Las infraestructuras de TI se encuentran inmersas en drásticos cambios, reestructurando la forma en que se implementan y consumen las aplicaciones y los datos. Con la contingencia generada por el COVID-19, las organizaciones se han dando cuenta de que su red física y su infraestructura de seguridad deben evolucionar para proteger un entorno cada vez menos perimetral. Los servicios en la nube, la seguridad y las redes están convergiendo, creando un nuevo modelo en el que la seguridad y las redes ya no solo constan de aplicaciones y dispositivos específicos, sino que se entregan como servicios de software junto con aplicaciones basadas en la nube. Precisamente, en este contexto, Gartner ha acuñado hace poco el término SASE (Secure Access Service Edge) para describir esta infraestructura emergente de seguridad y red. Esta firma de analistas destaca siete áreas en las que los equipos de seguridad y redes deben revisar su arquitectura con el fin de lograr los beneficios de SASE.
Desde aquí, queremos hacer un repaso de las principales áreas, explicando los beneficios de cada una de ellas, con el objetivo de ayudar a los equipos de seguridad y de red para que puedan evaluar cómo llevar a cabo su propio proceso hacia SASE.
- Evolucione su forma de operar desde una gestión de elementos de seguridad hacia la entrega de servicios de seguridad basados en políticas a través de un entorno basado en microservicios nativo de la nube.
Una arquitectura que se basa en dispositivos de red y seguridad tradicionales que simplemente se instalan en una nube pública en formato de máquinas virtuales no está preparada para SASE. Este enfoque tan común no escala, sufre de problemas de interoperabilidad, no puede ofrecer nuevas funcionalidades rápidamente y proporciona servicios de seguridad con una latencia mucho mayor de lo que es aceptable.
Una arquitectura nativa en la nube puede ofrecer de forma continua los servicios de seguridad que mejor se ajusten a los requisitos de reducción de riesgos. También evita que las inversiones que se hagan queden obsoletas en el cambiante mercado corporativo de redes y seguridad, creando nuevos productos de forma nativa y ofreciendo servicios de seguridad sin obstaculizar la productividad del negocio, ni afectar a la experiencia del usuario final.
La infraestructura SASE ayuda a las organizaciones a implementar controles de seguridad de forma consistente en los servicios SaaS, Web e IaaS
- Converja las tecnologías de seguridad para la web y la nube simplificando la configuración y las operaciones, y reduciendo los costos.
La infraestructura SASE ayuda a las organizaciones a implementar controles de seguridad de forma consistente en los servicios SaaS, Web e IaaS, minimizando las superficies de ataque y protegiendo los datos más sensibles. La infraestructura preparada para SASE ofrece capacidades de pasarela de seguridad Web (Secure Web Gateway o SWG), junto con otros servicios de red y seguridad que se ofrecen desde la nube, como gateway de Acceso a la Nube (CASB), Prevención de Fuga de Datos (DLP) y Protección avanzada frente a Amenazas (ATP).
Esto es necesario, ya que las empresas están llevando sus aplicaciones a la nube y ya no pueden confiar en firewalls locales para proteger sus datos (ya que estos dispositivos están ciegos para entender el tráfico actual en la nube como las llamadas API/JSON). Las organizaciones requieren un conjunto más profundo de controles de seguridad para permitir una visibilidad más detallada de las actividades realizadas en los servicios SaaS, Web e IaaS, y que abarquen tanto dispositivos gestionados como no gestionados.
Al unificar estas capacidades dentro de una única arquitectura, SASE permite a las organizaciones identificar y decodificar tanto el tráfico web como el de las aplicaciones basadas en la nube, proporcionado un contexto detallado como detectar las instancias personales y corporativas de la misma aplicación en la nube (por ejemplo, Office 365, Gmail y Slack). Las organizaciones pueden obtener una visión general del panorama de amenazas, incorporando el contexto obtenido de los servicios integrados de seguridad y red dentro de la plataforma preparada para SASE.
