El perímetro de servicios de acceso seguro (Secure Access Service Edge), conocido como SASE y pronunciado «sassy«, fue descrito originalmente por Gartner en dos informes de investigación de mercado: «Tendencias del mercado: cómo ganar cuando WAN Edge y la seguridad convergen en el Secure Access Service Edge» y «El futuro de la seguridad de la red está en la nube«. Pero, ¿Qué es SASE exactamente y cuáles son los beneficios clave de SASE?

¿Qué es SASE?

Para empezar, el perímetro seguro empresarial con acceso interno abierto ha desaparecido en gran medida. Las amenazas provienen del malware enviado a los sistemas internos a través de ataques de spear phishing. El perímetro de la red ahora existe dondequiera que se encuentren los empleados cuando se conectan a la red empresarial, como en casa, en una cafetería y de vacaciones. SASE prevé los mecanismos necesarios para proporcionar seguridad de TI integrada con conectividad de red en el punto de acceso.

¿Qué es SASE?

Las aplicaciones han pasado del centro de datos corporativo a los proveedores de nube y de software como servicio (SaaS). Una aplicación podría estar todavía en un centro de datos corporativo. Otra aplicación se ha trasladado a una nube pública, mientras que un proveedor de SaaS proporciona una tercera aplicación. Otras aplicaciones dependen de los datos recopilados por los dispositivos de internet de las cosas (IoT) que no tienen un ser humano para proporcionar credenciales de autenticación y autorización. Esencialmente, los patrones de tráfico de la red han cambiado, lo que significa que la red y los sistemas de seguridad deben adaptarse.

La seguridad y el rendimiento de la red se ven desafiados por los flujos de tráfico de la red que atraviesan la infraestructura de comunicaciones que ya no está bajo el control de los equipos de seguridad y redes corporativas. En cambio, la seguridad de la red debe centrarse en la identidad de los dispositivos, empleados, socios y clientes por igual.

SASE prevé un rendimiento de red óptimo para todas las aplicaciones, al tiempo que integra controles de seguridad más cerca del usuario. Reemplaza el perímetro seguro con seguridad integrada en toda la red. Los puntos finales se conectan a instancias de análisis SASE basadas en la nube, que brindan los servicios de seguridad. Luego reenvían el tráfico de red permitido y seguro a su destino previsto. La ubicación basada en la nube hace que sea conveniente reenviar el tráfico a la nube y las aplicaciones SaaS. El enrutamiento óptimo y la calidad de servicio (QoS) se utilizan para enrutar el tráfico a las aplicaciones que residen en el centro de datos corporativo.

Claramente, SASE introduce alguna innovación en torno a la seguridad del borde de la red. Entonces, profundicemos en cinco beneficios clave de SASE.

Las aplicaciones pueden estar en un centro de datos corporativo, estar en una nube pública o privada, o ser una oferta de SaaS. La seguridad y la conectividad de red centralizada no son óptimas para esta amplia distribución de aplicaciones. La arquitectura distribuida de SASE facilita la realización de funciones de seguridad cerca del usuario final, al tiempo que simplifica la conectividad a las aplicaciones.

La gestión centralizada de las políticas de seguridad agiliza los aspectos de red y seguridad de los trabajadores remotos, independientemente de su ubicación. En esencia, el perímetro de la red es donde existe el punto final, incluso si está en una red que no está controlada por el personal de la organización. La seguridad se aplica de forma dinámica, con políticas basadas en el rol de la entidad de conexión.

SASE integra varias funciones de seguridad en un sistema:

  • reputación de DNS
  • RBI
  • acceso a la red de confianza cero
  • prevención de pérdida de datos (DLP)
  • protección de malware
  • agente de seguridad de acceso a la nube
  • firewall como servicio
  • detección de intrusos
  • prevención de intrusiones
  • puerta de enlace web segura

La integración con el enrutamiento garantiza que el tráfico sea seguro y se enrute correctamente a través de los enlaces deseados. Deben investigarse los detalles de cómo se enruta el tráfico y dónde residen los controles de seguridad durante la investigación de su producto. Algunos proveedores dependerán de una red privada virtual (VPN) para sistemas de seguridad basados ​​en la nube, mientras que otros pueden depender de los dispositivos de equipos en las instalaciones del cliente (CPE).

El componente de enrutamiento inherente a SASE funciona de manera similar a SD-WAN. Debe esperar controlar los costos de WAN reduciendo o eliminando la necesidad de MPLS más costosos y circuitos arrendados a favor de la conectividad VPN a través de la internet pública. Las tecnologías de optimización de WAN también se pueden utilizar para hacer que la WAN sea más eficiente.

SASE se basa en una arquitectura distribuida con administración centralizada para ganar eficiencia, tal como lo hace SD-WAN. La administración centralizada suele estar en una instancia en la nube. Los puntos finales y las sucursales pueden utilizar dispositivos CPE dedicados o conectarse a una instancia en la nube que proporciona los mecanismos de seguridad. Los flujos de tráfico de la red se enrutan de manera óptima a su destino. La arquitectura basada en la nube puede ser más resistente cuando se enfrenta a ataques de denegación de servicio (DoS).

SASE proporciona mejores características de latencia de red que usar una VPN en un centro de datos corporativo, donde normalmente se ha implementado la seguridad. El tráfico que se ha protegido, ya sea a través de los dispositivos CPE o los sistemas de seguridad en la nube, se enruta directamente a su destino. El enrutamiento de trombón del tráfico hacia y desde un centro de datos solo para transitar los sistemas de seguridad ya no es necesario.