¿Ha oído la clásica fábula india en la que seis ciegos tocan diferentes partes de un elefante sólo para llegar a percepciones completamente diferentes de lo que es un elefante?
¿La historia le lleva a pensar si uno puede reclamar autoridad absoluta sobre un tema, basándose únicamente en una experiencia subjetiva?
Antes de contarles cómo se aplica esa narración al panorama actual de la SASE, dediquemos un momento a saborear la pegadiza versión de John Godfrey Saxe de «Los ciegos y el elefante»: Eran seis hombres de Indostán, Muy inclinados al aprendizaje, Que fueron a ver al Elefante (Aunque todos ellos eran ciegos), Para que cada uno mediante la observación Pudiera satisfacer su mente. El Borde de Servicio de Acceso Seguro, o SASE (pronunciado «sassy»), tal y como lo define Gartner, ha sido el tema de moda tanto en la industria de la seguridad como en la de las redes durante el último año.
Y por buenas razones.
Las empresas han estado quemando la vela por ambos extremos para mantenerse al día con las iniciativas de transformación digital en expansión que abarcan las redes y la seguridad, y con los limitados recursos y presupuesto de que disponen.
El equipo de red que ya estaba al límite tratando de acomodar las aplicaciones SaaS, los entornos multi-nube, IoT y las iniciativas de big data, ahora tiene la tarea de proporcionar un acceso rápido y fiable a todos estos servicios y aplicaciones a numerosos usuarios y dispositivos remotos que tratan de acceder a estas aplicaciones empresariales desde sus hogares y otras ubicaciones.
Lo último que querían era más complejidad y tendencias a las que mantenerse al día.
Pero quizás, todo este ajetreo hace que sea el mejor momento para adoptar SASE.
Descifrar el SASE
Antes de entrar en el «por qué» y el «cómo», es esencial entender primero, ¿qué es SASE?
Se trata de una arquitectura y categoría de tecnología empresarial introducida por Gartner en 2019.
Según Gartner, la definición abreviada de SASE es que hace converger las funciones de las soluciones de redes y puntos de seguridad en un servicio unificado, global y nativo de la nube.
Se trata de una evolución arquitectónica de las redes y la seguridad empresariales que facilita un servicio adaptable y ágil al negocio digital.
¿Demasiada jerga?
Sencillamente, el primitivo método hub-and-spoke de bombear todo el tráfico basado en sucursales y en la nube a través del centro de datos corporativo para proporcionar seguridad ya no sirve.
Tampoco lo es considerar las redes y la seguridad como dos silos separados.
El objetivo de SASE es proporcionar la misma pila de seguridad de red a través de la nube, asegurándose de que el tráfico nativo de la nube no tenga que llegar a las redes corporativas.
Pero espere… no es tan fácil.
Hay una razón por la que empecé este blog con esa historia del elefante.
Demasiados chefs estropean el pastel
Si busca en Google «¿Qué es SASE?», lo más probable es que acabe encontrando diez descripciones diferentes adaptadas por diez vendedores distintos de SASE a sus narrativas.
Aunque la novedad de SASE contribuye a la confusión, es imperativo entender lo que realmente significa SASE.
SASE no es simplemente convergencia de redes y seguridad.
La idea detrás de SASE va más allá del concepto de consolidación y profundiza en cómo debe verse, sentirse y entregarse esta solución convergente.
Su anteproyecto de SASE debería hacer especial hincapié en un modelo de servicios basados en la nube de un único proveedor de servicios gestionados.
Además, aunque SASE se generalice como un servicio prestado desde la nube, puede haber escenarios en los que una organización necesite complementar la solución basada en la nube con una física para obtener mejores resultados.
Por ejemplo, la necesidad de seguridad en el borde cuando se procesan datos sensibles en lugar de trasladar los datos a la nube para su inspección.
Esta fusión de capacidades de seguridad físicas y suministradas por la nube arraiga el papel de SASE en lo más profundo de la red, en lugar de externalizar la seguridad a un sistema totalmente aislado en el borde o en la nube.
Por qué es SASE y SD-WAN, no SASE vs. SD-WAN
Es curioso que las ofertas SASE se promocionen como sucesoras de la tecnología SD-WAN.
En todo caso, son complementarias entre sí.
Una SASE hace converger la seguridad en la nube con capacidades WAN integrales y, cuando se mezcla en la proporción adecuada, proporciona la máxima eficiencia en el flujo de tráfico y adaptabilidad de ciberseguridad.
Mientras que el SASE mitiga la latencia de las arquitecturas de backhaul a través de escapes locales de Internet, hace poco por eliminar la imprevisibilidad de la Internet pública.
¿Cómo puede asegurarse de que sus aplicaciones de misión crítica obtienen el carril prioritario sobre el tráfico de YouTube?
Además, sigue necesitando la potencia de la computación de borde para la conectividad de sucursal a DC o de sucursal a sucursal porque muchas aplicaciones empresariales sensibles a los datos no se van a trasladar a la nube a corto plazo.
