SASE, el servicio en nube que junta la SD-WAN con la seguridad
El borde de servicio de acceso seguro es un modelo de Gartner para racionalizar el acceso a la red y mejorar la seguridad entre otras muchas funciones.
El Secure Access Service Access –SASE, por sus siglas o, en español borde de servicio de acceso seguro– es una arquitectura de red que integra la red de área amplia definida por software (SD-WAN) y la seguridad en un servicio en la nube que promete una implementación simplificada de la WAN, una mayor eficiencia y seguridad, y proporcionar el ancho de banda adecuado para cada aplicación.
Debido a que es un servicio en nube, SASE puede ser fácilmente escalado y reducido y facturado en base al uso. Como resultado, puede ser una opción atractiva en una época de cambios rápidos. Mientras que algunos vendedores en este espacio ofrecen dispositivos de hardware para conectar a los empleados en casa y los centros de datos corporativos a sus redes SASE, la mayoría de los vendedores manejan las conexiones a través de clientes de software o aparatos virtuales.
Gartner creó el término SASE y lo describió por primera vez en un libro blanco de 2019 que establece sus objetivos y cómo debe ser una implementación de SASE. La firma consultora señala que SASE aún está en desarrollo y que todas sus características pueden no estar fácilmente disponibles todavía.
¿Qué es SASE?
En pocas palabras, SASE combina las capacidades de SD-WAN con la seguridad y las entrega como un servicio. Las políticas de seguridad que se aplican a las sesiones de los usuarios se adaptan a cada una basándose en cuatro factores: La identidad de la entidad que se conecta; contexto, salud y comportamiento del dispositivo, sensibilidad de los recursos a los que se accede; políticas de seguridad y cumplimiento; una evaluación continua del riesgo durante cada sesión.
El lado WAN de SASE depende de las capacidades suministradas por entidades que incluyen proveedores de SD-WAN, portadores, redes de suministro de contenido, proveedores de redes como servicio, agregadores de ancho de banda y proveedores de equipo de redes.
El lado de la seguridad se basa en intermediarios de seguridad de acceso a la nube, gateways de web seguros en la nube, acceso a redes de confianza cero, firewall-as-a-service, protección de web-API-as-a-service, DNS y aislamiento de navegadores remotos.
Idealmente, todas estas capacidades se ofrecen como un servicio SASE por una sola entidad que lo reúne todo, dice Gartner.
Beneficios de SASE
Al ser un servicio único, SASE reduce la complejidad y el costo. Las empresas tratan con menos proveedores, la cantidad de hardware requerido en las sucursales y otras ubicaciones remotas disminuye y el número de agentes en los dispositivos de usuario final también disminuye.
Los ejecutivos de TI pueden establecer políticas de forma centralizada a través de plataformas de gestión basadas en la nube y las políticas se aplican en puntos de venta distribuidos cerca de los usuarios finales. Los usuarios finales tienen la misma experiencia de acceso, independientemente de los recursos que necesiten y de dónde estén ubicados ellos y los recursos. SASE también simplifica el proceso de autenticación aplicando las políticas adecuadas para los recursos que el usuario busca en función del inicio de sesión inicial. Además, más tipos de usuarios finales -empleados, socios, contratistas, clientes- pueden acceder sin el riesgo de que la seguridad tradicional -como las VPN y las DMZ- se vea comprometida y se convierta en una cabeza de playa para posibles ataques generalizados a la empresa.
Los proveedores de SASE pueden suministrar diversas calidades de servicio para que cada aplicación obtenga el ancho de banda y la capacidad de respuesta de la red que necesita. Con SASE, el personal de TI de la empresa tiene menos tareas relacionadas con el despliegue, monitoreo y mantenimiento y se le pueden asignar tareas de mayor nivel.
La seguridad se incrementa porque las políticas se aplican por igual independientemente de dónde se encuentren los usuarios. A medida que surgen nuevas amenazas, el proveedor de servicios se ocupa de cómo protegerse contra ellas, sin nuevos requisitos de hardware para la empresa. SASE apoya la red de confianza cero, que basa el acceso en el usuario, el dispositivo y la aplicación, no en la ubicación y la dirección IP.
¿Por qué es necesario SASE?
Gartner dice que más de las funciones tradicionales del centro de datos de la empresa están ahora alojadas fuera del propio centro de datos de la empresa en vez de en él –en nubes de proveedores IaaS, en aplicaciones SaaS y almacenamiento en nube–. Las necesidades del IoT y la computación de punta sólo aumentarán esta dependencia de los recursos basados en la nube, sin embargo la arquitectura de seguridad de la WAN sigue siendo adaptada a los centros de datos empresariales en las instalaciones.
Los usuarios remotos se conectan comúnmente a través de VPNs y requieren de cortafuegos en cada lugar o en dispositivos individuales. Los modelos tradicionales los hacen autenticar a la seguridad centralizada que otorga el acceso pero también puede enrutar el tráfico a través de esa ubicación central. Esta arquitectura heredada se ve obstaculizada por la complejidad y el retraso.
Con SASE, los usuarios finales y los dispositivos pueden autenticarse y obtener acceso seguro a todos los recursos a los que están autorizados a llegar protegidos por la seguridad ubicada cerca de ellos. Una vez autenticados, tienen acceso directo a los recursos, abordando los problemas de latencia.
De acuerdo con el analista de Gartner, Nat Smith, SASE es más una filosofía y una dirección que una lista de características. Pero, en general, dice, SASE se compone de cinco tecnologías principales: SD-WAN, firewall como servicio (FWaaS), agente de seguridad de acceso a la nube (CASB), puerta de enlace web segura, y acceso a la red de confianza cero.
