicamente la Internet pública para el transporte de la milla intermedia, parte con desventaja, especialmente para los enlaces internacionales.
No hay forma de saber qué enlaces atravesará su tráfico y quién tiene acceso a qué instalaciones (por no hablar del golpe de rendimiento que recibirá utilizando la Internet pública de mejor esfuerzo para el transporte SD-WAN).
La alternativa es contratar un servicio SD-WAN proporcionado a través de una red global privada, segura y gestionada como Global SD-WAN de Aryaka.
Utilizar una red privada para la milla intermedia minimiza significativamente los vectores de ataque al eliminar la exposición a la Internet pública.
2. Compartimentar su tráfico
La primera tarea consiste en evitar la Internet pública, y la segunda en asegurarse de que su tráfico está compartimentado de forma verdaderamente multiusuario, con túneles dedicados que impidan que su tráfico se mezcle con el de otras empresas.
3. No ponga todos los huevos en la misma cesta
La diversidad es una virtud fundamental en una estrategia de seguridad multicapa y de defensa en profundidad, pero algunos proveedores de SD-WAN están pregonando las llamadas «ventajas» de construir e integrar su propia pila de seguridad.
Este enfoque puede ser un punto vulnerable para muchas empresas.
La mejor práctica es contar con varias capas de seguridad suministradas por varios proveedores que sean los mejores del sector.
Este enfoque mitigaría la vulnerabilidad fundamental asociada a la utilización de una pila de seguridad de un único proveedor.
Aryaka se asocia con Palo Alto Networks y Zscaler para la seguridad basada en el borde y en la nube, ambos centrados exclusivamente en la WAN empresarial global.
El código propio de una empresa más pequeña simplemente no se puede comparar.
Si usted es una empresa global grande o mediana, la mejor seguridad integrada de múltiples proveedores es una necesidad.
4. Insista en las opciones
Ni que decir tiene que necesita una capa de seguridad en el borde de la red tanto para el tráfico entrante como para el saliente, pero a menudo los proveedores de SD-WAN tendrán opciones limitadas e intentarán dictarle una estrategia específica en lugar de adaptarse a sus preferencias.
En Aryaka, tomamos la dirección de la seguridad por usted.
El CPE de Aryaka tiene un cortafuegos integrado, lo que le permite colapsar esa función en el dispositivo y reducir el desorden de dispositivos de la sucursal.
Pero si necesita más potencia, puede desplegar un cortafuegos de nueva generación Palo Alto in situ.
Como alternativa, puede dirigir el tráfico a una solución basada en la nube de Palo Alto Networks o Zscaler.
Si ha migrado aplicaciones a la nube, puede aprovechar un cortafuegos virtual de Zcaler para entornos AWS o Azure.
5. Añadir sistemas de alerta temprana
Asegúrese de que su proveedor de SD-WAN puede ofrecerle un portal que le permita supervisar su red global desde un único panel de cristal.
Los picos de tráfico extraños o las conexiones múltiples procedentes de una parte inesperada de la red o del mundo podrían ser indicadores de actividad nefasta que exigen una inspección más minuciosa.
Esto le permitiría además poner en cuarentena a los usuarios y evitar la propagación de un ataque.
Obviamente, la seguridad al 100% no existe, y por eso es fundamental un modelo de defensa en profundidad.
Busque proveedores de SD-WAN que puedan prestar servicios a través de una red segura, privada y gestionada, y que ofrezcan las mejores opciones para cada una de las múltiples capas de seguridad necesarias para proteger su red global, ¡y sus datos críticos para la empresa!