SD-WAN es fundamental para la funcionalidad de la red, mientras que SASE la hace converger con otros servicios de seguridad como una pasarela web segura (SWG), acceso a la red de confianza cero (ZTNA), FWaaS y agente de seguridad de acceso a la nube (CASB) como capacidades básicas.
Con las fuerzas combinadas, tiene el potencial de crear una solución holística de conectividad y seguridad WAN.
Pero, ¿me ahorra dinero?
Por lo general, las organizaciones dependen de varios productos puntuales para proteger diferentes puntos de la red sensibles a las infracciones.
Estos pueden incluir cortafuegos de aplicaciones, dispositivos VPN u otros productos físicos para diferentes ubicaciones.
La mayoría de ellos vienen con sus propias políticas, protocolos, interfaces y soporte.
¿El resultado final?
Una solución desarticulada con complejidades administrativas y mayores costes operativos.
SASE le da la opción de prescindir de este modelo desarticulado montado mediante dispositivos virtuales y físicos de diversos proveedores.
En su lugar, ofrece un único modelo mano a mano, eliminando así el coste de aparatos diversos y mitigando las complejidades no deseadas que podrían producirse en los distintos puntos de integración.
Lo que también significa reducir el personal informático que lo gestiona.
A la larga, los usuarios verán mejorado el ahorro.
Aryaka: allanando el camino hacia el SASE
Las empresas necesitan poder de elección para adaptarse a sus necesidades arquitectónicas y/o normativas.
La estrategia de seguridad de Aryaka siempre ha girado en torno a proporcionar el poder de elección.
Un cortafuegos de acceso dentro del ANAP, el Secure Access Service Edge (SASE) de Aryaka, ofrece un control «norte-sur» en la sucursal. Aryaka Zones extiende esto a la LAN con seguridad «este-oeste», a través de la segmentación de sitios con acceso basado en políticas. Juntas, las dos capacidades segmentan el tráfico WAN hacia Aryaka e Internet, del tráfico LAN, tanto interno como DMZ. 
Nuestra solución también integra la funcionalidad avanzada de cortafuegos de próxima generación (NGFW) en el CPE de borde de servicio ANAP de Aryaka como una VNF (función de red virtual).
Aryaka puede asociarse con los mejores proveedores para ofrecer a las empresas soluciones óptimamente adaptadas a su arquitectura empresarial particular y a sus requisitos normativos. Aryaka se integra con Check Point CloudGuard Connect en el PoP de Aryaka, optimizando y asegurando todo el tráfico que aterriza en él.
Una tercera capacidad extiende la seguridad a la nube a través de los socios de seguridad de Aryaka, incluidos Zscaler, Palo Alto Networks y Symantec.
Por ejemplo, una empresa puede consumir la seguridad como servicio basada en la nube complementaria de Zscaler, con Aryaka dirigiendo el tráfico adecuadamente.
Alternativamente, los trabajadores remotos pueden acceder a Aryaka a través de Prisma Cloud Security Suite de Palo Alto, proporcionando autenticación y aceleración.
La solución combinada proporciona una estrecha integración de las capacidades WAN de Aryaka, totalmente gestionadas y orientadas a la nube, con las soluciones de seguridad de Check Point.
Proporciona los bloques de construcción para que las empresas adopten enfoques arquitectónicos emergentes como SASE, al tiempo que aprovechan la huella de prestación de servicios a través de los puntos de presencia (PoP) de servicios globales de Aryaka y sus capacidades de red multi-nube.
Y todo ello se entrega como un servicio. 
Paralelamente, el núcleo privado Aryaka proporciona conectividad particionada a todas las empresas, encriptando los datos y protegiendo contra ataques DDoS.
Dentro de la sucursal, las empresas tienen acceso al registro Syslog y Netflow, y a nivel de red, el portal en la nube MyAryaka proporciona un único panel de cristal para la configuración, supervisión y salud del servicio.
Como nota final, abordemos el elefante en la habitación.
¿Debería adoptar el enfoque DIY (hágalo usted mismo) o uno totalmente gestionado para SASE?
No es un secreto muy bien guardado que estar al tanto de todos los aspectos necesarios para configurar, operar y actualizar todos los elementos que componen una solución de seguridad de última generación es una empresa compleja y puede poner a su equipo de TI al límite.
Y lo que es más importante, dado que SASE sigue el paradigma de la nube, un servicio totalmente gestionado que siga el modelo de consumo en la nube OpEx se ajusta más al concepto y es una excelente forma de cambiar el gasto en TI a un modelo de pago por uso.
Si desea conocer en profundidad cómo es nuestra arquitectura de seguridad, lea nuestro libro blanco Arquitectura de seguridad...
¿Desea saber más sobre las Tendencias WAN globales más prevalentes? Regístrese en nuestro seminario web y comprenda lo que piensan los profesionales de TI y de redes, sus principales áreas de interés y cómo han cambiado las prioridades en el último año.
