[05/10/2020] Secure Access Service Edge (SASE) es una arquitectura de red que integra la red de área amplia definida por software (SD-WAN) y la seguridad en un servicio en la nube que promete un despliegue WAN simplificado, una mayor eficiencia y seguridad, y proporcionar el ancho de banda adecuado para cada aplicación.
Debido a que es un servicio en la nube, SASE (que se pronuncia "sassy") puede ser fácilmente ampliado, reducido y facturado en base al uso. Como resultado, puede ser una opción atractiva en una época de cambios rápidos.
Aunque algunos proveedores en este espacio ofrecen dispositivos de hardware para conectar a los trabajadores en casa y los centros de datos corporativos a sus redes SASE, la mayoría maneja las conexiones a través de clientes de software o dispositivos virtuales.
Gartner creó el término SASE y lo describió por primera vez en un documento técnico del 2019, en el que establece sus objetivos y cómo debe ser una implementación de SASE. La firma consultora señala que SASE aún está en desarrollo, y que todas sus características pueden no estar fácilmente disponibles todavía.
Echemos un vistazo más de cerca.
¿Qué es SASE?
En pocas palabras, SASE combina las capacidades de SD-WAN con la seguridad, y las entrega como un servicio. Las políticas de seguridad que se aplican a las sesiones de usuarios son diseñadas específicamente para cada una con base en cuatro factores:
- La identidad de la entidad que se conecta.
- El contexto (salud y comportamiento del dispositivo, sensibilidad de los recursos a los que se accede).
- Las políticas de seguridad y cumplimiento.
- Una evaluación continua del riesgo durante cada sesión.
El lado WAN de SASE depende de las capacidades suministradas por distintas entidades, incluyendo proveedores de SD-WAN, portadores, redes de suministro de contenido, proveedores de redes como servicio, agregadores de ancho de banda y proveedores de equipo de redes.
El lado de la seguridad se basa en intermediarios de seguridad de acceso a la nube, gateways web seguros en la nube, acceso a redes de confianza cero, firewall como servicio (firewall-as-a-service -FWaaS), protección de web-API como servicio, DNS y aislamiento de navegadores remotos.
Lo ideal es que todas estas capacidades sean ofrecidas como un servicio SASE por una sola entidad que los reúna todo, señala Gartner.
¿Dónde está el edge?
Normalmente, la parte "edge" de SASE es entregada a través de puntos de venta (PoPs) o centros de datos de proveedores cercanos a los puntos finales -los centros de datos, la gente y los dispositivos- donde sea que estén. En algunos casos, el proveedor de SASE es dueño de los PoPs, mientras que en otros utiliza un tercero o espera que los clientes proporcionen su propia conectividad.
Beneficios de SASE
Al ser un servicio único, SASE reduce la complejidad y los costos. Las empresas tratan con menos proveedores, la cantidad de hardware requerido en las sucursales y otras ubicaciones remotas disminuye, y el número de agentes en los dispositivos de usuario final también disminuye.
Los ejecutivos de TI pueden establecer políticas de forma centralizada a través de plataformas de gestión basadas en la nube, y las políticas son aplicadas en PoPs distribuidos cerca de los usuarios finales.
Los usuarios finales tienen la misma experiencia de acceso, independientemente de los recursos que necesiten y del lugar en el que estén ubicados ellos y los recursos. SASE también simplifica el proceso de autenticación aplicando las políticas adecuadas para cualquier recurso que el usuario busque con base en el inicio de sesión inicial.
La seguridad aumenta porque las políticas son aplicadas por igual, independientemente del lugar en el que se encuentren los usuarios. A medida que surgen nuevas amenazas, el proveedor de servicios se ocupa de cómo protegerse de ellas, sin nuevos requisitos de hardware para la empresa.
SASE soporta la red de confianza cero, que basa el acceso en el usuario, el dispositivo y la aplicación, no en la ubicación ni la dirección IP.
Más tipos de usuarios finales -trabajadores, socios, contratistas, clientes- pueden obtener acceso sin el riesgo de que la seguridad tradicional -como las VPN y las DMZ- se vea comprometida y se convierta en una cabecera de playa para posibles ataques generalizados a la empresa.
Los proveedores de SASE pueden suministrar diversas calidades de servicio, para que cada aplicación obtenga el ancho de banda y la capacidad de respuesta de red que necesita.
Con SASE, el personal de TI de la empresa tiene menos tareas relacionadas con el despliegue, el monitoreo y el mantenimiento, y se le pueden asignar tareas de mayor nivel.
Los desafíos de SASE
Gartner enumera varios obstáculos para la adopción de SASE.
Algunos servicios podrían quedarse cortos inicialmente porque son implementados por proveedores con experiencia ya sea en redes o seguridad, y carecen de experiencia en la otra mitad.
