[20/08/2020] Las empresas que consideren la adopción del modelo Secure Access Service Edge (SASE) deben ser conscientes de que existen numerosas formas de implementarlo que pueden adaptarse a sus necesidades futuras y a las realidades de sus redes heredadas.
Según la definición de Gartner, que acuñó el término, SASE exige que la seguridad se incorpore como parte de la red y se entregue como un servicio en la nube, pero eso podría no ajustarse a las circunstancias que enfrentan todas las empresas.
Dependiendo de las necesidades, puede tener más sentido que SASE se entregue como un paquete de servicio administrado, o incluso en una arquitectura que incluye infraestructura de seguridad de propiedad privada que se administra desde la nube -alternativas que pueden lograr los mismos objetivos.
Entendiendo las opciones de SASE
SASE es el siguiente paso para la transformación de la red de área amplia (WAN). La arquitectura WAN actual se ha mantenido prácticamente igual durante casi cuatro décadas. Las SD-WAN dieron un gran salto hacia adelante e hicieron que la red fuera más eficiente, pero no la transformaron. SASE la optimiza para las tendencias actuales como la nube, la movilidad e incluso el aumento del teletrabajo inducido por el NCOVID-19.
Un problema con SD-WAN es que crea nuevos desafíos de seguridad. Por ejemplo, las SD-WAN facilitan la configuración de un túnel dividido desde una sucursal para que los trabajadores puedan tener acceso directo a la nube, en lugar de tener que pasar por la WAN corporativa y salir al centro de datos. Esto mejora la experiencia del usuario y usa la red de manera más eficiente, pero también crea un gran agujero de seguridad.
Una forma de solucionarlo sería poner un firewall en cada sucursal, pero es costoso y crea un rompecabezas operacional, porque mantener docenas o incluso cientos de firewalls sincronizados es difícil, si no imposible.
SASE aborda esto integrando capacidades de seguridad en la red para que se conviertan en un servicio de red. El manejo de la seguridad y las redes se realiza a través de la nube para que los administradores puedan hacer un cambio y enviarlo a todas las ubicaciones a la vez.
La integración de la seguridad y las redes no solo hace evolucionar la WAN, sino que la transforma. Las WAN tradicionales, incluyendo las SD-WAN, conectan y aseguran sucursales y oficinas centrales de las empresas. SASE permite a las empresas conectar trabajadores remotos, puntos finales de IoT y cualquier otra cosa que necesite conectarse.
Para las empresas que consideren la implementación SASE, es importante que comprendan que existen numerosas formas de consumirlo. Aquí se presentan algunas.
SASE nativo de la nube
Siguiendo la definición de Gartner, SASE nativo de la nube es donde todos los servicios de red y seguridad están disponibles a través de la nube. La única infraestructura local es un dispositivo de hardware liviano similar a un enrutador doméstico que dirige la conexión al nodo de la nube.
Recientemente, algunos proveedores de SASE han lanzado clientes de software que permiten que una computadora o un punto final de IoT se conecten directamente a la nube, eliminando la necesidad de hardware adicional.
El beneficio de este enfoque es que cualquier ubicación tan pequeña como un solo dispositivo puede tener servicios de red y seguridad de nivel empresarial. La desventaja es que, para ubicaciones grandes, SASE genera una cantidad significativa de tráfico de red ya que todas las inspecciones de seguridad se realizan en la nube. SASE nativo de la nube es más adecuado para organizaciones altamente distribuidas con muchas ubicaciones pequeñas. Las compañías de seguros y los minoristas son buenos ejemplos.
SASE on-premises administrado en la nube
Aunque el mundo está muy entusiasmado con la nube, todavía hay un papel para la infraestructura local. Al administrar SASE desde la nube, cada ubicación tendría su propio enrutador, firewall, gestión unificada de amenazas (UTM) y otros dispositivos de seguridad. Manejarlos desde la nube es fundamental para el éxito, porque proporciona la facilidad de uso de SASE nativo de la nube.
El gran beneficio es que toda la inspección de seguridad se realiza de manera local, mejorando el rendimiento de sitios grandes. Un gran inconveniente es, obviamente, el costo de abastecer de hardware a cada sitio.
Otro beneficio es que este enfoque ofrece cierto nivel de protección de la inversión. Si la organización compró recientemente infraestructura local, es posible que no esté lista para deshacerse de ella. El cambio a un enfoque administrado en la nube permite a las empresas seguir utilizando sus enrutadores, firewalls y otros dispositivos relativamente nuevos.
