SASE: Cinco pasos hacia un enfoque moderno de la ciberseguridad

Muchas empresas se están dando cuenta de que los controles tradicionales de seguridad en el perímetro ya no se ajustan a la forma actual de trabajar y hacer negocios.

Esta toma de conciencia se debe en gran parte a la migración de muchos servicios de TI a la nube. Cuando los datos y las aplicaciones han abandonado el centro de datos y en su lugar se proporcionan desde entornos multicloud y con empleados móviles trabajando fuera de la red segura, la seguridad del perímetro se vuelve insuficiente.

Esta es una situación a la que todos nos enfrentamos hoy, sobre todo cuando la COVID-19 ha obligado a millones de empleados a trabajar a distancia. Es imposible afirmar si el uso masivo del teletrabajo en situaciones de crisis cambiará nuestra mentalidad una vez superada la epidemia. Sin embargo, la situación actual ha puesto de relieve una realidad: tratar de asegurar estos modernos entornos de trabajo utilizando conceptos de seguridad tradicionales tiene poco sentido. En el mejor de los casos no satisface las necesidades del usuario y en el peor abre importantes brechas en la defensa de la empresa.

Para agravar el problema, el panorama de riesgos no deja de cambiar. Ahora estamos viendo ataques dirigidos a usuarios determinados. Si la víctima no trabaja en la red segura habitual de la empresa, sino que utiliza dispositivos móviles (a veces personales) para acceder simultáneamente a datos y aplicaciones en la nube y en la red, tanto privada como empresarial, el riesgo de verse comprometidos aumenta considerablemente. Y es aquí donde se necesita un nuevo enfoque de seguridad.

SASE al rescate

El modelo SASE (Secure Access Service Edge) fue diseñado por Gartner e inspirado por las nuevas necesidades de los negocios en una era marcada por la (multi) nube y los usuarios móviles. Este modelo, que será todavía más importante con el uso generalizado de IPv6 y de los dispositivos conectados a Internet en todo momento, fue diseñado bajo la premisa de que la seguridad también debe venir de la nube para ser omnipresente.

La regla de oro de SASE es que el tráfico de información debe ser seguro a lo largo de todo su recorrido, desde el usuario hasta la aplicación, independientemente de dónde esté el usuario o dónde esté alojada la aplicación. Esto es una verdadera ruptura con el enfoque tradicional centrado en la red: a partir de ahora la seguridad está centrada en el usuario.

Este modelo se diseñó para proteger a los usuarios móviles y el tráfico en la nube. Pero hoy en día también está demostrando sus valor cuando las empresas lo adoptan para asegurar las conexiones de todos sus empleados trabajando en remoto.  SASE elimina la necesidad de desviar el tráfico de la red a un centro de datos a través de la red MPLS, un enfoque costoso y ahora innecesario.

El concepto de Gartner también tiene en cuenta el panorama en constante evolución de las aplicaciones. Como las diversas aplicaciones a las que un empleado puede necesitar acceder pueden estar alojadas en diferentes proveedores cloud, la infraestructura asociada se vuelve cada vez más compleja. Además, los usuarios esperan poder acceder a sus aplicaciones desde cualquier lugar, con cualquier dispositivo, y preferiblemente sin una configuración complicada. Con esto en mente, Gartner diseñó el enfoque SASE, que protege los datos a lo largo de su viaje desde el dispositivo del usuario hasta el destino, en lugar de solo proteger el destino.

Entendiendo SASE

La implementación del modelo SASE no ocurrirá de la noche a la mañana. Para asumir plenamente el concepto de seguridad "sin perímetro" de extremo a extremo, se necesitará una verdadera revolución cultural. El objetivo de los equipos de seguridad ya no será asegurar una red: la red, tal como la conocen, desaparecerá. O más precisamente: está disponible en cualquier lugar, incluso en la Internet pública. Por lo tanto, un verdadero modelo SASE debe ser visto como un servicio integral. Protege el espacio entre el usuario y el servicio al que se conecta. Así pues, el marco SASE cubre toda la comunicación del usuario entre cualquier punto de origen y cualquier punto final, esté donde esté; no obstaculiza el trabajo del usuario, sino que le permite acceder de forma segura a las aplicaciones y datos que necesita. SASE no puede compararse con ningún otro servicio conocido, ya que se trata de un marco completo compuesto por diferentes elementos, entre ellos SD-WAN, un perímetro definido por software y servicios de gestión de acceso e identidad.

