Cuando se trata de la seguridad de las redes, todo el mundo se sube al tren del SASE (Secure Access Service Edge).
Con muy buenas razones, además: El modelo arquitectónico de SASE está óptimamente adaptado para dar soporte a las necesidades consolidadas de red y seguridad de todas las cosas XaaS.
Satisfacer las necesidades de la arquitectura cloud-first es uno de los principales patrones de diseño de WAN y ha sido un motor clave para la adopción de SD-WAN.
Las arquitecturas de nube no siguen las reglas de diseño WAN tradicionales, que enrutaban todo el tráfico de vuelta a la sede central o al DC privado.
Las soluciones SD-WAN de primera generación permitían una mayor flexibilidad al permitir el desdoblamiento local de Internet, pero eso en realidad sólo representa una capacidad muy básica y contundente que no proporciona una verdadera optimización.
Se limita a pasar la pelota a la conectividad básica de Internet pública sin más garantías de mejora que la optimización de costes, aunque con el inconveniente de un rendimiento impredecible.
Además, tan pronto como un arquitecto de red habilita la capacidad de irrupción local en la Internet pública en cualquier ubicación, la postura de seguridad debe crecer en alcance para frustrar nuevas amenazas dada la ampliación de la superficie de ataque.
Sin embargo, existen distintos enfoques arquitectónicos para abordar esta cuestión:
- Sucursal pesada: Proporciona seguridad de última generación en la propia sucursal con un cortafuegos de nueva generación (NGFW).
La «sucursal pesada» proporciona capacidades avanzadas de red y seguridad que, idealmente, se integran en un único dispositivo en el extremo, reduciendo así la tradicional «proliferación de dispositivos».
La implementación óptima de la rama pesada requiere un CPE de rama consolidado que aproveche la tecnología de virtualización para proporcionar tanto capacidades avanzadas de red como NGFW como VNF (funciones de red virtuales). - Nube pesada: Este modelo reconoce el hecho de que el tráfico de aplicaciones de muchas empresas se ha trasladado a la nube, así que ¿por qué no reenviar todo el tráfico de la sucursal a un servicio de seguridad en la nube?
Esto sólo requiere una política de reenvío muy básica en la sucursal, y el servicio de seguridad en la nube se encarga a partir de ahí.
Una encuesta de ONUG tan reciente como la de 2019 estableció que más del 65% de los arquitectos de redes seguían estando a favor de un modelo de seguridad de rama pesada, aunque el hecho de que casi el 30% estuviera a favor de un modelo de seguridad centrado en la nube muestra claramente que se está produciendo un cambio.
Sin embargo, considerar el reto de la arquitectura de seguridad emergente de forma binaria, anteponiendo la religión tecnológica, pasa por alto el hecho de que, aunque muchos arquitectos de empresa prevén una arquitectura que dé prioridad a la nube, son muy pocos los que han migrado a una arquitectura centrada únicamente en la nube.
Y, muchas empresas siempre se quedarán con un modelo de nube híbrida que combina XaaS pública con elementos de nube privada.
Esto obliga a adoptar también un enfoque híbrido para su arquitectura de seguridad de red: un enfoque mixto que mezcle algunos elementos avanzados de seguridad de la sucursal con varios elementos de seguridad integrados en la nube.
El modelo de arquitectura SASE concluye que esto requiere de forma óptima una postura de seguridad de «sucursal ligera» combinada con servicios de seguridad proporcionados en la «nube pesada».
SASE exige funciones de red avanzadas como el reconocimiento y la optimización avanzados de aplicaciones y toda una serie de otras capacidades.
Sin embargo, aquí está el problema: Incluso Gartner, la fábrica de liderazgo de pensamiento que nos trajo el concepto SASE, reconoce que SASE no se generalizará realmente hasta dentro de 3-5 años.
Oímos el ruido inevitable de muchos proveedores que afirman que ya tienen SASE, al igual que AT&T Wireless lleva más de un año afirmando que ofrece 5G.
