Denys Rudyi - Fotolia
Exploramos 5 proveedores de SASE para exponer la verdad frente a las exageraciones
El perímetro de servicios de acceso seguro puede abordar dilemas comunes de redes y seguridad, pero sigue siendo una tecnología nueva. Obtenga más información sobre cinco plataformas líderes en este profundo resumen.
Solo un año después de su presentación por parte de Gartner, el perímetro de servicios de acceso seguro (Secure Access Service Edge o SASE) se ha convertido en una fuerza generalizada en las industrias de redes y seguridad empresarial. Hoy en día, casi todos los principales agentes de seguridad o redes afirman que pueden entregar algún tipo de oferta de SASE, pero los posibles compradores deben comprender lo que los proveedores de SASE pueden lograr en realidad frente a los rumores de marketing de los proveedores.
La arquitectura SASE define un servicio en la nube que conecta y protege todos los puntos finales de la empresa (sitios, usuarios móviles, recursos en la nube y dispositivos de internet de las cosas, IoT) en cualquier red física. El objetivo de un sistema SASE es unificar las distintas herramientas y redes de seguridad que, en conjunto, han generado altos costos de capital y una solución de problemas complicada, creando agujeros en la infraestructura de seguridad.
Diferenciar entre el bombo publicitario de SASE y la realidad puede ser un desafío. Los posibles clientes de SASE deben considerar tanto los hechos actuales como lo que esperan lograr en su proceso de selección de productos.
SASE: La teoría
SASE surgió en respuesta a la adopción empresarial de la nube y la movilidad. Las redes empresariales heredadas asumían que los usuarios trabajaban en oficinas, accediendo a datos y aplicaciones en el centro de datos. Por razones de seguridad, el acceso a internet estaba normalmente disponible para los usuarios a través de una puerta de enlace segura en la sede o el centro de datos.
Pero, a medida que los datos y las aplicaciones se trasladan a la nube y el trabajo remoto se convierte en la norma, las empresas están reconsiderando cómo ofrecer un acceso seguro a la red. La retroalimentación del tráfico a un centro de datos agrega demasiada latencia y las redes heredadas carecen de ancho de banda. Además, el perímetro de seguridad clásico, donde un firewall fijo protege la red empresarial de una internet no segura, tiene poco sentido en una infraestructura donde los usuarios y los datos se encuentran más allá del perímetro.
Las organizaciones necesitan una postura de defensa más holística que abarque una multiplicidad de tecnologías, desde la protección de endpoints hasta la prevención de malware y la inspección de contenido, un punto destacado recientemente por la Cybersecurity and Infrastructure Security Agency en su Cyber Essentials Toolkit.
Prácticamente, ejecutar un enfoque tan holístico ha sido un desafío, particularmente para las empresas medianas. Los agujeros en la infraestructura de seguridad son vulnerables a los atacantes, y las habilidades especializadas para protegerse contra tales incidentes aumentan los costos de personal. A menudo, las demandas de las operaciones diarias impiden que pequeños equipos de TI implementen las mejores prácticas estratégicas, como las pruebas de penetración o el diseño proactivo de estrategias de incidentes.
SASE aborda estos desafíos de redes y seguridad al imaginar una red global de puntos de presencia (PoP) interconectados por una red troncal de alto rendimiento. El software de seguridad y redes se ejecuta idealmente en una plataforma multiinquilino nativa de la nube en el PoP, lo que brinda a SASE toda la elasticidad, escalabilidad y beneficios de costos de un servicio en la nube.
Las empresas conectan su perímetro a estos PoP a través de cualquier conexión a internet local disponible. Los bordes incluyen WAN definida por software (SD-WAN) para conectar sitios; clientes de redes privadas virtuales (VPN) y acceso sin cliente para usuarios remotos; conexiones nativas o dispositivos virtuales para la nube. Como tal, SASE puede, en teoría, reemplazar las redes MPLS globales, las VPN de sitio a sitio, las VPN de acceso remoto, las puertas de enlace en la nube y las interconexiones directas en la nube de las redes heredadas.
