La semana pasada escribí en el blog sobre Aryaka HybridWAN y su innovador enfoque para ofrecer conectividad a Internet con SLA de clase empresarial a la sucursal.
Por supuesto, en cuanto se abren las sucursales a Internet, la seguridad es una de las principales preocupaciones.
Cuando se trata de la seguridad en SD-WAN, es fácil observar que existen dos enfoques genéricos en nuestra industria:
- La postura de la solución integrada, es decir, «Debería adquirir mi SD-WAN porque resulta que también viene integrada con mi solución de seguridad integrada, lo que le ahorra tener que conseguir la seguridad de cualquier otro. Confíe en mí, se adapta a sus necesidades».
Esta postura es bastante frecuente en el mundo de las SD-WAN, pero representa claramente una estrategia de bloqueo y puede resultar perjudicial para las preferencias y necesidades de seguridad particulares de las empresas. - La postura de solución abierta, que significa «Como empresa de SD-WAN entendemos que la mayoría de las empresas necesitan adaptar el enfoque de seguridad multicapa que se ajuste a sus necesidades particulares, por lo que proporcionaremos algunas capacidades de seguridad fundamentales, pero nos aseguraremos de mantener una postura abierta y también nos asociaremos con una serie de empresas de seguridad líderes para que nuestros clientes puedan personalizar realmente su solución de seguridad.»
Aryaka es una empresa de SD-WAN que suscribe firmemente la postura de la solución de seguridad abierta.
¿Las razones?
Ante todo, somos una empresa en la que el cliente es lo primero.
Nuestro informe State Of The WAN 2019 estableció firmemente que, aunque por supuesto la seguridad es una de las principales preocupaciones de todas las empresas que implementan SD-WAN, la mayoría de las empresas necesitan poder elegir.
Debido a una variedad de razones que van desde las preocupaciones de arquitectura empresarial hasta las necesidades normativas, una única solución de seguridad rara vez cubrirá todas las necesidades de la empresa.
Varios analistas del sector también han establecido repetidamente la necesidad de un enfoque de la seguridad basado en múltiples capas.
El enfoque de Aryaka con respecto a la seguridad es abierto y directo: En primer lugar, está el aspecto fundacional de la seguridad.
En la sucursal, se necesita un cortafuegos de estado básico y una segmentación basada en políticas.
Integramos ambas funciones en nuestro dispositivo para sucursales, el ANAP (Aryaka Network Access Point).
Llamamos a esta función Aryaka Zones, y la incluimos en nuestro ANAP como funcionalidad básica gratuita.
Zones proporciona un cortafuegos de estado para la seguridad de acceso básica, segmentando la sucursal del mundo exterior.
Además, en Zones, creamos una estricta segmentación interna del tráfico basada en políticas, lo que normalmente significa una separación estricta de Internet público (WiFi de invitados, aplicaciones de consumo, etc.), seguridad en la nube, DMZ y tráfico corporativo.
Nuestras políticas son flexibles para acomodar hasta 32 Zonas en una sucursal.
Puede aprovechar las Zonas Aryaka no sólo para la segmentación Este-Oeste, sino también para imponer una comunicación restringida y segura entre los segmentos, dentro de la sucursal o entre sucursales. En segundo lugar, Aryaka se asocia con líderes en seguridad en la nube como Zscaler, Palo Alto Networks, Symantec y otros para ofrecer opciones y una integración sencilla.
Pero volvamos a la habilitación arquitectónica: La segmentación basada en VLAN está muy bien, pero hay muchos casos de aplicación que requieren segmentación en la Capa 3, lo que se denomina VRF (Virtual Routing and Forwarding).
Un caso de uso clásico para la segmentación en la Capa 3 con VRF es la multitenencia.
No se sorprenderá ahora si le digo que nosotros también proporcionamos esa función: también está incluida en nuestro ANAP.
Desde el punto de vista arquitectónico, cuando implementa la segmentación multicapa y admite un marco de políticas global, admite una arquitectura de microsegmentación.
Sin embargo, escúcheme bien: Aryaka no proporciona la pila completa para una solución de microsegmentación que soporte el llamado enfoque de confianza cero para la seguridad.
Proporcionamos la habilitación arquitectónica en L2 y L3.
Existen marcos de políticas e identidades estándar de facto de mayor nivel en la industria para vincular la capacidad fundacional de microsegmentación L2/3 a un marco global para ofrecer la denominada postura de Confianza Cero.
La microsegmentación y la confianza cero son inseparables, en cuanto hable de una, los expertos del sector le preguntarán por la otra.
Entonces, ¿qué es la confianza cero?
Como ocurre con muchas cosas hoy en día, no existe un estándar industrial, así que lo simplificaré: Confianza cero Es una postura de seguridad que no permite que nada ni nadie entre en la empresa a menos que se confirme su identidad, y cuando se les concede el acceso se les asigna mediante políticas a unos pocos microsegmentos elegidos en la red.
Se podría decir que la Confianza Cero es el movimiento contrario a la premisa de conectividad universal que permitieron las redes IP.
La pila de conectividad universal de IP permitió una revolución en la industria, pero esa conectividad universal se convirtió en un lastre.
En consecuencia, empezamos a derrotar la conectividad universal.
Primero llegaron los cortafuegos.
Le siguió la detección de intrusiones.
La gestión unificada de amenazas fue la siguiente parada.
Pero si lo piensa bien, todas esas son posturas defensivas pasivas.
La Confianza Cero representa un movimiento disruptivo y ofensivo en la arquitectura de seguridad empresarial.
Una cosa más sobre una arquitectura de Confianza Cero: está claro que requiere un enfoque muy abierto por parte de cada proveedor tecnológico implicado en la pila, ningún proveedor cubrirá por sí solo todos los dominios empresariales y todas las capas de la pila tecnológica.
Claramente, los proveedores de SD-WAN que abogan por una solución de seguridad única e interna están perdiendo el tren de hacia dónde nos dirigimos con la seguridad empresarial.
Resumiendo: El enfoque abierto de Aryaka hacia la seguridad multicapa ofrece la posibilidad de elección que prefieren las empresas y que las posturas de seguridad emergentes de Confianza Cero requieren como habilitador fundacional.