Cómo comprar SASE

[08/12/2021] ¿No sería estupendo que existiera un servicio basado en la nube que combinara la red y la seguridad para que los usuarios situados en cualquier lugar pudieran acceder de forma segura y eficaz a las aplicaciones y los datos situados en cualquier lugar? Ese es el objetivo de SASE (rima con gaseosa). SASE no es un producto único, sino un enfoque, una plataforma, un conjunto de capacidades, una aspiración.

Gartner acuñó el término Secure Access Service Edge en un informe de investigación del 2019, y el nombre se quedó. Los proveedores han estado dando volteretas tratando de improvisar ofertas completas de SASE, que incluirían, como mínimo, la WAN definida por software (SD-WAN), el gateway web seguro (SWG), el agente de seguridad de acceso a la nube (CASB), el firewall como servicio (FWaaS) y el acceso a la red de confianza cero (ZTNA).

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Tal y como están las cosas ahora, pocos proveedores, si es que hay alguno, tienen una oferta de SASE completa y madura. En su hoja de ruta estratégica del 2021 para la convergencia SASE, Gartner advierte: "No todos los proveedores que afirman ofrecer un producto SASE ofrecen actualmente todas las capacidades SASE necesarias y recomendadas. Incluso entonces, no todas las capacidades de los proveedores de SASE están al mismo nivel de funcionalidad y madurez".

Pero no hay que preocuparse. Gartner señala que "la transición de las empresas a un modelo SASE completo llevará tiempo". Para dar una idea de los plazos aproximados, Gartner predice que para el 2025, al menos el 60% de las empresas tendrán estrategias y plazos para la adopción de SASE, con una adopción completa más lejana en el futuro.

La rapidez con la que una organización puede pasar a SASE dependerá de una serie de factores, como los ciclos de actualización del hardware, el ritmo de los proyectos de transformación de las sucursales, las carencias de conocimientos de TI y las diferencias organizativas entre los equipos de seguridad y de redes.

Por lo tanto, llevará un tiempo, pero ahora es el momento de iniciar el viaje. Esta guía del comprador describirá las opciones de los proveedores e identificará las preguntas clave que las empresas deben plantearse en su búsqueda de SASE.

¿Qué es SASE?

En primer lugar, definamos el conjunto de capacidades que se incluyen en SASE.

• SD-WAN: La tecnología WAN definida por software se despliega en sitios remotos para agregar, asegurar y optimizar todo tipo de tráfico WAN. Originalmente vendida como una forma de reducir la dependencia de los costosos enlaces MPLS, la SD-WAN se ha vuelto indispensable para los empleados de las sucursales que necesitan acceder a aplicaciones de productividad basadas en la web.
• FWaaS: El firewall como servicio de próxima generación sustituye el firewall de hardware por un equivalente de software basado en la nube que es más fácil de desplegar y gestionar. El FWaaS suele incluir IPS/IDS y antimalware.
• SWG: El gateway web seguro es un filtro de contenidos que bloquea el tráfico malicioso, pero también ayuda a aplicar las políticas de acceso a contenidos y datos. Las funciones de SWG incluyen el filtrado de URL, la inspección de SSL y la supervisión de DNS.
• CASB: Los brokers de seguridad de acceso a la nube supervisan el tráfico saliente y entrante para garantizar la seguridad y el cumplimiento de las políticas. Los CASB también proporcionan visibilidad de las aplicaciones SaaS.
• ZTNA: Zero Trust es otro término inspirado por los analistas (John Kindervag) que también es más un enfoque que un producto específico. El concepto de Confianza Cero consiste en que todos los usuarios y dispositivos, independientemente de su ubicación, deben ser considerados no confiables por defecto, deben ser requeridos para autenticarse en cada inicio de sesión, deben tener acceso limitado a las aplicaciones y deben ser monitoreados para detectar actividades no autorizadas o sospechosas durante toda la sesión. Los métodos para implementar la Confianza Cero incluyen la autenticación multifactorial, el control de acceso granular y la segmentación de la red.

