alex_aldo - Fotolia
Cómo garantizar una arquitectura SASE escalable
No asuma que toda la arquitectura SASE es la misma, especialmente cuando se trata de escalabilidad. Las empresas deben considerar la distancia a los PoP de los proveedores, las ubicaciones de las oficinas y la incorporación de agentes.
Estamos en una era en la que nuestro perímetro tradicional (oficina, firewalls, concentradores VPN, conmutadores, enrutadores y alta disponibilidad) se está disolviendo lentamente y cambiando hacia fuerzas de trabajo remotas y un status quo de trabajo desde casa forzado por la pandemia de COVID-19 y una transición acelerada a la economía gig.
Nos enfrentamos a un cambio tectónico en el espacio de seguridad empresarial y de TI, y las empresas necesitan una forma alternativa, confiable y escalable de asegurar el acceso a los activos digitales en el lugar de trabajo. Estas circunstancias crean una oportunidad para llenar un vacío creciente en el mercado con opciones innovadoras y ligeras.
Aquí es donde entra en juego Secure Access Service Edge (SASE). Primero, establezcamos algunas bases para la arquitectura SASE.
Debido a que SASE tiene que ver con la transformación de la nube y los modelos como servicio, los clientes deben confiar en el proveedor y delegar la operación, la seguridad, los acuerdos de nivel de servicio (SLA), la redundancia y la escalabilidad a la plataforma del proveedor, incluido el cumplimiento de las regulaciones que necesiten.
Las plataformas SASE comprenden las cuatro partes principales a continuación:
- agente de seguridad de acceso a la nube (CASB) o prevención de fugas de datos;
- puerta de enlace web en la nube o firewall como servicio para el control del tráfico saliente;
- acceso a la red de confianza cero para acceso remoto; y
- WAN definida por software (SD-WAN) que, en muchos casos, reemplaza el enlace físico por uno virtual.
Las primeras tres partes de la arquitectura SASE son servicios, mientras que la última, SD-WAN, es responsable de llevar el tráfico a esos servicios.
Construyendo una arquitectura SASE escalable
Pero, ¿cómo construyen los proveedores plataformas SASE para lograr la escalabilidad requerida? Repasemos siete factores que admiten la arquitectura SASE escalable.
- Puntos de presencia
Los proveedores utilizan los puntos de presencia para establecer una distribución geográfica de los centros de datos dondequiera que se encuentren los PoP. Los proveedores pueden poseer PoP privados o utilizar servicios de nube pública, como AWS, Azure y Google Cloud Platform. Cada tipo ofrece diferentes beneficios. Por ejemplo, en un centro de datos privado, el proveedor de SASE decide sobre los equipos y sistemas de cómputo, el hardware, la tecnología de virtualización, el costo y los SLA. En una nube pública, el proveedor de SASE está más vinculado a los SLA de la nube pública y al tipo de tecnología de virtualización del proveedor, además de estar limitado por las ubicaciones del proveedor.
- Pila de tecnología del proveedor
En la mayoría de los casos, los proveedores de SASE utilizan dos pilas de tecnología convencional:
- máquinas virtuales (VM) en la nube, que pueden escalar tanto verticalmente, utilizando tamaños de instancia de cómputo más grandes, como horizontalmente, mediante el uso compartido de carga de varias instancias más pequeñas; y
- contenedores a escala por cliente.
Los proveedores de SASE que juegan en el espacio CASB y necesitan emitir conexiones API a los proveedores de SaaS probablemente usen el método de contenedor.
Los proveedores enrutan el tráfico desde su centro de datos, utilizando una red troncal o enviándolo al destino después de la inspección. Ciertos proveedores utilizan su red troncal de arquitectura global para enrutar el tráfico a través de la web y optimizar el enrutamiento, de manera similar a la forma en que los ISP usan sus redes troncales de internet. Con este método, el proveedor maneja el tráfico desde el momento en que un usuario llega al PoP más cercano. Este enfoque puede disminuir la latencia y mejorar la velocidad de ciertas operaciones, como las transferencias de archivos, según el destino del tráfico, pero también podría complicar el enrutamiento y la escalabilidad de esa funcionalidad.
Cada proveedor proporciona sus propios SLA y velocidad, y es responsabilidad de los clientes revisar y asegurarse de que el SLA esté alineado con sus requisitos de aplicación.
