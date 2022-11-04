SASE es la combinación, o convergencia, de dos tecnologías principales: redes de área amplia definidas por software, o SD-WAN, y perímetro de servicio seguro, o SSE. Es más fácil entender cómo funciona SASE si primero se comprende lo que hace cada una de estas tecnologías.

SD-WAN

Una SD-WAN es una red de área amplia que se ha virtualizado, de la misma manera que se virtualizan los servidores. Desvincula la funcionalidad de red del hardware subyacente -conexiones, conmutadores, enrutadores, pasarelas- para crear un conjunto de capacidad de red y capacidades de seguridad de red que pueden dividirse, agregarse y aplicarse al tráfico bajo control de software.

Las redes de área amplia (WAN) tradicionales se diseñaron para conectar a los usuarios de las sucursales corporativas con las aplicaciones de un centro de datos corporativo central, normalmente a través de conexiones de red de línea arrendada dedicadas, privadas y caras. Los enrutadores instalados en cada sucursal controlaron y priorizaron el tráfico para garantizar un rendimiento óptimo para las aplicaciones que más importaban. Las funciones de seguridad, como la inspección de paquetes y el cifrado de datos, se aplicaron en el centro de datos central.

SD-WAN se desarrolló originalmente para permitir que las organizaciones duplicaran sus capacidades de WAN en una infraestructura de Internet menos costosa y más escalable. Pero la demanda de SD-WAN se aceleró a medida que más y más empresas empezaron a adoptar servicios en la nube antes de estar del todo preparadas para confiar en la seguridad de Internet. El modelo de seguridad de la WAN se puso en entredicho: Enrutar volúmenes cada vez mayores de tráfico destinado a Internet a través del centro de datos corporativo creaba un costoso cuello de botella, y tanto el rendimiento de la red como la experiencia de los usuarios se degradaban.

SD-WAN elimina este cuello de botella al permitir que la seguridad se aplique al tráfico en el punto de conexión, en lugar de obligar a enrutar el tráfico hacia la seguridad. Permite a las organizaciones establecer conexiones directas, seguras y optimizadas entre los usuarios y lo que necesiten: aplicacionesSaaS (software como servicio), recursos en la nube o servicios públicos de Internet.

SSE

Otro término acuñado por Gartner, SSE es “la mitad de seguridad de SASE”. Gartner define SEE como la convergencia de tres tecnologías clave de seguridad nativas de la nube:

Pasarelas web seguras (SWG). Una SWG es un policía de tráfico bidireccional en Internet. Evita que el tráfico malicioso llegue a los recursos de red, mediante técnicas como filtrado de tráfico y inspección de consultas del sistema de nombres de dominio (DNS) para identificar y bloquear el malware, el ransomware y otras ciberamenazas. E impide que los usuarios autorizados se conecten a sitios web sospechosos: en lugar de conectarse directamente a Internet, los usuarios y los puntos finales se conectan al SWG, a través del cual solo pueden acceder a los recursos aprobados (p. ej. centros de datos locales, aplicaciones empresariales y aplicaciones y servicios en la nube).

Agentes de seguridad de acceso a la nube (CASB) Los CASB se sitúan entre los usuarios y las aplicaciones y recursos en la nube. Los CASB aplican las políticas de seguridad de la empresa, como el cifrado, el control de acceso y la detección de malware, a medida que los usuarios acceden a la nube, independientemente de dónde o cómo se conecten, y pueden hacerlo sin instalar software en el dispositivo final, por lo que resultan ideales para proteger BYOD (traiga su propio dispositivo) y otros casos de uso de transformación de la plantilla. Otros CASB también pueden aplicar políticas de seguridad cuando los usuarios se conectan a activos en la nube desconocidos.

Acceso a la red zero trust (ZTNA). Un enfoque zero trust para el acceso a la red es aquel que nunca confía y valida continuamente todos los usuarios y entidades, tanto si están fuera de la red como si ya están dentro de ella. A los usuarios y entidades validados se les concede el acceso con privilegios mínimos necesarios para completar sus tareas. Todos los usuarios y entidades se ven obligados a revalidar cada vez que cambia su contexto, y cada interacción de datos se autentica paquete por paquete hasta que finaliza la sesión de conexión.

El ZTNA no es un producto de seguridad en sí, sino un enfoque de seguridad de red implementado mediante diversas tecnologías, como la gestión de identidades y accesos (IAM), la autenticación multifactor (MFA), el análisis del comportamiento de usuarios y entidades (UEBA) y varias soluciones de detección y respuesta ante amenazas.

Las plataformas SASE de los distintos proveedores pueden incluir otras funciones de prevención de amenazas y seguridad, como cortafuegos como servicio (FWaaS), prevención de pérdida de datos (DLP), control de acceso a la red (NAC) y plataformas de protección de puntos finales (EPP).

Puesta en común

Las soluciones SASE utilizan SD-WAN para ofrecer servicios de seguridad SSE a usuarios, dispositivos y otros endpoints donde o cerca de donde se conectan, en el perímetro de la red.

Específicamente, en lugar de enviar todo el tráfico de vuelta a un centro de datos central para su inspección y cifrado, las arquitecturas SASE dirigen el tráfico a puntos distribuidos de puntos de presencia (PoP) ubicados cerca del usuario final o endpoint. (Los PoP son propiedad del proveedor de servicios SASE o están establecidos en el centro de datos de un proveedor externo). El PoP protege el tráfico mediante los servicios SSE entregados en la nube y, a continuación, el usuario o el punto final se conecta a las nubes públicas y privadas, a las aplicaciones de software como servicio (SaaS), a la Internet pública o a cualquier otro recurso.