Secure Access Service Edge (SASE) es un componente de la arquitectura zero trust que protege los elementos de la red dentro y fuera de los límites tradicionales de una red. Con la transformación digital de los negocios, una fuerza laboral remota cada vez mayor, y el uso de servicios en la nube para correr aplicaciones, la seguridad se está migrando hacia la nube, y SASE está ofreciendo esa seguridad.
Las redes computacionales solían consistir de una red en la oficina y un data center específico para la empresa. Un empleado iría a la oficina e iniciar sesión en una computadora, accediendo a aplicaciones que corrían en el data center. Todas las transacciones de la empresa ocurrían dentro del perímetro de la red.
Este enfoque tradicional de seguridad de la red establecía un firewall alrededor de la red. Una vez que un usuario se encontraba dentro del firewall, el protocolo de seguridad confiaría en la computadora, sin revisar las actividades del usuario en la red.
La transformación digital ha cambiado drásticamente cómo trabajan los empleados. Muchos empleados acceden a aplicaciones en la oficina o de forma remota que están en el internet, fuera de los confines del data center corporativo y sus protecciones. Por ejemplo, un empleado que accede a Salesforce podría estar con su laptop en su cocina. La aplicación podría residir en el internet, o el empleado podría acceder remotamente a la aplicación que se encuentra en el data center corporativo.
En el mundo laboral actual, el perímetro de la red que usábamos como protección ya no existe en esa forma, porque existen puntos de acceso en todas partes, y el internet es ahora nuestro vehículo para transferir información. El desafío en este ambiente es proteger los puntos de entrada hacia el ambiente corporativo, las "fronteras."
Para reforzar protocolos inadecuados para la seguridad perimetral en este ambiente disperso, los equipos de TI han terminado con muchos vendors, políticas y consolas, intentando y no siempre teniendo éxito para proteger los datos. SASE es una nueva solución para reducir la complejidad en la ciberseguridad y mejorar la efectividad para ambientes de acceso disperso.
El modelo SASE
SASE es una colección de tecnologías que combina funciones de redes (SD-WAN, VPN) y seguridad (SWG, CASB, FWaaS, ZTNA). Tales tecnologías se entregan tradicionalmente en soluciones puntuales en silos. SASE – o Zero Trust Edge – combina ambas en un solo servicio integrado en la nube.
El modelo SASE permite que las organizaciones unifiquen sus redes y fortalezcan su seguridad para usuarios y dispositivos dispersos.
Las organizaciones que buscan avanzar sus redes centradas en los usuarios y protocolos de administración de seguridad de la red están adoptando arquitecturas SASE para habilitar acceso a redes zero-trust. El modelo zero trust se trata de nunca confiar, siempre verificar y asumir compromiso hasta que una máquina demuestre que es confiable. El internet conecta todo, y no hay dispositivo que sea inherentemente confiable porque se trata de una plataforma abierta.
SASE es un elemento esencial en la arquitectura zero trust. Mucho de SASE no se trata de una nueva tecnología, sino de una combinación entre tecnología nueva y existente. SASE entrega controles de seguridad al usuario, dispositivo o ubicación de edge computing. Los protocolos anteriores de ciberseguridad establecían protección tipo firewall para un data center, pero SASE autentifica de acuerdo con la identidad digital, el contexto en tiempo real y políticas empresariales.
Existen tres componentes críticos de SASE:
Un SWG controla el acceso a internet y administra lo que un usuario puede acceder o no. Si un usuario intenta acceder o descargar algo desde un sitio web sospechoso o intenta acceder a una ubicación prohibida como un sitio de apuestas, el gateway lo bloquea.
Los ciberataques se han vuelto muy sofisticados. Justo cuando comenzamos a reconocer el estilo de un correo de phishing con palabras mal escritas y lenguaje extraño, los cibercriminales se vuelven más sofisticados. Ahora es casi imposible determinar cuáles correos son legítimos y cuáles vienen de hackers, incluso para usuarios experimentados.