Las ofertas iniciales de SASE pueden no estar diseñadas con una mentalidad nativa de la nube porque la experiencia heredada de los proveedores es vender hardware en las instalaciones, por lo que podrían optar por arquitecturas en las que la infraestructura esté dedicada a un cliente a la vez.
De manera similar, los proveedores de hardware heredado pueden carecer de experiencia con los proxies en línea que necesita SASE, razón por la cual podrían tener problemas de costo y rendimiento.
Asimismo, puede que algunos proveedores tradicionales carezcan de experiencia en la evaluación del contexto, lo que podría limitar su capacidad para tomar decisiones conscientes del contexto.
Debido a la complejidad de SASE, es importante que los proveedores tengan características bien integradas, no unas que estén agrupadas.
La construcción global de PoPs puede resultar demasiado costosa para algunos proveedores de SASE. Esto podría llevar a un rendimiento desigual en todas las ubicaciones, debido a que algunos sitios podrían estar ubicados lejos del PoP más cercano, introduciendo latencia.
Los agentes de punto final de SASE tendrán que estar integrados con otros agentes para simplificar los despliegues.
Las transiciones de SASE pueden poner en tensión al personal. Las guerras territoriales podrían estallar cuando SASE afecte las redes y los equipos de seguridad. Cambiar de proveedores para adoptar SASE podría requerir reentrenar al personal de TI de la empresa para manejar la nueva tecnología.
¿Por qué es necesario SASE?
Gartner dice que actualmente hay más funciones tradicionales del centro de datos de la empresa alojadas fuera que dentro de éste -en nubes de proveedores de IaaS, en aplicaciones SaaS y almacenamiento en la nube. Las necesidades de la IoT y el edge computing solo aumentarán esta dependencia de los recursos basados en la nube; sin embargo, la arquitectura de seguridad de WAN sigue estando adaptada a los centros de datos empresariales en las instalaciones.
Normalmente, los usuarios remotos se conectan a través de VPNs y requieren de firewalls en cada ubicación o en dispositivos individuales. Los modelos tradicionales hacen que se autentiquen ante la seguridad centralizada que otorga el acceso, pero también puede enrutar el tráfico a través de esa ubicación central. Esta arquitectura heredada se ve obstaculizada por la complejidad y el retraso.
Con SASE, los usuarios finales y los dispositivos pueden autenticarse y obtener acceso seguro a todos los recursos a los que están autorizados, y llegar protegidos por la seguridad ubicada cerca de ellos. Una vez autenticados, tienen acceso directo a los recursos, abordando los problemas de latencia.
De acuerdo con el analista de Gartner, Nat Smith, SASE es más una filosofía y una dirección que una lista de características. Pero, en general, dice, SASE se compone de cinco tecnologías principales: SD-WAN, firewall como servicio (FWaaS), agente de seguridad para el acceso a la nube (CASB), gateway web seguro y acceso a la red de confianza cero.
SD-WAN integrada
Tradicionalmente, la WAN se compone de una infraestructura autónoma, que a menudo requiere una fuerte inversión en hardware.
La versión SASE está basada en la nube, es definida y administrada por software, y tiene PoPs distribuidos que, en el mejor de los casos, están ubicados cerca de los centros de datos, las sucursales, los dispositivos y los trabajadores de las empresas. Tener muchos PoPs es crucial para asegurar que la mayor cantidad posible de tráfico empresarial acceda directamente a la red SASE, evitando los problemas de latencia y seguridad de la Internet pública.
A través del servicio, los clientes pueden monitorear la salud de la red y establecer políticas para sus requerimientos específicos de tráfico.
Debido a que el tráfico de Internet primero pasa por la red del proveedor, SASE puede detectar el tráfico peligroso e intervenir antes de que llegue a la red de la empresa. Por ejemplo, los ataques DDoS pueden ser mitigados dentro de la red de SASE, salvando a los clientes de las inundaciones de tráfico malicioso.
Firewall como servicio
Cada vez más en el entorno distribuido de hoy en día, tanto los usuarios como los recursos informáticos se encuentran en el borde de la red. Un firewall flexible, basado en la nube y entregado como un servicio puede proteger estos bordes. Esta funcionalidad será cada vez más importante a medida que edge computing crezca y los dispositivos de IoT se vuelvan más inteligentes y poderosos.
La entrega de FWaaS como parte de la plataforma SASE facilita a las empresas la gestión de la seguridad de su red, el establecimiento de políticas uniformes, la detección de anomalías y la realización rápida de cambios.
Agente de seguridad para el acceso a la nube
A medida que más y más sistemas corporativos son trasladados a aplicaciones SaaS, la autenticación y el acceso se vuelven cada vez más importantes.
