Secure Access Service Edge (SASE) es un componente de la arquitectura de confianza cero que protege los elementos de la red dentro y fuera de un límite de red tradicional. Debido a la transformación digital de las empresas, al mayor número de trabajo remoto y al uso de servicios en la nube para ejecutar aplicaciones, la seguridad se está trasladando a la nube, y el SASE proporciona esa seguridad.
Antiguamente las redes informáticas consistían en una red de oficina y un datacenter específico a una empresa. Un empleado iba a la oficina e iniciaba sesión en un ordenador, accediendo así a las aplicaciones que se ejecutaban en el datacenter. Todas las transacciones de la empresa tenían lugar dentro de un perímetro de red.
Este enfoque de seguridad de redes tradicional establecía un firewall alrededor de la red. Si el usuario estaba dentro del firewall, el protocolo de seguridad confiaba en el ordenador y no comprobaba el resto de actividades del usuario en la red.
La transformación digital cambió drásticamente la forma en la que los empleados trabajan. Muchos empleados acceden a aplicaciones en la oficina o de forma remota y que están alojados en internet fuera del amparo del datacenter corporativo. Por ejemplo, un empleado que accede a Salesforce puede estar en un ordenador portátil encima de una mesa de cocina. La aplicación puede estar alojada en internet, o el empleado puede acceder de forma remota a la aplicación alojada en el datacenter de la empresa.
En el mundo laboral actual, ya no existe el perímetro de red que utilizábamos para proteger dado que hay puntos de acceso por todos lados e internet es nuestro vehículo para la transferencia de información. El desafío en este entorno es proteger los gateways nuevamente en el entorno empresarial, el "perímetro."
Para reforzar los protocolos de seguridad de un perímetro inadecuado en este entorno tan disperso, los equipos de TI han acudido a numerosos proveedores, políticas y consolas intentando, sin total éxito, proteger los datos. SASE es una nueva solución para reducir la complejidad de la ciberseguridad y mejorar la efectividad de entornos con accesos dispersados.
SASE es un conjunto de tecnologías que combinan redes (SD-WAN, VPN) y funciones de seguridad (SWG, CASB, FWaaS, ZTNA). Tales tecnologías habitualmente se proporcionaban en soluciones específicas e independientes. SASE, o perímetro con confianza cero, combina todas estas soluciones en un único servicio de nube integrado.
Componentes del modelo SASE
Red de área extensa definida por software (SD-WAN):
SD-WAN optimiza el tráfico de red seleccionando dinámicamente la ruta más eficiente, mejorando el rendimiento y la fiabilidad. Se integra con SASE para garantizar una conectividad segura y de alto rendimiento para usuarios remotos.
Red privada virtual (VPN):
Las VPN crean túneles seguros para el acceso remoto, pero carecen del control granular de las tecnologías más recientes. Dentro de SASE, las VPN se mejoran con medidas de seguridad adicionales para proporcionar una gestión de acceso remoto más sólida.
Secure Web Gateway (SWG):
Los SWG protegen el tráfico conectado a Internet filtrando contenido dañino y haciendo cumplir el cumplimiento de normativa. En el marco SASE, proporcionan protección frente a amenazas online y garantizan una navegación segura.
Cloud Access Security Broker (CASB):
Las CASB gestionan y protegen el acceso a la nube, ofreciendo visibilidad y control sobre la transferencia de datos entre usuarios y servicios en la nube. Son cruciales en SASE para proteger aplicaciones y datos basados en la nube.
Firewall como servicio (FWaaS):
FWaaS ofrece capacidades de firewall basadas en la nube, proporcionando seguridad y gestión centralizadas. Integrado en SASE, protege frente a amenazas externas a la vez que admite un entorno de red distribuido y centrado en la nube.
Acceso a red de confianza cero (ZTNA):
ZTNA restringe el acceso a las aplicaciones en función de la identidad y el contexto del usuario, reduciendo el riesgo de acceso no autorizado. Dentro de SASE, ZTNA proporciona un enfoque seguro y adaptativo para el acceso remoto.
Las organizaciones que buscan avanzar en sus redes centradas en los usuarios y los protocolos de seguridad de gestión de redes están adoptando una arquitectura SASE para permitir el acceso a la red con confianza cero. El modelo de confianza cero consiste en no confiar nunca, siempre verificar y asumir el compromiso hasta que se demuestre que el equipo es de confianza. Internet lo conecta todo y ningún dispositivo es inherentemente de confianza dado que es una plataforma de información abierta.
SASE es un elemento fundamental en la arquitectura de confianza cero. La mayor parte del SASE no es una tecnología nueva, sino una combinación de tecnologías nuevas y ya existentes. SASE ofrece controles de seguridad para el usuario, el dispositivo o la ubicación de acceso perimetral. Los protocolos de ciberseguridad anteriores establecían la protección de firewall para un datacenter, pero el SASE autentica con base en la identidad digital, el contexto en tiempo real y las políticas de la empresa.
Existen tres componentes fundamentales del SASE:
Ventajas de SASE para empresas
Reduce los costes:
SASE consolida las funciones de seguridad en un servicio basado en la nube, reduciendo los gastos de hardware y los costes de gestión.
Disminuye la complejidad:
Al unificar múltiples soluciones de seguridad, SASE simplifica la gestión, reduciendo la complejidad asociada con la gestión de diversas herramientas y proveedores.
Compatible con la alineación de políticas de seguridad y red:
SASE garantiza una aplicación coherente de las políticas de seguridad y red en todos los entornos, mejorando la seguridad general.
