[07/09/2023] En el 2019, Gartner creó el término borde de servicio de acceso seguro (SASE, por sus siglas en inglés) para describir un servicio basado en la nube que combina redes y seguridad con el fin de proporcionar a los trabajadores remotos un acceso seguro a los recursos basados en Internet.
Gartner había puesto el dedo en un nuevo conjunto de desafíos a los que se enfrentaban las TI empresariales, a medida que los empleados pasaban al trabajo remoto durante el Covid y las aplicaciones migraban a la nube. Pero Gartner se pasó un poco de la raya; a los proveedores les pilló desprevenidos y se apresuraron a improvisar conjuntos completos de funciones SASE.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Por el lado de los clientes, una reciente encuesta de Gartner a los CISO reveló que "la mayoría de los compradores están planeando una estrategia de dos proveedores para SASE", con equipos de seguridad y redes tomando decisiones de compra separadas, en lugar de optar por SASE de un solo proveedor.
En respuesta a estas realidades, Gartner acuñó un nuevo término, borde de servicio seguro (SSE, por sus siglas en inglés), que es esencialmente SASE menos SD-WAN, la parte de acceso a la red de la ecuación. En el lenguaje de Gartner, SSE incluye, como mínimo, la pasarela web segura (SWG, por sus siglas en inglés), el agente de seguridad de acceso a la nube (CASB, por sus siglas en inglés) y el acceso a la red de confianza cero (ZTNA, por sus siglas en inglés).
También puede abarcar una lista de características adicionales en constante crecimiento, como firewall-as-a-service (FWaaS), aislamiento del navegador, sandboxing, prevención de fuga de datos (DLP, por sus siglas en inglés) y firewall de aplicaciones web (WAF, por sus siglas en inglés).
IDC divide la diferencia entre SASE y SSE. Utiliza el término seguridad en el borde de la red como servicio (NESaaS, por sus siglas en inglés) para describir un enfoque convergente que incluye SWG, CASB y ZTNA como requisitos previos, pero trata las capacidades de red como SD-WAN o la supervisión de la experiencia digital (DEM, por sus siglas en inglés) como "puntos opcionales de integración".
Dejando a un lado las definiciones divergentes, tanto IDC como Gartner han identificado una amplia gama de proveedores que prestan estos servicios, lo que ofrece a los responsables de TI de las empresas muchas opciones.
Panorama de los proveedores de SSE
La mayoría de las empresas mantienen relaciones duraderas con un grupo de proveedores establecidos que aparecen regularmente en cualquier lista corta de posibles candidatos para nuevos productos y servicios. Pero la SSE es diferente; algunos de los principales actores pueden no ser familiares para los responsables de TI, lo que hace aún más importante plantearse las preguntas adecuadas al evaluar a los proveedores.
Por ejemplo, el último Cuadrante Mágico de Gartner para la SSE sitúa a Netskope en una posición de liderazgo, junto con Zscaler y Palo Alto Networks. En la categoría de visionarios, están Skyhigh Security, Forcepoint y Lookout.
Cisco, probablemente un automático en la lista de posibles proveedores de todo el mundo, es descrito como un aspirante por Gartner porque carece de integración de los muchos componentes de SSE y no ofrece una solución completa de confianza cero.
IDC tiene criterios ligeramente diferentes (SSE frente a NESaaS), pero una evaluación similar. El Marketscape de IDC incluye a Netskope, Zscaler y Palo Alto Networks entre los tres grandes, pero añade a Cloudflare y Akamai a la categoría de líderes. IDC afirma que Skyhigh, Fortinet, Cisco, Checkpoint, Forcepoint, Lookout y Broadcom son los principales actores, mientras que Gartner sitúa a Cloudflare, Broadcom e iBoss en la categoría de nicho.
En lo que se refiere a Cisco, IDC coincide con Gartner, señalando que Cisco "carece actualmente de un producto ZTNA tradicional", y que "aún tiene que avanzar mucho en la integración de su amplia cartera en un producto único y consolidado".
He aquí una instantánea de algunos de los principales actores de la SSE:
Netskope: IDC señala: "Netskope es una opción natural de la lista corta para las organizaciones que priorizan la protección de datos y las capacidades de nube basadas en la experiencia y la fortaleza de la compañía en CASB y controles proxy en línea. A las empresas que buscan la transformación digital les puede venir muy bien el rendimiento y la fiabilidad de la red de nube privada Netskope NewEdge". Por otro lado, los clientes de Gartner informan de que Netskope "suele ser una de las opciones más caras en una situación de precios competitivos".
