SASE, la seguridad se marcha al borde de la red

Infraestructuras y aplicaciones multicloud y movilidad empresarial han impulsado la seguridad hacia los usuarios y los dispositivos. El tradicional modelo de seguridad de red, en la que el tráfico pasa por un datacenter para su inspección, se ha quedado totalmente obsoleto. Según Garner son más los usuarios, dispositivos, aplicaciones, servicios y datos localizados fuera de una empresa que dentro. En este nuevo contexto, la seguridad, que necesita moverse más allá del centro de datos, se ha empujado desde las redes a los usuarios y dispositivos. Llevar la seguridad a esas entidades evita tener que llevar el tráfico a través del centro de datos, y es lo que Gartner ha bautizado como SASE, o servicio de acceso seguro en el borde (o Secure Access Service Edge).

Este contenido fue el tema de portada del número de Abril de la revista IT Digital Security, disponible desde este enlace.

SASE (pronunciado “Sassy”) visualiza una arquitectura en la que todas las entidades de la empresa (dispositivos móviles, enrutadores y recursos en la nube) se conectan y están protegidas por un servicio administrado que se ejecuta en la nube. Se trata, en definitiva, de combinar elementos de SD-WAN y seguridad de red en un único paquete gestionado en la nube. Estas capacidades se entregan como un servicio basado en la identidad de la entidad, el contexto en tiempo real y las políticas de seguridad/cumplimiento. Las identidades se pueden asociar con personas, dispositivos, IoT o ubicaciones de computación de borde, explica Gartner en un post; “SASE combina funciones de seguridad de red [puerta de enlace web segura (SWG), agente de seguridad de acceso a la nube (CASB), firewall como servicio (FWaaS) y acceso a la red Zero Trust (ZTNA)], con capacidades WAN (es decir, SDWAN) para soportar las necesidades de acceso seguro dinámico de las organizaciones. Estas capacidades se entregan principalmente aaS y se basan en la identidad de la entidad, el contexto en tiempo real y las políticas de seguridad/cumplimiento”, y asegura también la consultora que esencialmente, “SASE es un nuevo paquete de tecnologías con la capacidad de identificar datos confidenciales o malware y la capacidad de descifrar contenido a velocidad online, con monitorización continua de sesiones para niveles de riesgo y confianza”.

Gartner espera que, para 2024, al menos el 40% de las empresas tendrán estrategias explícitas en torno a SASE, frente al 1% que las tenía a finales de 2018.

Otro datos en torno a este nuevo conceto tecnológico advierten de que para 2023, el 20% de las empresas habrán adoptado las capacidades SWG (secure web gateways), CASB (Cloud Access Security Brokers), ZTNA (Zero Trust Network Access) y FWaaS (Firewall-as-a-Service) del mismo proveedor, frente al 5% en 2019. Además, para 2025, al menos uno de los principales proveedores de IaaS ofrecerá un conjunto competitivo de capacidades SASE.

Acceso Seguro

El acceso seguro es uno de los elementos clave de la arquitectura SASE. Los privilegios de acceso se ven forzados por políticas basadas en las identidades de los usuarios y otro tipo de información, como la localización del usuario, de dónde procede su tráfico, la hora del día, la evaluación de riesgo/confianza del dispositivo del usuario, e incluso la sensibilidad de la aplicación o los datos a los que se accede.

Las capacidades principales de SASE incluyen autenticación multifactor y acceso a aplicaciones y servicios controlados por políticas de firewall. Por lo tanto, los usuarios solo pueden acceder a aplicaciones autorizadas sin ingresar a la red general. SASE también puede detectar datos confidenciales y evitar que salgan de la red aplicando reglas específicas de prevención de pérdida de datos.