Para establecer un sistema de seguridad basado en SASE, las empresas deben tener en cuenta estos cinco pasos:

1) Conocer su base de usuarios

Como primer paso, las empresas deben ser capaces de identificar a sus usuarios, de responder a preguntas como "¿Quién necesita acceso a qué servicios? ¿Cómo puede clasificarse esta base de usuarios según los derechos de acceso que necesitan para establecer políticas diferentes para los distintos tipos de usuarios? Un proveedor de identidad como Azure AD, Okta, o Ping suele ser una herramienta útil para crear la base de usuarios.

2) Tener una idea de los destinos de los usuarios

Además de conocer a sus usuarios, las empresas también tienen que pensar en los "destinos": ¿A qué necesita acceder el usuario? ¿Dónde están alojadas estas aplicaciones? Esta pregunta adquiere aún más importancia en el contexto de las infraestructuras multi cloud que son hoy tan frecuentes. Ya no se trata de que todas las aplicaciones estén alojadas en un único centro de datos, sino que se distribuyen entre múltiples proveedores de nubes y entre entornos privados y públicos. Estas dos piezas de información, el usuario y el destino,  son por lo tanto el punto de partida para una solución basada en SASE.

3) Agrupar las categorías de servicios y comprender su topología

Las empresas deben pensar no sólo en por qué un usuario tiene acceso a un servicio, sino también en dónde se encuentra el servicio y cómo se puede encaminar al usuario hacia él. Dado que las aplicaciones modernas pueden alojarse en cualquier nube, es importante mantener una visión general. Los proveedores de servicios en la nube seguirán diversificándose, con nuevos proveedores de nicho que se unirán a ellos para competir con los principales actores del mercado AWS, Azure y Google. Como las empresas quieren evitar el bloqueo de los proveedores, lo más frecuente es que busquen el entorno más apropiado para cada aplicación. Por lo tanto, es esencial desarrollar una arquitectura que permita una comprensión precisa de dónde se encuentra cada aplicación. Además, es importante que las empresas consideren cómo pueden agrupar sus aplicaciones en categorías de servicio para facilitar los controles de reglas y de acceso.

4) Definir las reglas

Siendo francos, SASE puede ser complejo de implementar, pero sólo si una organización tiene prisa por hacerlo y trata de hacerlo todo a la vez. Más bien, la mejor práctica consiste en aplicar las reglas de SASE a un perímetro conocido y controlado, y observar a lo largo del tiempo dónde es posible aplicar este modelo (poner en línea nuevas aplicaciones, integrar una nueva herramienta en modo SaaS, etc.). En un proceso en el que hay que descartar la urgencia.

Sobre todo, porque un servicio SASE debe ser adaptable, por lo que la empresa tendrá que definir diferentes reglas para diferentes tipos de circunstancias (elevando el nivel de autenticación requerido dependiendo del factor de riesgo dado por el usuario, la aplicación y el camino para llegar allí).

Para ello, será necesario gestionar el control de acceso en los puntos de origen y destino para decidir si se debe establecer una conexión entre el usuario y la aplicación y, en caso afirmativo, cómo. Aquí es donde se pueden utilizar soluciones del tipo "zero trust" para orientar al usuario hacia la aplicación pertinente de acuerdo con las normas y el contexto aplicables.

5) El camino óptimo para la aplicación

El último paso es dirigir el tráfico de usuarios a la aplicación por la ruta más corta posible. En este caso, una definición estática de la ruta, desde el punto de vista del usuario, puede no ser la más eficaz. Es necesario tener en cuenta la movilidad de los empleados, que deben poder ser dirigidos dinámicamente a la aplicación requerida desde cualquier lugar. Otro criterio importante para tener en cuenta es la optimización del ancho de banda, de modo que se dé prioridad a las aplicaciones críticas para la empresa. Aquí es donde entrarán en juego las interrupciones locales de Internet con los modelos SD-WAN y la gestión del ancho de banda, así como la supervisión de la calidad del servicio.

Una vez que una organización haya pasado por estos cinco pasos, estará en una excelente posición para probar el modelo SASE: seleccionar una sola aplicación o grupo de usuarios y comenzar el proceso de implementación en este perímetro reducido.

El objetivo de la transformación digital debería ser acelerar la innovación en lugar de obstaculizar los procesos empresariales. El modelo SASE puede ayudar a las empresas a construir una infraestructura global de TI que pueda evolucionar sin límites y que tenga en cuenta todos los requisitos de aplicación, red y seguridad.

Miguel Ángel Martos, Sales Director, Zscaler Iberia e Italia