Palo Alto Networks: Palo Alto Networks tiene una gran base instalada de clientes que utilizan sus herramientas de seguridad locales. La empresa ha creado una atractiva oferta de SSE/NESaaS que ofrece a los clientes la oportunidad de gestionar ambos entornos desde una única consola. Palo Alto cuenta con una sólida oferta de ZTNA y puede proporcionar SD-WAN a las organizaciones que deseen optar por la vía SASE de un único proveedor.
Zscaler: Con su vasta red global en la nube, el punto fuerte de Zscaler es la capacidad de pasar todo el tráfico a través de su plataforma, donde se pueden aplicar todo tipo de procesos de seguridad. Zscaler ofrece ZTNA, CASB, SWG, firewall como servicio y DLP en su núcleo. El análisis Sandboxing, el aislamiento remoto del navegador, WAF, el engaño y la supervisión de la experiencia del usuario también están en el menú.
Akamai: Akamai cuenta con la plataforma global en la nube necesaria para ofrecer SSE y un sólido historial; ofrece SWG, CASB y ZTNA, pero puede que no tenga el conjunto más amplio de complementos y, en algunos casos, requiere la integración con terceros, en lugar de ofrecer un enfoque integrado de un único proveedor. Sus puntos fuertes son el rendimiento y ZTNA.
Cloudflare: Cloudflare está tratando de expandirse más allá del mercado de las pymes y atacar a la empresa con una oferta que incluye ZTNA, CASB, SWG, DLP, firewall como servicio, aislamiento de navegadores, WAF, mitigación de DDoS y gestión de bots. En el lado positivo, Gartner señala que Cloudflare ofrece el mayor número de PoPs, un SLA del 100% para el tiempo de actividad, y su cobertura geográfica significa que "rara vez hay latencia significativa para llegar a un PoP de Cloudflare". Gartner advierte que Cloudflare carece de algunas características, como el sandboxing de malware de archivos, DEM e informes y análisis integrados con todas las funciones.
Cómo abordar la selección de proveedores de SSE
Antes de ponerse en contacto con los posibles proveedores de SSE, las organizaciones deben tener sus propios patos en fila. "Creo que es fundamental centrarse en los resultados que se pueden ejecutar e impulsar en un plazo razonable", afirma Charlie Winckless, analista de Gartner. "¿Qué tengo que entregar? ¿Cuáles son mis prioridades?
Todos los proveedores tienen puntos fuertes y débiles, sobre todo cuando se trata de SSE, que es una amalgama de múltiples tecnologías. Winckless advierte que optar por el proveedor que ofrezca la lista más larga de funciones puede acabar siendo demasiado caro y no responder a las necesidades más acuciantes de la organización. La pregunta clave que hay que hacerse es ¿Qué proveedor cumple mejor las funciones más importantes para mí?
Otras consideraciones son la coincidencia del servicio de SSE con los ciclos de actualización existentes y su integración con la pila de TI de la organización. Winckless afirma que las organizaciones también deben investigar la estabilidad financiera del proveedor y su historial de innovación.
Pablo Riboldi, CISO de BairesDev, un proveedor global de servicios de desarrollo de software para empresas, sostiene que su principal impulsor para adoptar el SSE de Zscaler fue ZTNA. Dijo que la empresa había estado utilizando AWS VPN y Open VPN para el acceso remoto, pero quería integrar la VPN con funciones de seguridad avanzadas, así como implementar la autenticación de dos factores en la VPN asociada a las cuentas de Google Workspace de los usuarios.
Tras probar varios proveedores, Riboldi afirma que su equipo de seguridad le recomendó Zscaler. Les gustaron las características de rendimiento de la nube de Zscaler, que permite a los usuarios conectarse desde cualquier lugar "a gran velocidad", así como el hecho de que el agente de Zscaler dispone de una función de supervisión del ancho de banda y refuerza las posturas de seguridad de los dispositivos.
