Las organizaciones de hoy requieren acceso inmediato e ininterrumpido a la red y a los recursos y datos basados en la nube, incluidas las aplicaciones críticas para el negocio, sin importar dónde se encuentren sus usuarios. La realidad es que los patrones de consumo están cambiando debido a la implementación de 5G, las migraciones a la nube, el trabajo sostenido desde casa y resultados similares de los esfuerzos de innovación digital. Esto ha transformado la red tradicional en una red de muchos bordes.
Al mismo tiempo, estas configuraciones de red que cambian dinámicamente y la rápida expansión de la superficie de ataque significa que muchas soluciones de seguridad tradicionales ya no brindan el nivel de protección y control de acceso que requieren las organizaciones y los usuarios. En este entorno, la seguridad debe entregarse en cualquier lugar, en cualquier momento y para cualquier dispositivo: WAN Edge, Cloud Edge, DC Edge, Core Network Edge, Branch Edge y Mobile Remote Worker Edge. Esto requiere la convergencia de la seguridad tradicional y la basada en la nube, así como una profunda integración entre la seguridad y los elementos fundamentales de la red.
Definiendo con precisión SASE
SASE está diseñado para ayudar a las organizaciones a proteger estas nuevas redes distribuidas. Sin embargo, como ocurre con cualquier categoría de tecnología emergente, todavía existe cierta incertidumbre sobre lo que significa exactamente una solución SASE y qué tecnologías se incluyen. Además, los proveedores están intentando redefinir este mercado de la manera que mejor refleje sus ofertas actuales, lo que significa que algunos elementos se están exagerando y otros, a menudo elementos esenciales, se pasan por alto. Desafortunadamente, algunas definiciones de mercado de SASE ya incluyen omisiones importantes que confunden a algunas organizaciones acerca de cómo seleccionar, implementar y administrar mejor el tipo de solución adecuado para sus entornos únicos.
No solo nube
SASE generalmente se clasifica como un servicio entregado en la nube , que brinda acceso seguro a recursos basados en la nube, comunicaciones seguras entre usuarios remotos y seguridad siempre activa para dispositivos fuera de las instalaciones. Sin embargo, hay situaciones en las que las organizaciones pueden requerir una combinación de soluciones físicas y basadas en la nube para que SASE funcione de manera eficaz. Esto puede incluir el soporte de una solución SD-WAN física en su lugar que ya contiene una pila completa de seguridad, o el deseo de brindar protección en el borde al procesar información confidencial o sensible en lugar de enviarla a la nube para su inspección.
Al combinar elementos físicos y basados en la nube, la función de SASE también se puede extender fácilmente a lo profundo de la red, en lugar de simplemente transferir la seguridad a un sistema completamente diferente en el borde. Esto garantiza que una conexión SASE segura se integre a la perfección con soluciones críticas que también dependen del hardware, como la segmentación de la red y los requisitos de cumplimiento que un enfoque de seguridad estrictamente basado en la nube no puede abordar, para proporcionar protección de extremo a extremo.
LAN y WAN seguras
Algunas definiciones de SASE también omiten aspectos como Secure LAN y Secure WLAN, que son consideraciones esenciales para muchas organizaciones. Incluir este tipo de tecnologías en una solución SASE ayuda a garantizar que la seguridad se aplique de manera consistente en toda una arquitectura de seguridad, en lugar de implementar componentes de seguridad separados para su implementación SASE, lo que podría crear brechas en la aplicación de políticas de seguridad y limitar la visibilidad. Y para que SASE funcione como una extensión de una LAN o WLAN segura existente, también deberá admitir soluciones físicas como enrutamiento y controladores de optimización WAN (WoC), junto con SD-WAN para la selección dinámica de rutas. También debe funcionar de manera uniforme, ya sea que utilice una solución NGFW o FWaaS, así como ZTNA tanto física como basada en la nube. soluciones, junto con herramientas de red como controladores WLAN / LAN / 5G , para garantizar un acceso seguro a la red y una segmentación dinámica.
Consumo flexible
Pero independientemente de qué herramientas se utilicen o dónde se implementen, existe un problema central que debe recordarse. Cada solución SASE no solo debe satisfacer las necesidades de acceso de hoy, sino que también debe tener la capacidad de adaptarse rápidamente a los cambios de red y los requisitos comerciales que evolucionan rápidamente a medida que ocurren. Esto explica un criterio clave para SASE, que son los modelos de consumo flexibles que brindan a las organizaciones opciones en función de sus casos de uso únicos para lograr la verdadera visión de SASE.
