unlimit3d - stock.adobe.com
¿Por qué el perímetro de servicios de acceso seguro es el futuro de SD-WAN?
La arquitectura Secure Access Service Edge, o SASE, pasa del diseño de red que gira en torno al centro de datos a un modelo basado en la identidad y el contexto del usuario.
Cuando se introdujo por primera vez la WAN definida por software (SD-WAN), rápidamente se convirtió en sinónimo de transformación de la WAN. Si iba a solucionar los problemas de las redes de área amplia, el camino pasaba por SD-WAN. Pero, en verdad, SD-WAN ignora muchos otros desafíos de redes y seguridad que enfrenta el negocio digital.
Se está afianzando una nueva arquitectura que algunos analistas esperan que aborde esos desafíos: el modelo Secure Access Service Edge, o SASE, pronunciado como "sassy", fue acuñado por primera vez por los analistas de Gartner Neil MacDonald, Lawrence Orans y Joe Skorupa en el informe "Hype Cycle for Enterprise Networking, 2019" de Gartner y con más profundidad en el reporte: "El futuro de la seguridad de red está en la nube".
Averigüemos qué es el perímetro de servicios de acceso seguro y por qué es importante.
¿Qué pasa con SD-WAN y por qué necesitamos SASE?
Las arquitecturas empresariales heredadas se centran en el centro de datos. El acceso a internet se realiza a través de pasarelas seguras en el centro de datos. Reemplazar MPLS con SD-WAN no cambia ese paradigma, y eso es un problema. Con la adopción de la nube, la movilidad y la informática de punta, el centro de datos privado ya no es el epicentro de la red empresarial. No tiene sentido retroceder el tráfico al centro de datos para su aplicación.
Más allá de simplemente solucionar los problemas de conectividad de MPLS, necesitamos encontrar una manera de realizar inspecciones de seguridad en todas partes. También necesitamos hacer esto de una manera consistente para los usuarios móviles y las sucursales.
¿Qué es SASE?
El perímetro de servicios de acceso seguro, o SASE, es un nuevo tipo de arquitectura de seguridad y redes. Las plataformas SASE conectan y protegen entidades en función de su contexto en tiempo real de acuerdo con las políticas de la empresa.
En lugar de forzar el tráfico a retroceder a los motores de inspección en el centro de datos, SASE lleva los motores de inspección a un punto de presencia cercano (PoP). Los clientes envían tráfico al PoP para su inspección y reenvío a internet o a través de la red troncal global de SASE a otros clientes de SASE. Un cliente SASE puede ser un dispositivo móvil con un agente SASE, pero también puede ser un dispositivo de internet de las cosas (IoT), un usuario móvil con acceso sin cliente o un dispositivo en una sucursal.
SASE converge los servicios de red y seguridad previamente dispares para dirigirse a los usuarios fijos y móviles, así como a los dispositivos IoT y los recursos en la nube, en un servicio coherente basado en el contexto del usuario.
Atributos clave de SASE
Gartner definió más de una docena de características diferentes de SASE, pero estas se pueden resumir en cuatro atributos principales.
Huella global de SD-WAN. SASE tiene como objetivo ofrecer el rendimiento de red óptimo posible para todas las aplicaciones en todas partes. Con ese fin, SASE incluye un servicio SD-WAN global que opera sobre una red troncal privada. El uso de una red privada supera los problemas de latencia de internet global. La red troncal debe conectar PoP distribuidos que ejecutan el software de red y seguridad de la empresa. El tráfico empresarial rara vez debería tocar internet; lo hace solo para llegar a la red troncal de SASE.
Inspección distribuida y aplicación de políticas. Los servicios SASE no solo conectan dispositivos; también los protegen. La escala de cifrado y descifrado de tráfico en línea es algo que está en juego. Los servicios SASE deben inspeccionar el tráfico con varios motores que operan en paralelo. Los motores de inspección incluyen escaneo de malware y sandboxing. SASE también debe proporcionar otros servicios, como protección basada en DNS y protección distribuida contra denegación de servicio. Las regulaciones locales, como GDPR, deben poder hacerse cumplir en las políticas de enrutamiento y seguridad de SASE.
Arquitectura nativa de la nube. Idealmente, un servicio SASE utilizará una arquitectura nativa de la nube que no tenga dependencias de hardware específicas. También de manera ideal, los dispositivos no deben estar conectados entre sí. Como software, el servicio SASE se puede escalar según sea necesario, es multiinquilino para un ahorro máximo de costos y se puede instanciar rápidamente para una rápida expansión del servicio.
Las opciones de implementación de equipos en las instalaciones del cliente están disponibles, pero estos terminales SASE deben ser cajas negras llave en mano donde los usuarios "lo encienden y lo olvidan", como dijo Gartner.
Impulsado por la identidad. A diferencia de otros servicios de red administrados, la arquitectura SASE proporciona servicios basados en la identidad y el contexto de la fuente de conexión. La identidad considera una variedad de factores, incluido el usuario inicial, el dispositivo que se usa y factores en tiempo real, como la hora del día y la ubicación del dispositivo.
Beneficios de SASE
SASE aporta muchos beneficios a la empresa, incluidos los siguientes.
Reducción de la complejidad y los costes. SASE reduce la complejidad y los costos al reducir la cantidad de proveedores que necesitan los equipos de TI. El modelo requiere menos dispositivos de sucursal (físicos o virtuales) y agentes de dispositivos de usuario final. La competencia de SASE conducirá aún más a ahorros de costos.
Desempeño mejorado. Con sus propias redes troncales, los proveedores de SASE podrán ofrecer enrutamiento con latencia optimizada entre sus PoP en todo el mundo. Esto es especialmente crítico para aplicaciones sensibles a la latencia, como colaboración, video, VoIP y conferencias web.
Mejor seguridad. Los proveedores de SASE que inspeccionan el contenido permitirán a las empresas aplicar políticas de datos en todos los usuarios, independientemente del dispositivo o el contexto. El acceso también mejorará a medida que las empresas establezcan políticas basadas en la identidad y no en el usuario: acceso a redes de confianza cero, o ZTNA.
Operaciones de TI mejoradas. Con los proveedores de SASE manteniendo los motores de inspección, las organizaciones se liberan de tener que preocuparse por la actualización para protección contra nuevos ataques, escalado de dispositivos y actualizaciones de hardware de varios años. La definición de política centralizada también es un hecho. Con los equipos de operaciones de TI libres de esas tareas mundanas, pueden dedicar más tiempo a lo que importa: aportar valor a la empresa.
SD-WAN y SASE: ¿Cuáles son mis opciones?
Gartner tiene claro que SASE es un mercado en proceso de cambio con proveedores que se acercan a él desde diferentes ángulos: algunos desde el espacio de la red de entrega de contenido, otros desde el mundo de la seguridad y otros desde el mercado SD-WAN.
Varios jugadores de SD-WAN se están moviendo al espacio SASE. Cato Networks es el más destacado en este sentido. Ofrece los cuatro elementos del servicio SASE: huella global, inspección distribuida y aplicación de políticas, una plataforma nativa de la nube y conocimiento de la identidad.
Otros proveedores de SD-WAN están adoptando un enfoque de borde de caja negra para SASE. Open Systems es un caso concreto. Ofrece seguridad y redes, está completamente administrado (Open Systems maneja todos los cambios) y también ofrece una opción de administración conjunta. Open Systems se basa en internet o Microsoft Azure Virtual Network como columna vertebral global. Versa Networks adopta un enfoque similar cuando lo revenden sus socios, aunque cada socio determina individualmente qué características de Versa ofrece a sus clientes.