Por cierto, que en su informe Gartner advierte que algunos proveedores intentarán satisfacer a los clientes combinando productos separados o adquiriendo productos puntuales basados en dispositivos que luego se alojan en la nube, lo que probablemente resulte en una mayor latencia y un bajo rendimiento. “Esto no debería ser una sorpresa, ya que así es como los proveedores heredados han atacado nuevos mercados en el pasado”, aseguran desde la consultora, añadiendo que los compradores deben asegurarse de que el proveedor esté entregando un conjunto integrado de servicios nativos de la nube.

SD-WAN

Para muchos SASE es la evolución de SD-WAN, una tecnología que se utiliza para conectar oficinas remotas a las redes corporativas. Según los expertos, una arquitectura SASE en la parte superior de una SD-WAN permite la seguridad de extremo a extremo, ya sea que la fuente sea un trabajador remoto, una sucursal o una sede. Las capacidades de prevención de amenazas inherentes a SASE incluyen el cifrado de todas las comunicaciones, cortafuegos, filtrado de URL, antimalware y sistemas de prevención de intrusiones (IPS). Estas capacidades están disponibles para todos los bordes de red conectados en todo el mundo.

Es decir, SASE combina elementos de SD-WAN y seguridad de red en un único servicio basado en la nube. Es compatible con todo tipo de bordes, incluidos WAN, dispositivos móviles, la nube y la computación perimetral. Entonces, en lugar de conectar una sucursal a la oficina central, conecta usuarios y dispositivos individuales a un servicio centralizado basado en la nube. Con este modelo, el punto final es el usuario, dispositivo o aplicación individual, no el centro de datos. Este enfoque cuenta con una serie de ventajas, y parece que las más destacada es la agilidad; desde el momento en que la seguridad es intrínseca a la red, las empresas no tendrían que retrasar la implementación de nuevas aplicaciones y servicios. “La velocidad es la nueva moneda de negocios, y SASE permite a las empresas moverse más rápido”, aseguran desde Gartner.

En todo caso, y sobre todo por el momento, SASE no debería disuadirle a la hora de optar por soluciones SD-WAN, aunque sí debería ser parte de cualquier conversación sobre la dirección a la que hay que ir.

Ventajas de SASE

Como hemos comentado, una arquitectura SASE identifica usuarios y dispositivos, aplica seguridad basada en políticas y brinda acceso seguro a la aplicación o datos apropiados. Además, puede ayudar a las empresas de diferentes maneras. Una de las ventajas que aporta es la flexibilidad ya que con una infraestructura basada en la nube se puede implementar y ofrecer servicios de seguridad como prevención de amenazas, filtrado web, sandboxing, seguridad DNS, prevención de robo de credenciales, prevención de pérdida de datos y políticas de firewall de próxima generación. El estar basado en cloud también mejora el rendimiento, ya que, con una infraestructura en la nube, puede conectarse fácilmente a cualquier lugar donde se encuentren los recursos; el acceso a aplicaciones, Internet y datos corporativos está disponible a nivel mundial.

Por otra parte, SASE permite utilizar una sola plataforma, evitando tener que comprar, y sobre todo administrar, productos de puntos múltiples. Es decir: utilizar una sola plataforma reducirá los costes y recursos de TI.

Junto a la flexibiliad y la reducción de costes, la simplificación es otra de las ventajas de este nuevo modelo de seguridad porque se reduce la cantidad de productos de seguridad que se tienen que administrar, actualizar y mantener. Además, el enfoque de Zero Trust para la nube elimina los supuestos de confianza cuando los usuarios, dispositivos y aplicaciones se conectan.

También se mejora la prevención de amenazas y la protección de datos. La inspección completa del contenido integrada en una solución SASE, genera una mayor seguridad y visibilidad en su red, mientras que la implementación de políticas de protección de datos dentro de un marco SASE ayuda a prevenir el acceso no autorizado y el abuso de datos confidenciales.

En todo caso, la mayor ventaja es que mover la seguridad al Edge y tomar decisiones de cumplimiento basadas en la identidad de una entidad en el origen de una conexión (usuario, dispositivo, sucursal, IoT, ubicación, etc.) es ideal para el perímetro actual, móvil y en cualquier momento/requisitos de acceso en cualquier lugar.