Una cartera de funciones de seguridad puede inspeccionar todo el tráfico enviado a los PoP. Gartner identificó una amplia gama de tecnologías de seguridad que una plataforma SASE debe implementar, incluido DNS seguro, firewall de próxima generación (NGFW), puerta de enlace web segura (SWG), agente de seguridad de acceso a la nube (CASB), acceso a la red de confianza cero (ZTNA) y prevención de pérdida de datos. Una única plataforma con todas esas tecnologías integradas crea una infraestructura de seguridad que es más fácil de ejecutar y mantener.
La convergencia de tecnologías también trae otros beneficios. La resolución de problemas es más fácil para los administradores de TI, ya que, en teoría, todos los datos de redes y seguridad deberían exponerse a través de una consola unificada. Los administradores de TI ya no necesitan saltar entre interfaces, lo que complica el proceso de resolución de problemas.
La combinación de todas las tecnologías mejora la agilidad de TI. Según una investigación de expertos en SD-WAN, uno de los desafíos que presentó COVID-19 fue que las empresas de repente tuvieron que ampliar las plataformas de acceso remoto que estaban dimensionadas para solo el 10% al 15% de la fuerza laboral que trabaja unas pocas horas al día para toda la plantilla que trabaja todo el día.
Estos cambios significan que las empresas tienen que comprar más recursos de servidor VPN y necesitan una mayor conectividad a internet, ya que el tráfico debe terminar en esos servidores VPN. Es posible que se necesiten más servidores VPN, ya sea por disponibilidad o para acomodar a los usuarios que trabajan en áreas de todo el mundo. Las empresas aún deben asegurarse de que se implementen todas las políticas de seguridad y la optimización del rendimiento para brindar una experiencia remota segura y de nivel empresarial para sus trabajadores. La arquitectura SASE aborda directamente estos mismos problemas.
SASE: La realidad
La realidad de SASE, sin embargo, es bastante diferente de la teoría de SASE. SASE como arquitectura es todavía un trabajo en proceso durante los próximos tres a cinco años. Actualmente, ninguna plataforma cumple con todos los criterios de Gartner.
Hoy en día, los productos SASE difieren significativamente en funcionalidad. Con tal vez una excepción, los proveedores de redes y seguridad simplemente aún no están en condiciones de cumplir con la visión completa de SASE. Es así de simple. Como tal, la pregunta más importante que deben hacerse los compradores es exactamente qué partes de la visión de SASE implementa actualmente la arquitectura de un proveedor en su producto SASE.
En mi experiencia, se espera que todos los proveedores reales de SASE brinden lo siguiente:
- integración de redes y seguridad, pero la riqueza y el alcance de esa integración variarán;
- soporte para usuarios y sitios remotos, aunque actualmente esto podría requerir la implementación de pequeños dispositivos SD-WAN en las oficinas domésticas; y
- soporte para una red troncal privada global propia o de un tercero, como Azure, AWS u otros, ya que internet global es demasiado impredecible para ofrecer de manera consistente una experiencia de baja latencia a nivel mundial.
En el futuro, los clientes deben esperar lo siguiente de los sistemas SASE:
- convertirse en verdaderos servicios en la nube, ayudando a reducir costos a través de una arquitectura nativa de la nube;
- tener una única consola de administración que converja tanto los dominios de seguridad como los de redes; y
- estar impulsado por la identidad, donde todas las políticas de red y seguridad dependen del usuario, no de la dirección IP del dispositivo.
Cómo comparar proveedores de SASE
A continuación, se muestra un breve vistazo a cinco plataformas SASE destacadas en el mercado actual. Le hemos preguntado a cada proveedor sobre las siguientes cinco áreas:
- Describa brevemente su arquitectura SASE.
- Identifique los componentes de múltiples inquilinos en su plataforma SASE.
- ¿Ofrecen una red troncal privada? Si es así, ¿cuántos PoP ofrecen en cada región (América del Norte, América Latina, EMEA, APAC y China)?
- ¿Podría señalar tres características que le permiten vencer a sus competidores?
- Describa su modelo de precios.
1. Cato Networks
Cato proporciona Cato Cloud, que, según se informa, conecta todas las ubicaciones de las sucursales, los usuarios remotos y los recursos de la nube en un servicio de nube global y seguro.
Cato afirma que fue diseñado para abordar todos los requisitos clave de SASE: convergencia de redes y seguridad en un servicio basado en la nube y nativo de la nube con un motor de un solo paso y basado en identidad, presencia global y soporte para todos los bordes.