Estas son las capacidades principales de SASE. Pero hay otras capacidades secundarias que también podrían formar parte de una decisión de compra, como la capacidad de realizar la funcionalidad SASE a velocidad de línea, el aislamiento del navegador remoto, el sandboxing de la red, la compatibilidad con dispositivos no gestionados y la protección de aplicaciones web y API. Además, dependiendo del caso de uso, la protección de puntos de acceso Wi-Fi o el soporte de VPNs heredadas podrían formar parte de un paquete.

Panorama de proveedores de SASE

La lista de proveedores que ofrecen SASE parece crecer día a día, pero aquí están las principales categorías de proveedores de SASE.

Proveedores de redes: Cisco, Extreme, VMware y otros se han subido al carro de SASE. Estos proveedores han realizado adquisiciones estratégicas y están tratando de reunir una cartera completa de SASE, ya sea internamente o a través de asociaciones.

Por ejemplo, en agosto, Extreme compró Ipanema Technologies, un proveedor de SD-WAN/SASE. Cisco está trabajando para integrar múltiples adquisiciones bajo la bandera de su Umbrella SASE, incluyendo Viptela (SD-WAN), Meraki (SD-WAN) y Duo Security (Zero Trust, autenticación multifactor). También se está asociando con Menlo Security y Zscaler para completar su oferta de SASE.

Proveedores de seguridad tradicionales: Los proveedores de seguridad como Palo Alto, McAfee, Forcepoint, Barracuda y Fortinet también están reuniendo ofertas de SASE, tanto a través del desarrollo interno como de adquisiciones.

Palo Alto compró el proveedor de SD-WAN CloudGenix, Fortinet compró OPAQ para la confianza cero, Barracuda adquirió la empresa emergente de confianza cero Fyde, McAfee compró el proveedor de aislamiento del navegador Light Point Security y Forcepoint adquirió la empresa de servicios de seguridad de vanguardia Bitglass.

Proveedores de seguridad nativa en la nube: Varias empresas han creado sus propias redes globales en la nube y están desarrollando capacidades SASE nativas de la nube. Esta lista incluye a Cato Networks, Netskope, Versa y Zscaler. Al igual que los proveedores de seguridad tradicionales, estos recién llegados están añadiendo continuamente nuevas capacidades SASE a sus carteras, ya sea internamente o a través de asociaciones. Por ejemplo, Cato acaba de anunciar que ha recaudado 200 millones de dólares en nueva financiación, lo que, según la empresa, le ayudará a acelerar el desarrollo de su oferta de CASB.

Los proveedores de redes de entrega de contenidos (CDN) Cloudflare y Akamai han incorporado las capacidades de SASE a sus redes globales en la nube. Y proveedores tan importantes como AT&T y Verizon están creando ofertas de SASE, también en colaboración con otros proveedores. AT&T ha anunciado recientemente un servicio SASE que utiliza equipos de Palo Alto. Verizon anunció una oferta de SASE que incluye tecnología de Versa y Zscaler, e IBM se ha asociado con Zscaler para ofrecer SASE.

Tener tantas opciones entre las que elegir puede parecer desalentador, y puede ser difícil distinguir qué capacidades SASE son propias y cuáles han sido adquiridas a otro proveedor, pero una ventaja importante del hecho de que Gartner haya definido el término, en lugar de un proveedor, es que no hay ambigüedad en varios frentes. No hay que tomar decisiones en el ámbito del hardware frente al software, on-prem frente a la nube, los mejores productos puntuales frente al socio estratégico. El SASE, por definición, es un servicio gestionado basado en la nube y solo de software que debería ser suministrado por uno o, como máximo, dos proveedores.