- Distancia del usuario al PoP
En la conectividad de red tradicional para la navegación saliente, el tráfico de un usuario se enruta directamente al destino después de atravesar el firewall o la puerta de enlace web en las instalaciones de la empresa. Con un servicio basado en la nube, el tráfico de un usuario se reenvía primero al centro de datos del proveedor de SASE, también conocido como PoP, y solo luego procede al destino. Por lo tanto, la ubicación de estos PoP en la proximidad de la red a la ubicación del usuario es esencial para obtener la mejor latencia y velocidad. El factor de optimización del enrutamiento como se describe en la sección anterior también puede mejorar la latencia y la velocidad.
- Distancia a las aplicaciones del usuario
Uno de los casos de uso más populares de SASE es el acceso a Microsoft 365. Muchos proveedores de SASE ubican su infraestructura troncal en los mismos centros de datos físicos que las grandes empresas de SaaS, como Microsoft, Salesforce y otras. Esta estrategia permite a los proveedores de SASE ofrecer un rendimiento más rápido al reducir la cantidad de saltos de red y optimizar las rutas de enrutamiento a ubicaciones SaaS desde sus PoP. Este proceso enruta el tráfico desde la computadora de un usuario al PoP más cercano del proveedor y luego lo reenvía directamente a la red troncal del proveedor de SASE que está muy cerca del servicio.
- Ubicación de las oficinas
Los clientes pueden conectar una oficina a un proveedor de SASE de varias formas. Nos centraremos en las tres principales.
- Encapsulación de enrutamiento genérico y túneles IPsec de enrutadores y firewalls existentes. Estos túneles y dispositivos conectarán dos ubicaciones de SASE PoP para lograr una alta disponibilidad. La conmutación por error automática de túneles o el número de túneles simultáneos dependerá de las capacidades del hardware local.
- Dispositivos de hardware SD-WAN proporcionados al cliente por los proveedores de SASE para una mejor conectividad y disponibilidad. Algunos proveedores de SASE que no tienen su propio hardware dedicado formarán asociaciones con proveedores de SD-WAN y dejarán que los usuarios decidan qué hardware quieren usar.
- Encadenamiento de proxy. Este modo se utiliza cuando el cliente ya tiene un servicio de proxy web y prefiere reenviar el tráfico al proveedor de SASE. El encadenamiento de proxy se puede utilizar en entornos donde el enrutamiento interno tiene diferentes requisitos y complejidades involucradas.
6. Dispositivo del usuario final
Los clientes tienen varias opciones mediante las cuales un usuario final puede conectarse a la arquitectura SASE, incluidos los siguientes tres enfoques:
- Configuración automática de proxy (PAC). PAC determina si las solicitudes del navegador web van directamente al destino o si el tráfico se reenvía a un proveedor de SASE.
- Un agente. Los agentes son un método común en estos días, ya que brindan mejores opciones de control de tráfico, admiten múltiples protocolos, por lo que brindan una mejor escalabilidad, y ofrecen un enfoque más genérico. Un agente también puede incorporar varios otros controles, como el estado del dispositivo y el cumplimiento antes de la conectividad, el registro y la generación de informes, y algunos proveedores utilizan la caché del agente para optimizar la velocidad.
- Acceso remoto. La arquitectura de acceso remoto utiliza un mecanismo similar a la navegación saliente mediante el uso de un proxy inverso o un agente para la conectividad. Hay más opciones disponibles que no requieren la instalación de un agente, utilizando las capacidades nativas de un navegador para conectarse. En este caso, los usuarios finales inician sesión en el portal SASE y pueden elegir la aplicación a la que desean acceder después de pasar por el proceso de autenticación y autorización.
7. Incorporación de agentes
Para simplificar el proceso de distribución de un agente a puntos finales remotos, el cliente puede utilizar sus herramientas de gestión de parches existentes, como la gestión de dispositivos móviles, Endpoint Manager, políticas de grupo y otras. La mayoría de los proveedores de SASE proporcionarán un agente que se puede instalar de forma remota, silenciosa y preferiblemente sin necesidad de reiniciar.
Una opción que pueden tomar los clientes es invitar a los usuarios a descargar la aplicación a través de un enlace, correo electrónico u otros sistemas de mensajes. Otro enfoque popular es tener los agentes instalados como parte de lo que se conoce como imagen dorada o imagen clonada. Para los archivos PAC, la incorporación se realizará principalmente a través de sistemas de gestión de configuración.