Cato Cloud consta de una red troncal privada global de más de 60 PoP y servicios de seguridad completamente administrados, que incluyen NGFW, SWG, antimalware de próxima generación, un sistema de prevención de intrusiones, integración nativa en la nube, acceso remoto, administración unificada y un dispositivo SD-WAN, el Cato Socket.
Cato ofrece sus servicios mediante suscripción anual. El precio se basa en la capacidad de última milla de las sucursales conectadas y la cantidad de usuarios remotos.
-
Open Systems
Los productos SASE administrados de Open Systems conectan de forma segura a los usuarios de una organización con las aplicaciones, desde sucursales hasta nubes en cualquier parte del mundo. La compañía afirma que protege y monitorea constantemente los activos digitales de los clientes para detectar y responder de manera proactiva a las amenazas.
Las plataformas SASE administradas de la compañía se basan en la plataforma unificada y preparada para el futuro de Open Systems que integra servicios clave de redes y seguridad, incluidos SD-WAN, optimización de aplicaciones, NGFW, SWG, CASB y acceso remoto. Open Systems no tiene componentes ni backbone de múltiples inquilinos; recomienda a los clientes que confíen en backbones de terceros.
Open Systems tiene un modelo de precios basado en el usuario. Una tarifa de instalación única cubre los costos, el diseño y la implementación del proyecto. Un costo recurrente mensual cubre las licencias de software y hardware, la administración del ciclo de vida y el soporte.
-
Palo Alto Networks
La plataforma Palo Alto SASE utiliza el borde SD-WAN de CloudGenix con Palo Alto Prisma Access para proteger los puntos finales SD-WAN y los usuarios móviles, así como Prisma SaaS para proteger las aplicaciones SaaS autorizadas. Prisma Access es una aplicación multiinquilino que permite a los clientes alojar varias instancias en un solo dispositivo Panorama. Los inquilinos de Prisma Access obtienen sus propias instancias dedicadas, que no se comparten entre inquilinos.
Si bien Palo Alto no tiene una red troncal privada, afirma ofrecer seguridad consistente en la nube desde una arquitectura de múltiples nubes que abarca más de 100 ubicaciones en 76 países.
Los modelos de precios actuales se basan en la utilización del ancho de banda.
-
Versa Networks
Versa ofrece servicios SASE tanto en las instalaciones como a través de la nube utilizando su sistema operativo Versa (VOS). Versa SASE está disponible como un servicio de nube privada que las empresas pueden operar, administrar y alojar con sus propios Versa Cloud Gateways privados.
Los servicios Versa SASE incluyen SWG, NGFW, infraestructura de escritorio virtual, DNS desinfectado, protección informática perimetral, VPN, ZTNA y SD-WAN. Una única interfaz de gestión gestiona la pila de software VOS.
Versa Cloud Gateways se distribuye en 90 ubicaciones. Si bien Versa no proporciona una red troncal, tiene la capacidad de interconectar puertas de enlace a través de redes troncales privadas dentro de Azure, AWS y Equinix. El aislamiento remoto del navegador, la caja de arena de la red y CASB están en versión beta.
Versa SASE está disponible como un servicio de suscripción y su precio se basa en las características y capacidades que los usuarios requieren.
-
VMware
La plataforma VMware SASE converge las redes en la nube, la seguridad en la nube y ZTNA con la seguridad web. Incluye VMware Edge Network Intelligence, lo que brinda mayor visibilidad al usuario.
La plataforma VMware SASE está disponible como un servicio administrado o como bricolaje utilizando una red global de más de 2700 nodos de servicios en la nube en más de 100 PoP. Estos PoP sirven como rampas de acceso a SaaS y otros servicios en la nube. Sin embargo, VMware no proporciona una red troncal, sino que depende de socios proveedores de servicios.
Los servicios de redes y seguridad se pueden brindar de manera intrínseca o secuenciada a sucursales, usuarios móviles, campus y dispositivos de IoT. Todos los componentes son multiinquilino.
VMware emplea precios basados en suscripción. Los dispositivos físicos de VMware Edge están disponibles para compra y alquiler; también se encuentran disponibles paquetes de software especiales para abordar las necesidades de trabajo desde casa a largo plazo.