Riboldi afirma: "Tenemos muchas iniciativas en nuestra hoja de ruta. Tenemos que centrarnos en las que proporcionan más valor de negocio por cada dólar para mantener nuestra empresa un entorno seguro mientras crecen las amenazas". Y añade: "Proteger la IP de los clientes es una gran preocupación. Podemos conseguirlo gracias a DLP y CASB".
He aquí 10 preguntas que hay que hacer a los posibles proveedores de SSE:
1. ¿Cuál es su estrategia de SSE? "SSE no es más que una cara de la moneda", sostiene Mauricio Sánchez, director de investigación de redes, seguridad y SASE/SD-WAN, en Dell'Oro Group. "La otra cara es el networking, que, por desgracia, todavía tiende a pasarse por alto con demasiada frecuencia. Un proveedor de SSE debería tener una estrategia para llevar a sus clientes por el viaje completo de SASE".
2. ¿Qué puntos de integración admite en el ecosistema tecnológico más amplio de terceros? SSE es una pequeña parte de un panorama tecnológico más amplio, por lo que un proveedor de SSE debe ser capaz de mostrar integraciones con la seguridad del cliente (EPP/EDR), la gestión de identidades y accesos (IAM), la gestión de la seguridad (SIEM/SOAR/XDR), así como la integración con los hiperescaladores, anota Sánchez.
3. ¿Cuál es su historial de escalabilidad, fiabilidad y rendimiento? Sánchez señala que los proveedores de SSE son responsables de mantener la red funcionando sin problemas, al tiempo que procesan el tráfico cifrado a escala con fines de detección de amenazas, lo que describe como "un proceso computacionalmente intensivo". Y añade: "He oído historias de terror de empresas quemadas por nubes SSE que no rinden lo suficiente y generan más dolores de cabeza de los que resuelven".
4. ¿Su red de entrega global se ajusta a mis necesidades empresariales? Las empresas multinacionales necesitan asegurarse de que el proveedor de SSE tiene puntos de presencia que se corresponden con sus ubicaciones. Asegúrese de preguntar dónde están los PoP, cuál es la hoja de ruta para agregar más, cuál es el plan para cubrir las brechas, y cuál es el plan para sobrevivir a una interrupción, comenta David Holmes, analista senior de Forrester.
5. ¿Cuántos agentes necesito instalar en los dispositivos de los usuarios finales y cuál es el costo por dispositivo? Holmes recomienda que los posibles compradores pregunten a los proveedores si un solo agente puede gestionar VPN, ZTNA, SWG, etc., o si se necesita más de un agente. Y en el mundo BYOD de hoy, con usuarios finales que se conectan a la red en múltiples dispositivos, ¿qué sistemas operativos y dispositivos móviles están cubiertos? ¿Se cobra un suplemento por dispositivo o el servicio es por usuario?
6. ¿Cuáles son sus puntos fuertes y débiles? Pida al proveedor una evaluación honesta de cuál es su tecnología más fuerte en el bufé de SSE, y asegúrese de que coincide con sus requisitos. Si dicen que es SWB, pero su principal impulsor es CASB, entonces Holmes anota que podría tener sentido "continuar su búsqueda."
7. Profundice en la ZTNA: ¿Qué puede hacer? Holmes recomienda que los posibles compradores pregunten al proveedor qué puertos y protocolos cubre; cómo gestiona los protocolos VoIP/SIP y UDP. ¿Pueden integrarse con varios proveedores de identidad simultáneamente? "No todos pueden", señala Holmes, "y ésta es una característica de gestión importante para las grandes organizaciones que quieren dar a sus socios acceso de confianza cero a sus aplicaciones".
8. ¿Cuál es la configuración de gestión? Winckless afirma que las organizaciones necesitan implantar SSE de forma que los administradores puedan configurarlo y supervisarlo sin problemas. ¿Tendré menos consolas? ¿O más?
9. ¿Es fácil aplicar políticas de seguridad? Las organizaciones deben asegurarse de que conservan la capacidad de aplicar las mismas reglas en varios canales, afirma Winckless.
10. ¿Cuál es la experiencia del cliente? Toda esa tecnología backend está muy bien, pero las organizaciones tienen que asegurarse de que la SSE ofrece una experiencia de usuario fluida y sin fisuras. Lo último que se quiere, anota Winckless, es perturbar la forma en que la empresa hace negocios.
Basado en el artículo de Neal Weinberg (Network World) y editado por CIO Perú
Puede ver también: