SASE o “Zero Trust”: ¿Qué enfoque de seguridad debemos utilizar en entornos distribuidos?

Los entornos de red actuales, cada vez más abiertos y distribuidos, hacen necesario replantearse por completo la estrategia de seguridad de red. Las empresas tienen cada vez más empleados que acceden a la red desde localizaciones remotas o desde sus domicilios. Las aplicaciones también están hoy día muy distribuidas, ya no residen sólo en el datacenter corporativo, sino en múltiples proveedores “cloud”.

Lo mismo ha ocurrido con los patrones de tráfico. En lugar de existir unos patrones de tráfico claros, la multitud de aplicaciones y usuarios y las sucesivas oleadas de digitalización que han llevado a cabo las empresas ha vuelto la tarea de controlar el uso de la red sumamente compleja.

Todo esto ha provocado que las estrategias de seguridad basadas en barreras ya no son viables. Toda la necesidad de control y seguridad se ha desplazado al extremo de la red, y es ahí donde entra en acción SASE.

Secure Access Service Edge (SASE) con “Zero Trust”

SASE es una buena manera de explicar el cambio de paradigma que está ocurriendo y cómo las empresas están reconsiderando sus arquitecturas de seguridad. Las redes van a necesitar más seguridad justo en el extremo, y la mejor manera de hacerlo es integrar dicha seguridad en el propio sistema.

SASE es esencialmente una combinación de tecnologías ya existentes, pero planteadas y orquestadas de manera distinta. Podríamos decir que los componentes clave de una arquitectura SASE serían una infraestructura de red extensa definida por software (SD-WAN) a la que añadimos un control de acceso a red basado en el principio de “Zero Trust” (ZTNA).

Zero Trust está íntimamente ligado a la tecnología SD-WAN. Adoptando control de acceso a red basado en “Zero Trust” al construir una arquitectura SASE se consigue un nivel de integración entre la red y la seguridad como nunca antes se había conseguido. En otras palabras, antes la seguridad era un componente adicional superpuesto a la infraestructura de red, con SASE la seguridad está integrada.

Un concepto clave de Zero Trust se llama "acceso con privilegios mínimos". Básicamente consiste en  otorgar al usuario acceso sólo a aquello que necesita para realizar su trabajo. En una empresa, un usuario solo tiene acceso a la información que requiere su función laboral, independientemente de su nivel de autorización de seguridad u otros privilegios. Si se implementa correctamente, es decir, se aplica a cualquier punto de la red corporativa, desde el campus corporativo a las oficinas remotas o al lugar de teletrabajo, reduce drásticamente la superficie de ataque y la exposición a posibles amenazas.

Otra buena práctica habitual en entornos de red con acceso “Zero Trust” es utilizar la identidad, tanto de usuarios como de dispositivos, no sólo para otorgar acceso específicamente a recursos y aplicaciones, sino también para segmentar usuarios, grupos y aplicaciones en pequeños (micro o hiper) segmentos. La segmentación limita aún más la exposición y evita el movimiento lateral de las amenazas dentro de la red.

El objetivo final debe ser implementar un modelo Zero Trust que permita a los usuarios trabajar de manera efectiva y no crear obstáculos en las operaciones diarias. Si no se satisfacen las necesidades del usuario y la seguridad se pone por encima de la solución en lugar de incorporarla, el sistema no funcionará, incluso en el caso de que se consiga una postura de seguridad robusta. En cambio, una solución integrada en el sistema teniendo en cuenta las necesidades del usuario incrementará la productividad de los empleados y facilitará la adopción de esta estrategia de seguridad. Por lo tanto, es recomendable optar por soluciones y arquitecturas Zero Trust que ofrecen un enfoque centrado en el usuario.

Por último, ¿es posible construir un entorno de red SASE? ¿existe la necesidad de una arquitectura SASE? En mi opinión, la respuesta es sí a ambas preguntas. Sin duda, existe la necesidad de proporcionar seguridad y acceso seguro de una manera diferente en el perímetro. Hay muchas maneras de implementar una arquitectura SASE, se necesitarán soluciones personalizadas para muchas empresas y sectores de actividad, y además algunas empresas necesitarán ecosistemas completos para que una configuración de SASE funcione correctamente.

Francisco García, System Engineering Director, Extreme Networks