Reduce los incidentes de seguridad:
Gracias a los controles de seguridad integrados, SASE mejora la detección y respuesta ante amenazas, reduciendo la probabilidad de ataques exitosos.
Proporciona una experiencia perfecta a los usuarios en cualquier ubicación:
SASE ofrece un acceso seguro y de alta velocidad a las aplicaciones desde cualquier lugar, mejorando la productividad y la experiencia del usuario para los empleados remotos e híbridos.
Un SWG controla el acceso a internet y gestiona el acceso a lo que un usuario puede o no acceder. Si un usuario intenta acceder o descargar algo de un sitio web sospechoso o intenta acceder a un destino prohibido como un sitio de apuestas, el gateway lo bloquea.
Los ciberataques se han vuelto cada vez más sofisticados. Justo cuando comenzamos a reconocer el antiguo estilo de un email de phishing con palabras con errores ortográficos y una redacción rara, los agentes maliciosos se han vuelto más sofisticados. Ahora es prácticamente imposible identificar qué emails son legítimos y cuáles proceden de hackers, incluso para los usuarios más experimentados.
La formación interna de ciberseguridad es integral para establecer una protección más sólida, pero los usuarios cometen errores incluso con formación. El SWG es otra herramienta que su equipo de seguridad puede utilizar para ver todo el tráfico hacia y desde su red. Si hay una amenaza, el equipo de seguridad puede utilizar el SWG para mitigarla.
El CASB devuelve la visibilidad a las aplicaciones SaaS. Cuando un usuario se conecta a Salesforce, Office 365 u otra aplicación, su equipo de seguridad puede ver qué datos están transfiriendo sus usuarios, qué archivos se están cargando o descargando desde OneDrive o SharePoint, quién lo hizo y a qué hora.
El CASB es un software ubicado en el centro o en la nube. Hace de mediador entre los usuarios y los servicios en la nube con políticas de seguridad para accesos a la nube y hace un seguimiento de las acciones en la red.
El punto de partida para la creación de informes de CASB es configurar las opciones para cada grupo de usuarios dentro de la organización. Es posible que un grupo tenga autorización para cargar, pero no para descargar. Es posible que un grupo edite documentos y otro solo pueda verlos. La empresa establece la política.
Y la empresa también establece las acciones a realizar si tiene lugar una acción prohibida. Su equipo de seguridad puede establecer protocolos para bloquear automáticamente la actividad o permitirla que ocurra e informar del evento al visor de eventos.
Los gateways de ZTNA son el nuevo elemento de SASE. ZTNA es una arquitectura de seguridad que solo concede acceso al tráfico entre aplicaciones, dispositivos y usuarios autenticados. No se confía en el tráfico, y todos los dispositivos finales son sospechosos de tener un intento malicioso hasta que se demuestre lo contrario. ZTNA está reemplazando a las VPN para la autenticación remota de usuarios.
La VPN es la tecnología que tradicionalmente utilizaban las empresas para conectar usuarios remotos a la red corporativa. La VPN tiene diversos problemas: es costosa y, a menuda, establece una conexión inestable. Además, las conexiones remotas no efectivas provocan dolores de cabeza a los trabajadores que quieren realizar su trabajo, lo que se traduce en una pérdida de dinero para la empresa al haber una pérdida de productividad.
El mayor problema con la VPN es que ofrece acceso remoto con unos pocos controles de seguridad. Un usuario que accede a una red corporativa mediante una VPN desde su red doméstica se autentica y tiene acceso total al front y back end de la red. El usuario procede a trabajar en el front end de la aplicación. Si un fragmento de malware encuentra una manera de acceder al ordenador desde internet, puede ir hasta el back end de la misma aplicación y capturar todos los datos, provocando una filtración de datos.
ZTNA elimina la capacidad del malware de moverse por el interior de la red porque ZTNA autentica de forma individual a cada usuario, dispositivo y aplicación como de confianza en la red.
Vulnerabilidades de la VPN:
Enfoque de confianza cero
El primer paso hacia la confianza cero es que la organización se comprometa a adoptar la arquitectura. A lo largo del tiempo, los equipos de seguridad y TI pueden implementar gradualmente las tecnologías de distintos grupos de productos para aumentar la madurez.
La base de partida es comprender los problemas de su entorno que afectan diariamente a la organización. Por ejemplo, si el acceso a internet está fuera de control, cualquier persona puede acceder a todo y los usuarios están descargando malware sin saberlo, la SWG podría ser su primera tecnología de confianza cero.
El siguiente paso podría ser determinar qué aplicaciones SaaS utilizan los empleados y quiénes acceden a qué. Tiene sentido aumentar la visibilidad de su equipo de seguridad, para que puedan conceder acceso correctamente para las actividades autorizadas y garantizar que los usuarios se mantienen dentro del marco de la política.
La clave de la confianza cero es la protección de sus datos.
Incluso con los parámetros de seguridad del SASE aplicados, su red no está completamente alineada con la confianza cero, sino que está en dirección a ella. La confianza cero es un viaje a lo largo del tiempo que tiene la finalidad de aumentar la seguridad de su red, y si continúa en el camino, la seguridad mejorará repetidamente.
La protección de un activo físico, como un ordenador portátil o servidor, o de un activo digital como una cuenta de usuario o aplicación no es el principal objetivo de la ciberseguridad. El objetivo es la protección de los datos utilizados por las operaciones empresariales, incluidos nombres de usuario, contraseñas, datos corporativos patentados, material confidencial e información de pago.