Componentes del modelo SASEDefinición de elementos de seguridad esenciales
Toda verdadera solución SASE debe incluir un conjunto básico de elementos de seguridad esenciales. Para aprovechar todo el potencial de una implementación de SASE, las organizaciones deben comprender e implementar estos componentes de seguridad en el borde de la WAN, el borde de la LAN y el borde de la nube.
- Una solución SD-WAN completamente funcional . SASE comienza con una solución SD-WAN que incluye elementos como la selección de rutas dinámicas, capacidades WAN de recuperación automática y una aplicación y una experiencia de usuario coherentes para las aplicaciones comerciales.
- Un firewall NGFW (físico) o FWaaS (basado en la nube). SASE también debe incluir una pila completa de seguridad que abarque escenarios físicos y basados en la nube. Por ejemplo, los trabajadores remotos requieren una combinación de seguridad basada en la nube para acceder a los recursos ubicados en línea, y seguridad física y segmentación interna para evitar que los usuarios de la red accedan a los recursos restringidos de la red corporativa. Sin embargo, el hardware físico y la seguridad nativa de la nube deben ofrecer el mismo alto rendimiento a escala, lo que permite la máxima flexibilidad y seguridad.
- Acceso a la red de confianza cero . Se utiliza principalmente para identificar usuarios y dispositivos y autenticarlos en aplicaciones. Debido a que ZTNA es más una estrategia que un producto, incluye varias tecnologías que trabajan juntas, comenzando con la autenticación multifactor (MFA) para identificar a todos los usuarios. En el aspecto físico, ZTNA debe incluir control de acceso a la red (NAC) seguro, aplicación de políticas de acceso e integración con segmentación de red dinámica para limitar el acceso a los recursos en red. Y en el lado de la nube, ZTNA necesita admitir cosas como la microsegmentación con inspección de tráfico para comunicaciones seguras Este-Oeste entre usuarios y seguridad siempre activa para dispositivos tanto dentro como fuera de la red.
- Una puerta de enlace web segura . Se utiliza para proteger a los usuarios y dispositivos de las amenazas de seguridad en línea al hacer cumplir las políticas de seguridad y cumplimiento de Internet y filtrar el tráfico de Internet malicioso. También puede hacer cumplir las políticas de uso aceptable para el acceso web, garantizar el cumplimiento de las regulaciones y evitar la filtración de datos.
- UN CASB . Un servicio basado en la nube permite a las organizaciones tomar el control de sus aplicaciones SaaS, lo que incluye asegurar el acceso a las aplicaciones y eliminar los desafíos de Shadow IT. Esto debe combinarse con DLP local para garantizar una prevención integral de la pérdida de datos.
SASE: la convergencia de redes y seguridad
En un nivel alto, la implementación de SASE realmente se reduce a permitir una conectividad segura y el acceso a recursos críticos desde cualquier lugar en cualquier borde. Desafortunadamente, muy pocos proveedores pueden proporcionar esto porque sus carteras están llenas de productos adquiridos dispares o simplemente no tienen la amplitud suficiente para proporcionar todos los elementos de seguridad que requiere una solución SASE sólida. E incluso cuando lo hacen, sus soluciones simplemente no interoperan lo suficientemente bien como para ser efectivas.
Esto es un problema, porque para que SASE funcione bien, todos sus componentes deben interoperar como un único sistema integrado: conectividad, redes y elementos de seguridad por igual. Lo que significa que cada componente debe diseñarse para interoperar como parte de una estrategia integrada unida por una única solución de gestión y orquestación centralizada. También deben integrarse sin problemas con el marco de seguridad corporativo más amplio, así como adaptarse dinámicamente a medida que evolucionan los entornos de red. De lo contrario, no es una verdadera solución SASE.
El reciente impulso del mercado en torno a SASE es emocionante porque subraya la necesidad de un enfoque de redes basadas en la seguridad . En la era de la conectividad en la nube y la innovación digital, las redes y la seguridad deben converger. No hay vuelta atrás a arquitecturas anticuadas y aisladas.