La capacitación interna de ciberseguridad es clave para establecer una protección más robusta, pero los usuarios cometen errores incluso con capacitación. SWG es otra herramienta que puede usar su equipo de seguridad para ver todo el tráfico que entra y sale de la red. Si hay una amenaza, el equipo de seguridad puede usar SWG para mitigarla.
CASB regresa la visibilidad a las aplicaciones SaaS. Cuando un usuario se conecta a Salesforce, Office 365 u otra aplicación, su equipo de seguridad puede ver qué datos están transfiriendo sus usuarios, cuáles archivos se suben o descargan desde OneDrive o SharePoint, quién lo hizo y cuándo.
CASB es un software ubicado on-site o en la nube. Funciona como mediador entre usuarios y servicios en la nube con políticas de seguridad para accesos a la nube y rastrea acciones en la red.
El punto de inicio para el reporteo CASB es configurar las opciones para cada grupo de usuarios dentro de la organización. Un grupo podría tener la autorización para subir objetos pero no para descargar. Otro grupo podría editar documentos, y otro podría solamente leerlos. La empresa determina la política.
La empresa también determina las acciones a tomar si ocurre una acción prohibida. Su equipo de seguridad puede configurar protocolos para bloquear automáticamente la actividad o permitirla, y reportar el evento.
Los gateways ZTNA son el nuevo elemento de SASE. ZTNA es una arquitectura de seguridad que solo permite el acceso al tráfico entre usuarios, dispositivos y aplicaciones autentificados. No se confía en el tráfico y todos los dispositivos son sospechosos de tener intenciones maliciosas hasta que se demuestre lo contrario. ZTNA está reemplazando a las VPNs para autenticar de forma remota a los usuarios.
VPN es la tecnología tradicionalmente usada por las empresas para conectar usuarios remotos a las redes corporativas. VPN tiene varios problemas: es cara y a menudo la conexión no es estable. Además, las conexiones remotas ineficientes impiden que la gente haga su trabajo, costándole dinero a la empresa en productividad perdida.
El mayor problema con las VPNs es que ofrecen acceso remoto con pocos controles de seguridad. Un usuario accediendo a una red empresarial a través de una VPN desde una red doméstica autentifica y tiene acceso completo al front y back end de la red. El usuario procede a trabajar con el front end de la aplicación. Si una pieza de malware encuentra su camino hacia la computadora desde el internet, puede ir hacia el back end de la misma aplicación y obtener todos los datos, causando una brecha.
ZTNA elimina la capacidad del malware para moverse dentro de la red, porque ZTNA autentifica individualmente a cada usuario, dispositivo y aplicación como confiable en la red.
Vulnerabilidades de las VPNs:
El enfoque zero trust
El primer paso hacia zero trust es que la organización se comprometa a adoptar la arquitectura. Con el tiempo, los equipos de TI y seguridad pueden implementar gradualmente tecnologías de diferentes grupos de productos para incrementar la madurez.
Un punto de inicio es entender los problemas en su ambiente que afectan a la organización de forma diaria. Por ejemplo, si el acceso a internet está fuera de control – todos pueden acceder a todo, y los usuarios están descargando malware sin darse cuenta – SWG podría ser su tecnología inicial de zero trust.
El siguiente paso sería determinar cuáles son las aplicaciones SaaS que usan los empleados y quién puede acceder a qué. Aquí es importante incrementar la visibilidad de su equipo, para que puedan conceder accesos de forma adecuada para actividades autorizadas y asegurar que los usuarios se encuentran dentro de los lineamientos de políticas.
Al final, zero trust se trata de proteger datos
Aún con parámetros de seguridad SASE, su red aún no es completamente zero trust; pero se está moviendo hacia allá. Zero Trust es un camino para incrementar la seguridad de su red que toma tiempo, y si continúa en él, la seguridad mejorará.
Proteger un activo físico, como una laptop o un servidor, o un activo digital como una aplicación o cuenta de usuario no es la meta principal de la ciberseguridad. Se trata de proteger los datos utilizados por las operaciones de negocio, incluyendo nombres de usuario, contraseñas, datos corporativos propietarios, material confidencial e información de pagos.
Investigaciones Relacionadas
Artículos Relacionados