SASE (Secure Access Service Edge) se ofrece como un servicio basado en la integración de cinco tecnologías: WAN definida por software (SD-WAN), puerta de enlace web segura (SWG), agente de seguridad de acceso a la nube (CASB), acceso a la red de confianza cero. (ZTNA) y firewall como servicio (FWaaS).
SASE está siendo empujado fuertemente en este momento por varios proveedores, aunque en términos de madurez, ha pasado el “pico de expectativas infladas” en el ciclo de publicidad de Gartner. En cuanto a las tecnologías de componentes, FWaaS se encuentra justo en la cima de la curva, mientras que los otros cuatro – CASB, SWG, SD-WAN y ZTNA – están subiendo la “Pendiente de la iluminación”.
Entonces, ¿qué hace que una integración de estas tecnologías de componentes sea más que la suma de sus partes? ¿Cuáles son los beneficios y las dificultades? ¿Y qué deberíamos preguntar a los proveedores al final de su discurso?
La mayoría de las grandes empresas suelen utilizar un modelo híbrido, con algunos servicios y datos en la nube y otros en las instalaciones. Estas organizaciones ya usarán un CASB para negociar la identidad entre los diferentes servicios en la nube y el entorno fijo, y la mayoría tendrá usuarios trabajando desde la oficina o de forma remota a través de una VPN que se conecta a un sitio central.
El enfoque tradicional sería que los trabajadores remotos se conecten a través de una VPN de túnel completo, de modo que todo el tráfico pase a través de la infraestructura fija de la empresa. Con una pequeña cantidad de trabajadores remotos y la mayoría de los datos y servicios en las instalaciones, esto funciona bien. Sin embargo, como resultado de la pandemia y de más servicios y datos que se trasladan a la nube, hemos visto un aumento dramático en el acceso remoto, lo que ha provocado una sobrecarga de VPN y cuellos de botella en las infraestructuras centralizadas a medida que los usuarios remotos acceden a la nube.
SASE tiene como objetivo evitar esto al permitir que los usuarios remotos se conecten de manera segura directamente a los servicios en la nube y la infraestructura empresarial, según corresponda. Esto se logra en parte mediante el uso de SD-WAN para cambiar dinámicamente la conectividad y CASB para intermediar los diversos servicios. Sin embargo, SASE también agrega confianza cero a través de ZTNA, WSG y FWaaS para brindar un acceso más detallado a los datos y servicios y para mejorar la seguridad general.
Esto se ofrece como un servicio único, que desde el punto de vista del usuario proporciona una conexión segura directa a todos los servicios y datos, sin el cuello de botella de la infraestructura fija de la empresa. Desde el punto de vista de la empresa, proporciona seguridad adicional y se proporciona como un servicio, lo que reduce los gastos generales de inversión y mantenimiento iniciales.
Dado que SASE es una integración de tecnologías existentes, ¿por qué no buscar lo mejor de cada tecnología y realizar la integración usted mismo? En teoría, esto podría ser posible, pero en la práctica, SASE requiere una integración muy estrecha entre las diferentes tecnologías de componentes, particularmente en torno a las identidades. CASB, ZTNA, SWG, etc. deben configurarse en mayor o menor medida con los derechos de acceso de los usuarios.
Tomar los componentes de los diferentes desarrolladores y configurar los derechos de acceso por separado para cada uno no es práctico y puede dar lugar a errores, mientras que intentar integrarlos a través de API (interfaces de programación de aplicaciones) y proporcionar una única interfaz de configuración sería un desafío y podría dar lugar a errores que comprometen la seguridad.
Sin embargo, pasar a SASE no resuelve todos los problemas de seguridad. Al alejarse de la VPN tradicional que se conecta a la empresa y las oficinas regionales que se conectan a la oficina central y luego a Internet, los usuarios se conectarán directamente desde donde estén. Cualquier infraestructura fija empresarial será efectivamente un conjunto de servicios accesibles a través de la nube, y la empresa seguirá siendo responsable de la seguridad de ese elemento. Además, las máquinas de los usuarios finales seguirán siendo responsabilidad de la empresa.
En el modelo tradicional, se habría utilizado una VPN de túnel completo para usuarios y oficinas remotas, lo que garantiza que no haya conexión directa a Internet. Con SASE, las PC de los usuarios y las oficinas remotas deberán configurarse para conectarse solo al punto de acceso a la nube o, si se mantiene una VPN, también a la infraestructura fija de la empresa. Además, la adopción de SASE significaría que el enfoque para el monitoreo de la seguridad y la respuesta a incidentes necesitaría ser revisado y actualizado.
Si los usuarios se conectan a través de la nube y utilizan predominantemente servicios en la nube, entonces será necesario confiar en el monitoreo proporcionado desde la nube. Los servicios de infraestructura fija y el almacenamiento de datos aún deberían ser monitoreados, pero ahora los usuarios ingresan a través de la nube. Además, si el acceso a Internet se realiza a través del servicio en la nube en lugar de a través de una VPN, o desde dentro de la empresa, es posible que no se vean los canales de comando y control de los atacantes o los datos que se extraen de un punto final comprometido.
Por lo tanto, el servicio SASE proporcionado deberá ser parte de las operaciones de seguridad diarias y una parte integral de cualquier actividad de respuesta a incidentes.
SASE también es un servicio relativamente nuevo, con proveedores que luchan por hacerse un hueco. No obstante, la clave de SASE es una estrecha integración entre las tecnologías. Por lo tanto, debe tener cuidado con los sistemas creados por la adquisición de nuevas empresas prometedoras para obtener acceso a las tecnologías de componentes y la integración flexible de sus tecnologías. Es poco probable que este enfoque cumpla la promesa de SASE.
Además, debido a la necesidad de una estrecha integración de varias tecnologías diferentes, que no todas serán las mejores y con las tecnologías individuales desarrollándose rápidamente, es probable que lo mejor ahora no sea lo mejor en unos pocos años. Es recomendable un enfoque cauteloso, con la capacidad de cambiar de proveedor o dar un paso atrás si las cosas no funcionan.
Un servicio SASE extiende de manera efectiva su perímetro de seguridad a la nube y brinda a los usuarios acceso directo a través de ese perímetro extendido o borde de la nube. También proporciona un acceso más controlado a los datos y servicios, lo que reduce la carga de configuración y los costos de mantenimiento al mismo tiempo. Sin embargo, esto pone más responsabilidad de la seguridad en manos del proveedor de servicios.
Por lo tanto, para algunas empresas, como las de defensa, infraestructura crítica y finanzas, que tradicionalmente mantienen toda la seguridad internamente, esto puede ser un paso demasiado lejos, al menos por ahora. Pero para otros que no tienen una gran inversión en infraestructura fija y buscan subcontratar, podría ser una opción atractiva. Los demás lo seguirán a su debido tiempo.