Netskope denomina a esta pasarela consolidada en la nube como SWG de nueva generación (NG SWG) y amplía la protección mediante la identificación, gestión y protección del tráfico web y de las aplicaciones basadas en la nube, detectando y mitigando las amenazas basadas en la nube, y aplicando capacidades de prevención de fuga de datos—todo ello con un motor unificado de aplicación de políticas.
- Siga un modelo centrado en los datos e implemente controles contextuales para detectar y prevenir fácilmente el movimiento de datos confidenciales.
SASE hace posible que la protección de datos sea una parte integrada de la infraestructura de seguridad en la nube. Las modernas soluciones DLP en la nube proporcionan una visibilidad completa y, en los mejores casos, el conocimiento del contexto del movimiento de datos a través de las nubes, así como la mitigación de la pérdida y la exfiltración de datos. Para escalar y optimizar DLP, las políticas deben estar centradas en los datos, aplicándose y haciendo seguimiento de ellos independientemente del dispositivo de acceso o del servicio en la nube.
La administración de políticas DLP se vuelve más simplificada dentro de una infraestructura SASE, ya que las mismas políticas se pueden aplicar en todas las aplicaciones y sitios web en la nube, lo que garantiza que el mismo conjunto de políticas DLP se apliquen a los datos en reposo y a los datos en movimiento, en servicios cloud como en sitios web. Una infraestructura preparada para SASE debe identificar y clasificar eficazmente los datos, proporcionando un análisis granular de cara a dar soporte a las políticas basadas en contextos como el usuario, el tipo de dispositivo, el tipo de archivo, los identificadores de datos y más.
- Protéjase contra las amenazas provenientes de la nube y combine las capacidades de inspección de amenazas y datos para crear una solución de inspección eficiente y de un solo paso.
Con el rápido aumento de las amenazas provenientes de la nube, como el phishing y los ataques drive-by (sin intervención del usuario), las soluciones tradicionales ofrecen una visibilidad limitada y representan un riesgo significativo. Lo que se necesita es una plataforma nativa en la nube que escale para poder llevar a cabo una protección frente a amenazas en tiempo real (análisis rápido) y con un análisis profundo (sandboxing) en toda la nube, de cara a detectar y mitigar eficazmente cualquier malware y amenaza.
Una solución ATP basada en un modelo SASE puede ayudar significativamente a reducir la complejidad y el costo para los equipos de operaciones de seguridad y de respuesta a incidentes (IR), al tiempo que mejora la eficacia y la escala de la mitigación de amenazas.
Una solución de ATP basada en SASE puede ayudar a centralizar todos los eventos de seguridad recopilados en nubes gestionadas y no gestionadas, proporcionando una vista única y consolidada de todas las actividades. Para ser eficaz, esta solución debe recopilar metadatos enriquecidos del tráfico web y de la nube para su posterior análisis e investigación.
- Evolucione las estrategias de acceso remoto, adoptando un enfoque de confianza cero.
Para el acceso remoto, los equipos de seguridad han confiado tradicionalmente en implementaciones complejas y costosas de dispositivos VPN que no escalan y que tienen costos de mantenimiento cada vez más altos, a la vez que son engorrosos de gestionar. Con el tradicional acceso “abierto” de las VPN, los datos confidenciales se pueden exfiltrar fácilmente; mientras que las cuentas comprometidas o los usuarios infiltrados pueden moverse lateralmente dentro de una red. Los equipos de operaciones de seguridad requieren una solución de acceso seguro moderna que escale fácilmente, al tiempo que permite a los usuarios remotos un acceso seguro a determinadas aplicaciones privadas en nubes públicas y centros de datos, independientemente de su ubicación.
Un proveedor SASE puede ofrecer una solución de seguridad en la nube que permite el acceso a nivel de aplicación a aplicaciones privadas basadas en los principios de Confianza Cero. Esto incluye la autenticación de los usuarios y la comprobación y clasificación del comportamiento del dispositivo antes de conectar a los usuarios a determinadas aplicaciones privadas.