He sido un cliente leal de AT&T Wireless durante más de 20 años, pero su afirmación es tan inexacta como la de los vendedores de SD-WAN que afirman tener soporte SASE ahora.
Si nos fijamos en la realidad, el simple hecho es que las necesidades de seguridad de las empresas exigen ahora mismo el poder de la elección.
La capacidad de adaptar una solución a las necesidades existentes -aquí y ahora- al tiempo que se mantiene la capacidad de migrar sin problemas a una arquitectura de destino SASE con el tiempo, a medida que esa pila de tecnología prevista emerge realmente como una solución convergente y fácil de gestionar que las empresas pueden desplegar con la facilidad de las soluciones X-as-a-Service, un enfoque que revolucionó la informática y la entrega de aplicaciones, pero que sigue eludiendo el mundo de las redes.
Las empresas necesitan poder de elección porque tienen necesidades arquitectónicas y/o normativas muy particulares.
La estrategia de seguridad de Aryaka siempre ha girado en torno a proporcionar el poder de elección:
- Modelos de arquitectura «Branch-heavy» o «Cloud-heavy» o una combinación personalizable de los mismos.
- Las mejores asociaciones tecnológicas con los líderes del sector de la seguridad.
- Ofrece un modelo gestionado opcional (muy popular) que proporciona simplicidad de despliegue y el mejor retorno de la inversión en tecnología, ya que todas las funciones avanzadas son configuradas y mantenidas por expertos en el dominio de Aryaka, haciendo que las complejas soluciones de red y seguridad sean tan fáciles de consumir como los servicios XaaS.
Ahora pasemos a la mejor parte: hoy anunciamos nuestra asociación tecnológica con Check Point.
Con la familia Check Point CloudGuard, ahora disponemos de soluciones líderes en el sector para todos los enfoques de seguridad que hemos presentado anteriormente:
- CloudGuard Edge soporta un enfoque de seguridad «branch-first» que se ejecuta como una función de red virtual (VNF) en el CPE ANAP de Aryaka, y combina las funciones de red avanzadas de Aryaka con las capacidades NGFW líderes de CloudGuard Edge.
- CloudGuard Connect proporciona un modelo de despliegue de seguridad centrado en la nube.
El CPE ANAP de Aryaka reenvía el tráfico a la nube de seguridad Check Point CloudGuard Connect a través de sencillas políticas de reenvío.
De este modo, las empresas pueden combinar las mejores capacidades de red de Aryaka, orientadas a la nube, con la arquitectura de seguridad que mejor se adapte a sus necesidades.
De inmediato, los clientes del mundo real respaldan el enfoque, como se muestra en nuestro comunicado de prensa.
Aún mejor, este enfoque se ofrece a sí mismo para proporcionar una migración sin fisuras de los modelos de seguridad «branch-heavy», aún prevalentes, a modelos «light-branch/heavy-cloud» en el futuro, a medida que las empresas se embarquen en la adopción de patrones de arquitectura de seguridad SASE.
Estamos muy contentos de colaborar con Check Point y proporcionar a las empresas el enfoque fácil de consumir y adaptado a las capacidades de red y seguridad que necesitan a medida que transforman inevitablemente sus infraestructuras WAN para convertirse en Cloud-First.
Sobre el autor
Paul es director del equipo de marketing de productos de Aryaka.
Paul cuenta con más de 20 años de experiencia en marketing de productos, gestión de productos, ingeniería de ventas, desarrollo empresarial e ingeniería de software en Cisco, LiveAction, Bivio Networks y StrataCom.
A Paul le gusta bucear, las motos, los proyectos de software abierto y la pintura al óleo.
Gokul es director del equipo de gestión de productos de Aryaka.
Tiene más de 12 años de experiencia en gestión de productos e ingeniería de software en diversos dominios de Seguridad, Redes, SD-WAN y virtualización de redes.