A continuación, se presentan algunas preguntas específicas que deben hacerse a los posibles proveedores de SASE y que le ayudarán a acotar su búsqueda:

Preguntas que deben hacer las empresas

Para los proveedores de redes y seguridad:

1. ¿Ofrece el proveedor todas las capacidades incluidas en la definición de SASE? Si no es así, ¿dónde están las lagunas? Si el proveedor afirma ofrecer todas las funciones, ¿cuáles son sus puntos fuertes y débiles? ¿Cómo encaja o choca la madurez de las ofertas del proveedor con sus propios puntos fuertes, débiles y prioridades? En otras palabras, si su mayor necesidad es la confianza cero y el punto fuerte del proveedor es la SD-WAN, es posible que la adaptación no sea la adecuada. 
2. ¿Qué tan bien integrados están los múltiples componentes que conforman el SASE? ¿La integración es perfecta?
3. Suponiendo que el proveedor todavía está construyendo su SASE, ¿qué aspecto tiene la hoja de ruta del proveedor? ¿Cuál es el enfoque del proveedor en términos de construcción de capacidades internamente o a través de la adquisición? ¿Cuál es el historial del proveedor en la integración de adquisiciones anteriores? Si se construye internamente, ¿cuál es el historial del proveedor en cuanto al cumplimiento de los plazos de lanzamiento de sus productos?
4. ¿De quién es la nube? ¿Tiene el proveedor su propia nube global o se ha asociado con alguien? Si es así, ¿cómo funciona esa relación en términos de responsabilidad, gestión, acuerdos de nivel de servicio y resolución de problemas?

Para los proveedores de servicios gestionados:

1. ¿Cuántos PoP tienen y dónde están ubicados? ¿Coincide la huella de la nube del proveedor con la ubicación de sus sucursales?
2. ¿Tiene el proveedor la escala, el ancho de banda y los conocimientos técnicos para ofrecer una inspección del tráfico a velocidad de línea?
3. Para los proveedores nativos de la nube: ¿Cómo puede demostrar que sus herramientas SASE de cosecha propia están a la altura de, por ejemplo, la funcionalidad del firewall de un proveedor de firewalls de marca?
4. ¿Existe el riesgo de que el proveedor pueda ser objeto de adquisición? A medida que el mercado se va calentando, parece probable que se produzcan más adquisiciones, y que los actores más grandes absorban a los recién llegados a la nube.
5. En el caso de las empresas tradicionales de servicios gestionados, ¿disponen de todas las capacidades de SASE, de dónde las han sacado y en qué medida están integradas? ¿Cuál es el proceso de resolución de problemas, los acuerdos de nivel de servicio y la asistencia técnica? ¿Existe un único panel de control de gestión?

Para todos los proveedores potenciales:

La contrapartida de tomar la ruta de SASE es que las empresas se benefician de la descarga de muchos dolores de cabeza en los hombros del proveedor de servicios (despliegue, configuración, actualizaciones, etc.) Al mismo tiempo, TI sigue siendo responsable ante los usuarios finales si algo va mal. Por tanto, tiene que haber una relación sólida entre la empresa y el proveedor de servicios, sobre todo en lo que respecta a la gestión. Estas son las preguntas específicas que hay que hacerse:

1. ¿Existe flexibilidad en cuanto a la aplicación de las políticas? En otras palabras, ¿puede aplicarse una política de seguridad SASE consistente en toda la empresa global, y puede esa política también aplicarse localmente dependiendo de la política de negocio y los requisitos de cumplimiento?
2. Incluso si los nodos de aplicación están localizados, ¿existe un plano de control de gestión de SASE que permita una administración centralizada? Esta interfaz administrativa debe permitir que la política de seguridad y de red se gestione desde una única consola y se aplique independientemente de la ubicación del usuario, la aplicación o los datos.
3. ¿Cómo se gestionan los datos sensibles? ¿Cuáles son las capacidades en términos de visibilidad, control y protección adicional?
4. ¿Se aplica la política de forma coherente en todos los tipos de acceso remoto a los recursos de la empresa, ya sea que esos recursos se encuentren en la Internet pública, en una aplicación SaaS o en una aplicación de la empresa que se encuentre en las instalaciones o en un entorno IaaS?
5. ¿Se aplica la política de forma coherente para todos los posibles escenarios de acceso: usuarios finales individuales que acceden a los recursos desde una oficina en casa o una ubicación remota, grupos de usuarios en una sucursal, así como dispositivos de borde, tanto gestionados como no gestionados?
6. ¿Es la red capaz de realizar una inspección de paso único del tráfico cifrado a velocidad de línea? Dado que la promesa de SASE es que combina múltiples procesos de seguridad y aplicación de políticas, incluyendo el tratamiento especial de los datos sensibles, toda esa inspección de tráfico tiene que llevarse a cabo a velocidad de línea en una sola pasada con el fin de proporcionar la experiencia de usuario que los clientes demandan.
7. ¿El servicio SASE es escalable, elástico, resistente y está disponible en múltiples PoPs? Asegúrese de que el proveedor de servicios cumpla con los acuerdos de nivel de servicio establecidos por contrato.
8. Uno de los conceptos clave de la confianza cero es que el comportamiento del usuario final debe ser supervisado durante toda la sesión, y se deben tomar medidas para limitar o denegar el acceso si el usuario final tiene un comportamiento que viola la política. ¿Puede el SASE aplicar este tipo de acciones en tiempo real?
9. ¿Proporcionará el SASE una experiencia de usuario final transparente y simplificada que sea la misma independientemente de la ubicación, el dispositivo, el sistema operativo, el navegador, etc.?

Para empezar: Romper los silos, abandonar las VPN

Gartner deja claro que el SASE es un viaje. "Las empresas no pueden pulsar un interruptor y adoptar SASE. La gran mayoría de la adopción de SASE por parte de las empresas se producirá a lo largo de varios años, priorizando las áreas de mayor oportunidad en términos de ahorro de costos, eliminando la complejidad y los proveedores redundantes, y la reducción de riesgos mediante la adopción de una postura de seguridad de confianza cero".

Las empresas deben tomarse el tiempo necesario para desarrollar una estrategia global de SASE con plazos específicos y objetivos medibles. Y recuerde, SASE es una estrategia de borde. SASE necesita alinearse con las iniciativas estratégicas relativas a los centros de datos, a las arquitecturas multi-nube, a la transformación digital y a la aplicación de la confianza cero en toda la empresa.

Internamente, las empresas deben empezar a romper los silos entre los equipos de redes y de seguridad. La creación de grupos de trabajo interdisciplinarios que también incluyan la transformación de la fuerza de trabajo y la transformación de las sucursales es un buen primer paso.

En cuanto a los pasos concretos, las empresas deberían empezar a abandonar el acceso a la red heredado basado en VPN lo antes posible, y empezar a sustituir las VPN por ZTNA. Trazar los ciclos de actualización y elaborar un plan para abandonar los productos puntuales basados en dispositivos y pasar a las opciones basadas en la nube. El objetivo es consolidar metódicamente el número de proveedores para reducir los costos y la complejidad.

En esta fase de transición, mantenga los contratos cortos, asegúrese de hacer cumplir los acuerdos de nivel de servicio y siga revisando sus planes de migración a SASE a medida que el mercado se consolida y madura.

Basado en el artículo de Neal Weinberg (Network World) y editado por CIO Perú

Puede ver también:

• ¿Quién vende SASE y qué ofrece?
• Los 3 mayores retos de SASE en entornos de nube híbrida
• SASE: Uniendo la SD-WAN con la seguridad
• Cómo adaptar SASE a su empresa
• SASE: Una opción para reforzar la seguridad de los trabajadores remotos
• 7 alternativas de VPN para proteger el acceso a la red remota
• Cómo la red puede soportar la confianza cero
• 8 pasos para proteger las credenciales de acceso
• Guía del comprador de SD-WAN: Preguntas clave para los proveedores (y para usted mismo)
• Edge computing: La arquitectura del futuro