Una solución de ATP basada en SASE puede ayudar a centralizar todos los eventos de seguridad recopilados en nubes gestionadas y no gestionadas
- Utilice una red perimetral global y robusta que sea de alto rendimiento, de alta capacidad y capaz de soportar comunicaciones «intensivas en la nube».
La arquitectura de red global de un proveedor determina durante cuánto tiempo viajan los datos de los clientes hacia y desde los puntos de presencia (POP) más cercanos antes de que se procesen, lo que podría aumentar la latencia de extremo a extremo. Al final, la infraestructura de red subyacente afecta a la escala y eficacia de los controles de seguridad, siendo las redes tradicionales inadecuadas para un modelo SASE.
Un proveedor preparado para SASE implementará sus servicios a través de una red perimetral global en la nube, ofreciendo servicios de seguridad más cercanos al usuario final, optimizando el enrutamiento y la disponibilidad, al tiempo que habilita funciones de seguridad como DLP y ATP en línea. Esto permite que el procesamiento se realice rápidamente con una latencia y una interrupción mínimas para el usuario final. Los proveedores que transportan el tráfico de clientes a centros de datos centralizados rompen el modelo SASE y no pueden ofrecer todos los servicios de red y seguridad necesarios exigidos por las organizaciones.
SASE también permite una integración perfecta de la funcionalidad SD-WAN en una arquitectura basada en la nube donde la funcionalidad SD-WAN se construye de forma nativa junto con los servicios de seguridad, lo que ayuda a escalar el rendimiento y la entrega para los usuarios de oficinas remotas. Las arquitecturas preparadas para SASE permiten que las soluciones perimetrales SD-WAN se conecten directamente al perímetro de la red en la nube, evitando la complejidad de implementar concentradores SD-WAN físicos y reduciendo el costo y la dificultad de implantar varios dispositivos de red y seguridad en toda la red de la organización. Este modelo de acceso también puede ayudar a simplificar varias superposiciones que aumentan la complejidad de la gestión de redes corporativas.
- Integre herramientas de gestión y administración para reducir la complejidad y aumentar la eficiencia.
La mayoría de las grandes empresas de seguridad proporcionan un portafolio de productos de seguridad basados en hardware y software que se han ido agregando a través de adquisiciones. Aunque puede existir cierta integración, los equipos de operaciones de seguridad tienen problemas con el diseño, la configuración y la gestión cada vez más complejos de su infraestructura de seguridad.
Las organizaciones que adoptan SASE pueden contar con un entorno simplificado basado en la consolidación de múltiples tecnologías de seguridad
Una solución preparada para SASE debe permitir una gestión y administración totalmente unificadas. Tenga cuidado con los productos que requieren configuraciones y cuadros de mando independientes como una forma de conectar varios productos a flujos de trabajo comunes. La integración con herramientas de seguridad de terceros es esencial y una solución preparada para SASE debe ofrecer APIs basadas en REST, además de compartir inteligencia de amenazas basado en estándares para ampliar sus capacidades.
Una infraestructura SASE contempla la convergencia de los servicios de seguridad esenciales en un modelo nativo en la nube que hace uso de redes perimetrales globales, de alta capacidad y de baja latencia para una experiencia de usuario optimizada.
Las organizaciones que adoptan SASE pueden contar con un entorno simplificado basado en la consolidación de múltiples tecnologías de seguridad, así como costos reducidos y una experiencia de usuario mucho mejor tanto para los usuarios finales como para los administradores. Fundamentalmente, la adopción de una arquitectura SASE permite que las organizaciones estén mucho mejor protegidas frente a elementos como las amenazas emergentes y mejor equipadas para gestionar los requisitos de protección de datos.
¿Está la infraestructura de red y seguridad de su organización preparada para SASE?