En los últimos meses, el término borde de servicio de acceso seguro (SASE) se ha vuelto prominente y ha sido promovido por numerosos proveedores. SASE representa un concepto que integra una gama de servicios de seguridad nativos de la nube que incluyen agentes de seguridad de acceso a la nube (CASB), firewall como servicio (FWaaS), puertas de enlace web seguras (SWG) y acceso a la red de confianza cero (ZTNA), con Capacidades de red de área amplia (WAN) para entregar ambos directamente a cualquier ubicación de computación de borde.
En este contexto, el “borde” puede ser cualquier cosa, desde un solo usuario o dispositivo hasta sucursales completas o flotas de Internet de las cosas (IoT). Este enfoque aborda los problemas de cuello de botella de rendimiento de las redes tradicionales que dependen del backhauling del tráfico. Además, al integrar la identidad, el contexto empresarial y la evaluación de riesgos en tiempo real en cada conexión, las arquitecturas SASE prometen prevenir múltiples tipos de ciberataques.
La idea de ofrecer servicios de seguridad basados en SaaS con ZTNA y redes definitivamente no es nueva; algunos proveedores lo han estado haciendo durante más de una década. Aún así, los proveedores que ofrecen redes de área amplia definidas por software (SD-WAN) y otros servicios enumerados anteriormente, encuentran atractiva la repentina popularidad de SASE como una gran oportunidad de marketing. Sin embargo, para los compradores potenciales hay un par de aspectos a considerar.
SASE necesita ir más allá de agrupar varios servicios
Primero, SASE no es una arquitectura bien definida en un sentido estricto. Es más una lista parcial de tecnologías, donde los proveedores están llenando cada vez más el vacío hacia una arquitectura y para permitir que los diversos componentes trabajen juntos de manera efectiva.
Muy pocas de estas capacidades están prescritas por la definición o están presentes en todas las soluciones ofrecidas bajo el banner SASE. En cierto sentido, prácticamente todos los servicios de seguridad prestados desde una infraestructura en la nube cumplen los criterios básicos de SASE.
Pero agrupar varios servicios no será suficiente. La administración y aplicación de políticas consistentes en todo, el análisis de seguridad que abarca todos los elementos y una capacidad de administración integrada son obligatorios para hacer de SASE un concepto holístico, en lugar de simplemente ser un conjunto de servicios dispares. Sin embargo, ninguno de estos está incluido en la definición original.
Tenga cuidado con el bloqueo del proveedor
Un desafío importante que viene con esta necesidad de integración es el riesgo de bloqueo del proveedor. Si SASE es una ventanilla única, entonces el riesgo de quedar atrapado en el enfoque de un solo proveedor, a veces con pocos socios seleccionados, es grande. SASE necesita evolucionar para convertirse en una arquitectura abierta, flexible y basada en estándares, donde diferentes servicios de diferentes proveedores se pueden combinar fácilmente. Aún queda un largo camino por recorrer.
Otro aspecto a considerar es que, aunque las soluciones SASE a menudo incluyen ZTNA como una de las capacidades, se puede debatir si la dependencia de SD-WAN como infraestructura subyacente no contrasta con los principios básicos de confianza cero. El riesgo es asumir que SD-WAN siempre es seguro y se puede confiar en él.
Pero confiar en un solo elemento en la pila de seguridad de múltiples capas es exactamente de lo que no se trata la confianza cero. Sin embargo, con los otros elementos como CASB y ZTNA para un control de acceso a la red basado en identidad, no existe tal conflicto.
Considere puntos únicos de falla
El mayor riesgo podría surgir de tener una superposición en Internet que podría fallar. Si bien Internet fue diseñado para resistir importantes interrupciones, los incidentes recientes con proveedores de borde como Akamai o Cloudflare muestran claramente cómo la tendencia actual de revertir la naturaleza descentralizada de Internet puede conducir a cortes masivos. Desafíos similares con los CSP eventualmente han llevado a la aparición de “multicloud” como concepto de diseño. ¿Deberíamos planificar también arquitecturas de “múltiples bordes”?
SASE viene con la promesa de combinar el acceso a la red y los servicios de seguridad cibernética en uno, y desarrolla sus fortalezas como un solo panel de vidrio, administrado a través de un solo conjunto de políticas. Si se suscribe a un servicio de este tipo y necesita una funcionalidad adicional más allá de los casos de uso iniciales, es muy probable que también esté disponible del proveedor ya elegido. Lo que lo lleva a profundizar en la dependencia de un solo proveedor / proveedor de servicios.
Sin embargo, ¿Cómo afectará esto al riesgo de ataques de software fraudulentos a este proveedor? Hay un precio que pagar y los compradores deben ser conscientes de los riesgos implícitos que conlleva SASE.
Determinar si SASE agrega valor o complejidad
Por último, pero no menos importante, los compradores deben analizar primero sus casos de uso al considerar SASE. ¿Dónde agrega valor este enfoque y dónde simplemente agrega complejidad? Si los trabajadores de oficina solo acceden a los servicios SaaS, ¿por qué agregar una capa adicional de complejidad?
Por otro lado, para conectar fábricas, para casos de uso en comercio y logística, y para áreas que aún ejecutan una gran cantidad de TI heredada, como muchos de los bancos, SASE podría proporcionar un valor. Sin embargo, siempre existen alternativas para crear una infraestructura segura y confiable.
SASE no es, como la mayoría de los conceptos en TI, ni la solución perfecta para todo, ni es un simple zumbido de marketing. Los compradores deben mirar detenidamente más allá de las etiquetas, analizar sus propios casos de uso y requisitos, y comprender cómo se pueden abordar con las capacidades de una oferta de SASE en particular (no olvide que las capacidades pueden variar sustancialmente entre los proveedores). También tienen que pensar en el futuro: los requisitos de hoy cambiarán inevitablemente mañana, y una plataforma SASE debe ser lo suficientemente flexible para adaptarse a ellos rápidamente.
Solo una vez que se hayan tenido en cuenta todas estas consideraciones, estará en condiciones de tomar una decisión informada sobre si SASE se adapta bien a sus necesidades o no.