SASE local administrado en la nube debe utilizarse para organizaciones que cuentan con cientos o miles de trabajadores en un solo lugar. Las organizaciones de fabricación y las instituciones de salud son ejemplos de ello. Además, las empresas que prefieren un modelo de autogestionado deberían elegir este enfoque.
SASE administrado
Si bien SASE ofrece muchos beneficios, aumenta la complejidad de la WAN. Los ingenieros de red deben considerar factores como dónde usar túneles divididos, el nivel de meshing entre oficinas, cómo proporcionar seguridad, la creación de perfiles de usuario y otros factores. Las WAN heredadas eran ineficientes, pero tenían menos consideraciones.
SASE permite a las empresas hacer mucho más con la red, pero también aumenta la complejidad más allá de lo que muchas organizaciones pueden abordar y resolver. SASE administrado tiene la ventaja de permitir que un tercero con experiencia en las mejores prácticas configure y ejecute la red.
La desventaja es la pérdida de control. Una tendencia reciente ha sido que los proveedores de servicios gestionados (MSP) ofrezcan servicios cogestionados en los que las organizaciones puedan realizar tareas con las que se sientan cómodas y transferir otras funciones al MSP. Las empresas que buscan trasladarse rápidamente a SASE, pero son altamente tolerantes al riesgo, deberían considerar un servicio gestionado.
Híbrido es una opción
En última instancia, la mayoría de las organizaciones de cualquier tamaño significativo probablemente adopten un enfoque híbrido en el que se use una combinación de SASE nativo de la nube y local. Por ejemplo, una firma de abogados global con una o dos oficinas por país, donde cada ubicación tiene cientos de empleados, podría utilizar la infraestructura local para las oficinas físicas, pero conectar a los teletrabajadores con un servicio nativo de la nube. Otro ejemplo son las organizaciones de fabricación que usan infraestructura local para grandes instalaciones y conectan sus vehículos autónomos mediante servicios en la nube.
Estrategias para la adopción de SASE
Un camino rápido hacia SASE puede ser cambiar la infraestructura actual para que sea administrada por las herramientas de administración en la nube de los proveedores de equipos. Es probable que los productos fabricados en los últimos dos años ofrezcan esa opción, aunque los clientes no la utilicen actualmente. El uso de estas herramientas puede garantizar que las políticas y los parámetros de configuración se transfieran fácilmente de una WAN tradicional a SASE.
Si está considerando adoptar un enfoque nativo de la nube, averigüe si el proveedor ofrece una ruta hacia la infraestructura local administrada en la nube. Esto se vuelve importante a medida que crece el número de ubicaciones corporativas.
Al momento de la implementación, si las empresas tienen varias ubicaciones pequeñas, probablemente prefieran un enfoque en la nube. Con el tiempo, si una o más de las ubicaciones crecen hasta el punto en que la sobrecarga de la red empieza a causar problemas, la empresa querrá cambiar a un modelo local administrado en la nube. Idealmente, el proveedor debería poder ofrecer un plan de transición para que se lleve a cabo sin interrupciones.
Otra consideración clave es la seguridad. Algunos de los proveedores más pequeños de SASE tienen sus propias pilas de seguridad, pero es posible que la organización del cliente prefiera la comodidad de usar un proveedor de marca. Muchos proveedores de SD-WAN se han asociado con las principales compañías de seguridad para completar sus capacidades de SASE. De esa manera, los clientes potenciales pueden averiguar qué proveedor de seguridad está involucrado para asegurarse de que estén trabajando con su proveedor de seguridad preferido.
Las empresas deben asegurarse de que su proveedor de SASE tenga un buen dashboard que brinde visibilidad y capacidades analíticas. Aunque esto no es parte de la definición de Gartner, debería serlo. Las redes no son estáticas y necesitan evolucionar como lo hacen las empresas. Esto requiere visibilidad de extremo a extremo de los patrones de tráfico de red, la densidad de usuarios, políticas de seguridad y otros factores.
Los proveedores de SASE deben proporcionar esto para que los clientes puedan estar informados y realizar cambios cuando sea necesario. Incluso si se utiliza un servicio gestionado, el MSP debe proporcionar visibilidad del entorno. Es natural no poder administrar ni asegurar lo que no se puede ver, y cuando hablamos de SASE, es fundamental verlo todo.
Zeus Kerravala, Network World (EE.UU.)
Zeus Kerravala es el fundador y principal analista de ZK Research.