Precauciones

No hace mucho que se habla de SASE, pero como suele ser habitual con cualquier sigla acuñada por una consultora, el interés que ha despertado es enorme. Aseguraba Gartner antes de terminarse 2019 que este año veríamos anuncios en torno a este nuevo concepto, empresas listas para competir en este nuevo mercado. “Además, estamos viendo múltiples proveedores establecidos de los mercados de redes y seguridad desarrollando nuevas ofertas basadas en la nube y/o mejorando la entrega existente en la nube”, decía Andrew Lerner en el post.

El vicepresidente de Garner añadía a continuación una serie de ideas a tener en cuenta al mirar las ofertas de SASE: Tenga cuidado con los proveedores que proponen brindar servicios al vincular una gran cantidad de características a través del encadenamiento de servicios de VM, especialmente cuando los productos provienen de una serie de adquisiciones o asociaciones. Este enfoque puede acelerar el tiempo de comercialización, pero dará como resultado servicios inconsistentes, poca capacidad de administración y alta latencia. Además, recomendamos contratos SASE a corto plazo de uno a dos años como máximo, ya que los modelos de licencia están en constante cambio. Favorezca a los proveedores de SASE que ofrecen la simplicidad de las licencias de suscripción basadas en identidad/entidad (no basadas en el ancho de banda) en todas las ofertas.

De manera más concreta, hay quien enumera lo que se debe tener en consideración a la hora de evaluar a un proveedor de SASE:

- Una red integrada y seguridad como servicio. Evite múltiples productos de proveedores con capacidades de integración deficientes.
- Busque soluciones creadas desde un grupo con ofertas en redes y seguridad, y soluciones con un buen contexto de intercambio de datos para obtener una imagen completa de extremo a extremo.
- Opte por soluciones escritas en tecnología nativa de la nube, en especial las ofertas basadas en contenedores que aprovechan la tecnología de microservicios.
- Filtrado de seguridad basado en identidad y en los principios de Zero Trust. Seleccione productos que permitan políticas granulares basadas en identidades inmutables de humanos y máquinas.
- Opte por soluciones con API abiertas para una mejor integración con el resto de la suite de control y basada en tecnologías de próxima generación como inteligencia artificial y aprendizaje automático.

Para terminar, un último consejo publicado en NetworkWorld: Nosotros, como industria, estamos viendo proveedores tratando de capitalizar SASE al cambiar el nombre de sus soluciones como ofertas de SASE. Algunos son dispositivos sin capacidades en la nube; otros son servicios de seguridad sin capacidades de red. Para que TI sepa la diferencia entre una verdadera plataforma SASE y una "falsa", la prueba de fuego es simple: si el centro de gravedad está en los aparatos; si la oferta carece de SD-WAN y si hay más de una consola de administración; no es SASE, y no es el futuro.

Cuatro aspectos esenciales que no deben faltan en una propuesta SASE:

Global SD-WAN Footprint.  Los proveedores de servicios SASE deberían proporcionar un servicios SD-WAN global con su propia red privada compuesta de puntos de presencia (PoP) en todo el mundo. El tráfico se enruta a través de su red, evitando los problemas de latencia global de Internet.

Inspección distribuida y aplicación de políticas. La inspección de seguridad y la aplicación de políticas se distribuyen a través de los PoP de un proveedor de SASE. El tráfico no se retrocede para la inspección de seguridad. Los servicios de seguridad principales incluyen SWG, CASB, ZTNA y FWaaS.

Arquitectura nativa de la nube. Un servicio SASE debe usar una pila de software convergente, nativa de la nube y multiempresa, no un servicio discreto de redes y dispositivos de seguridad encadenados.

Impulsado por la identidad. La seguridad y el acceso a la red se entregan en función de la identidad del usuario, no de una dirección IP. La identidad puede ser el nombre del usuario, pero también tendrá en cuenta el dispositivo que se está utilizando y la ubicación del usuario.