Las empresas utilizan los CASB para asegurarse de que sus políticas de seguridad estén siendo aplicadas de forma coherente, incluso cuando los propios servicios están fuera de su esfera de control.
Con SASE, el mismo portal que los trabajadores utilizan para acceder a sus sistemas corporativos es también uno para todas las aplicaciones en la nube a las que tienen acceso, incluyendo el CASB. El tráfico no tiene que ser dirigido fuera del sistema a un servicio CASB separado.
Gateway web seguro
En la empresa actual, el tráfico de la red rara vez se limita a un perímetro predefinido. Las cargas de trabajo modernas suelen requerir el acceso a recursos externos, pero puede haber razones de cumplimiento para denegar a los empleados el acceso a determinados sitios web. Además, las empresas quieren bloquear el acceso a los sitios de phishing y a los bots de los servidores de comando y control. Incluso los sitios web inocuos pueden ser utilizados de forma maliciosa, por ejemplo, por los trabajadores que intentan extraer datos corporativos sensibles.
Los gateways web seguros (SGW) protegen a las empresas de estas amenazas. Los proveedores de SASE que ofrecen esta capacidad deben ser capaces de inspeccionar el tráfico cifrado a nivel de la nube. Agrupar los SGW con otros servicios de seguridad de la red, mejora la manejabilidad y permite un conjunto más uniforme de políticas de seguridad.
Acceso a la red de confianza cero
El acceso a la red de confianza cero permite a las empresas una visibilidad y un control granulares de los usuarios y los sistemas que acceden a las aplicaciones y servicios de la empresa.
La confianza cero es un enfoque relativamente nuevo de la seguridad de la red y el cambio a una plataforma SASE podría permitir a las empresas obtener esas capacidades.
Un elemento central de la confianza cero es que la seguridad se basa en la identidad, en lugar de, por ejemplo, la dirección IP. Esto lo hace más adaptable a una fuerza de trabajo móvil, pero requiere niveles adicionales de autenticación, como la multifactorial y el análisis de comportamiento.
Otras tecnologías que pueden ser parte de SASE
Además de las cinco capacidades principales, Gartner recomienda algunas otras tecnologías que los proveedores de SASE deberían ofrecer. Estas incluyen protección de aplicaciones web y API, aislamiento de navegadores remotos y network sandboxes. También se recomienda la protección de la privacidad de la red y la dispersión del tráfico, que dificultan que los actores de la amenaza encuentren los activos de la empresa rastreando sus direcciones IP o espiando los flujos de tráfico.
Otras capacidades opcionales son la protección de puntos de acceso Wi-Fi, la compatibilidad con las redes privadas virtuales heredadas y la protección de los dispositivos o sistemas sin conexión de edge computing.
El acceso centralizado a la red y a los datos de seguridad permite a las empresas ejecutar análisis de comportamiento holístico, y detectar amenazas y anomalías que de otro modo no serían aparentes en sistemas aislados. Cuando estos análisis sean entregados como un servicio basado en la nube, será más fácil incluir datos actualizados de amenazas y otro tipo de inteligencia externa.
El objetivo final de reunir todas estas tecnologías bajo el paraguas de SASE, es dar a las empresas una seguridad flexible y consistente, un mejor rendimiento y menos complejidad -todo a un menor costo total de propiedad.
Las empresas deben ser capaces de obtener la escala que necesitan sin tener que contratar a un gran número de administradores de red y seguridad.
Proveedores de servicios SASE
Aunque Gartner señala que SASE es una amalgama de servicios y que la forma en la que se logre la mezcla variará, y que no puede hacer a una lista completa de proveedores, compiló una de aquellos que ya ofrecen SASE o que esperan hacerlo pronto:
"Los principales proveedores de IaaS (AWS, Azure y GCP) todavía no son competitivos en el mercado de SASE", dice Gartner en su publicación introductoria de SASE. "Esperamos que al menos uno haga algo para atender la mayoría de los requerimientos del mercado de SASE en los próximos cinco años, a medida que todos ellos expanden su presencia en la red y sus capacidades de seguridad".
Cómo adoptar SASE
Es probable que las empresas se muevan primero a enfoques híbridos con sistemas tradicionales de redes y seguridad, manejando las conexiones preexistentes entre los centros de datos y las sucursales. SASE será utilizado para manejar nuevas conexiones, dispositivos, usuarios y ubicaciones.
SASE no es una cura para los problemas de red y seguridad, ni prevendrá futuras interrupciones, pero permitirá a las empresas responder más rápidamente a las interrupciones o crisis, y así minimizar su impacto en la compañía. Además, SASE les permitirá estar mejor posicionadas para aprovechar las nuevas tecnologías, como edge computing, 5G y la IA móvil.
Maria Korolov, Network World (EE.UU.)