En 2019, la firma de investigación Gartner acuñó el término "borde de servicio de acceso seguro" (SASE) para describir "... funciones de seguridad de red (como SWG, CASB, FWaaS y ZTNA), con capacidades WAN (es decir, SDWAN) para admitir la dinámica las necesidades de acceso seguro de las organizaciones”. La idea de que los usuarios remotos puedan tener acceso seguro, sin importar dónde trabajen, se volvió especialmente atractiva durante el brote de COVID. El aumento de la fuerza laboral remota debido a la pandemia aumentó la conciencia más rápido de lo esperado. Con SASE en la mente de muchos administradores de redes empresariales y directores de seguridad de la información (CISO), muchas personas preguntan:"¿Qué es exactamente el borde del servicio de acceso seguro (SASE)?"
La idea de que los usuarios remotos puedan tener acceso seguro, sin importar dónde trabajen, se volvió especialmente atractiva durante el brote de COVID.
Siga leyendo para obtener una mirada de alto nivel al modelo SASE y el papel que juega una red privada virtual (VPN) en él.
¿Qué es SASE?
Según Gartner, SASE no es un solo producto; es una arquitectura o una filosofía.
SASE combina funciones de seguridad de red (como SWG, CASB, FWaaS y ZTNA) con capacidades WAN (es decir, SDWAN) para respaldar las necesidades dinámicas de acceso seguro de las organizaciones. Estas capacidades se entregan principalmente como servicio (aaS) y se basan en la identidad de la entidad, el contexto en tiempo real y las políticas de seguridad/cumplimiento.
Por lo general, se requiere un enfoque de múltiples proveedores, porque muy pocos proveedores ofrecen todos los componentes de una plataforma SASE.
Una arquitectura SASE migra la seguridad de los centros de datos a la nube, fusionando tecnologías individuales en una seguridad como servicio convergente. Debido a que es una combinación de funciones de seguridad, algunos proveedores ofrecen soluciones integradas para acelerar la implementación de SASE que admite trabajadores remotos con acceso a Internet fuera de la red corporativa. Con mayor frecuencia, se requiere un enfoque de múltiples proveedores porque muy pocos proveedores ofrecen todos los componentes de una plataforma SASE. Los servicios de seguridad individuales que crean una plataforma SASE son:
- WAN definida por software (SD-WAN):SD-WAN aplica redes definidas por software (SDN) a redes de área amplia (WAN) a gran escala para mejorar la agilidad y el rendimiento de las aplicaciones, así como una administración más sencilla.
- Broker de seguridad de acceso a la nube (CASB):software (local o basado en la nube) entre usuarios de la nube y aplicaciones en la nube que supervisa la actividad y aplica políticas de seguridad.
- Firewall de próxima generación (NGFW) y firewall como servicio (FWaaS):NGFW va más allá de la protección contra los sospechosos habituales (ransomware, virus, gusanos, troyanos, adware) al bloquear por completo el malware antes de que entre en su red.
- Zero Trust Network Access (ZTNA):crea un perímetro seguro alrededor de las aplicaciones con acceso basado en la identidad y el contexto. Las aplicaciones están ocultas, lo que reduce el área de superficie potencial para los atacantes.
- Puertas de enlace web seguras (SWG):las plataformas SWG detectan y previenen amenazas, accesos no autorizados y malware mediante una barrera digital y un filtro entre un sitio web y el dispositivo de punto final. Esto bloquea el acceso a sitios potencialmente dañinos además de los ataques cibernéticos.
Los beneficios de SASE
El colaborador de TechTarget, Terry Slattery, escribe:"Una arquitectura distribuida basada en la nube, administración centralizada y políticas de seguridad específicas para puntos finales..." son los principales beneficios de SASE. Los puntos adicionales a favor de SASE, incluidos en el mismo artículo, son:
- Las aplicaciones pueden vivir en cualquier lugar:el acceso distribuido de SASE permite que las aplicaciones vivan en cualquier lugar (un centro de datos, una nube pública o privada, SaaS) y acerca las funciones de seguridad a los usuarios finales.
- Operaciones optimizadas:con SASE, el perímetro de la red es el punto final y la seguridad se aplica de forma dinámica mediante políticas basadas en funciones. Esto simplifica las redes y la seguridad para los empleados sin importar dónde trabajen.
- Integración de enrutamiento y seguridad:SASE consolida la reputación de DNS, el aislamiento de navegador remoto (RBI), ZTNA, prevención de pérdida de datos (DLP), protección contra malware, CASB, NGFW, detección de intrusiones, prevención de intrusiones y SWG.
- Costos de WAN más bajos:la operación de enrutamiento SASE, similar a SD-WAN, ayuda a reducir los costos de WAN al eliminar la necesidad de MPLS costosos y circuitos alquilados. Esos son reemplazados por una VPN.
- Arquitectura distribuida:la arquitectura distribuida y la administración centralizada de SASE producen eficiencias en la seguridad y el tráfico de red. Estas mismas características también tienen el potencial de ser más resistentes cuando se ven afectadas por ataques de denegación de servicio (DOS).
- Velocidad:la congestión de la nube y la latencia de la red del centro de datos son problemas comunes, pero SASE ayuda a acelerar los tiempos de respuesta.
Una VPN es un componente esencial de una buena arquitectura SASE.
Algunos proveedores de servicios SASE promocionan sus paquetes de productos y servicios como reemplazos de las VPN, pero es importante tener en cuenta que una VPN es un componente esencial de una buena arquitectura SASE. Cuando los proveedores de SASE hacen referencia al final de las VPN, se refieren a las VPN locales; pero uno de los puntos de venta más importantes, quizás el más importante, de SASE es que es nativo de la nube. Recuerde, Gartner define SASE como “un servicio global basado en la nube con una pila de seguridad de red verdaderamente convergente que admite todos los perímetros (no solo redes de sucursales). ... Cloud Access Security Broker (CASB):Una solución de seguridad basada en la nube como SASE lógicamente necesita proporcionar seguridad para las aplicaciones en la nube”. Es fácil ver por qué esto atrae a las empresas que emprenden transformaciones digitales y migran a la nube.
A diferencia de las VPN heredadas, la VPN de próxima generación de OpenVPN (OpenVPN Cloud) crea una red privada en la nube que está oculta del Internet público. Ese es un soporte poderoso para cualquier arquitectura SASE (¡y a menor costo y con menos complejidad!).
OpenVPN y SASE
Las VPN ya no se limitan a habilitar el acceso remoto. SASE puede ser el nuevo concepto de ciberseguridad de moda, pero es importante tener en cuenta que las VPN modernas son un componente de SASE y, por sí mismas, brindan capacidades de seguridad como el control de acceso. Otro aspecto crítico de esta discusión es que OpenVPN de próxima generación basado en la nube no es solo un reemplazo para SD-WAN; también tiene una serie de componentes de arquitectura SASE (ZTNA, firewall, detección de intrusos, prevención de intrusos, filtrado de contenido) integrados. ¿Quiere ver con qué facilidad OpenVPN Cloud se integra con, o incluso reemplaza, algunas de sus otras aplicaciones SASE? Regístrese para tres conexiones gratuitas hoy.