En 2019, Gartner definió el concepto de SASE, Secure Access Service Edge
La movilidad se ha convertido en la primera necesidad de las empresas. Ya no es indispensable estar en la oficina para mantener reuniones, tratar con los clientes o hacer el seguimiento a la producción de una fábrica.
Los empleados utilizan terminales móviles para conectarse a los servicios de los clientes; en las fábricas se usan dispositivos IoT para recoger los datos operativos de los sistemas en producción y las tareas administrativas se han desplazado a nuestros domicilios siguiendo un nuevo modelo de teletrabajo.
¿Qué es SASE?
En este nuevo esquema de actividades, los servicios en la nube han tenido mucha parte de “culpa”. Aquellas arquitecturas monolíticas centralizadas en un CPD corporativo han pasado a desagregarse en elementos dispersos a través de Internet.
Los cuellos de botella que las redes planteaban con su arquitectura de estrella —un punto central de acceso al que se conectaban todos los dispositivos— han pasado a ser verdaderas redes WAN distribuidas en las que la seguridad de los datos y las conexiones, los privilegios de dispositivos y usuarios o la latencia de las comunicaciones son gestionados desde la nube.
En 2019, Gartner definió esta evolución como SASE —Secure Access Service Edge. Una evolución que argumentaba a través de una simple pregunta: si los usuarios, los servicios de procesamiento, las aplicaciones o los datos están ya en la nube, ¿por qué no lo está la seguridad?
SASE: el nuevo modelo de seguridad en entornos distribuidos
Desde entonces, el mercado ha ido desarrollando todo un modelo de arquitecturas de seguridad distribuidas que han tenido como objetivo combinar las capacidades de las redes WAN y las funciones de seguridad de red pasando por tres ejes fundamentales:
- La navegación segura en Internet,
- El acceso seguro a aplicaciones corporativas y
- La seguridad en el tráfico de la red WAN.
Mediante actuaciones en cada uno de estos ejes, el modelo SASE consigue:
- Conectar a usuarios, allí donde se encuentren, con las aplicaciones y los datos que estos necesiten. Con SASE es posible aplicar políticas de identidad y de contexto para conceder acceso dinámico y granular a diferentes usuarios.
- Controlar el acceso y garantizar el cumplimiento de las medidas de protección de seguridad adecuadas en el lugar de trabajo de los usuarios aplicando políticas de firewalls o controlando el destino de las conexiones.
- Hacer converger las funciones de seguridad y red para proporcionar la conectividad como servicio de forma segura. La seguridad está integrada en la red, con políticas sensibles a la identidad y al contexto que se aplican de manera centralizada a todo el tráfico, incluso cuando los usuarios interactúen con aplicaciones de terceros basadas en la nube. Más aún, a través de SASE es posible enrutar el tráfico a través de los canales más apropiados con independencia de la tecnología subyacente, lo que reduce adicionalmente el coste económico.
Y a todo ello hay que unir algo no menos importante: la administración de todos los mecanismos de seguridad se hace desde la propia nube lo que permite implementar servicios avanzados de forma muy flexible.
Pasos para implantar SASE
La implementación de SASE requiere ser metódicos y rigurosos a la hora de definir el mejor modelo que se adecua a las necesidades de una organización. Los pasos indispensables de este modelo son:
- Definir el perímetro al que se va a aplicar SASE. Se trata de la identificación de los servicios y sistemas que van a verse afectados por el esquema de seguridad.
- Identificar los usuarios y las aplicaciones a las que estos tendrán acceso. Resulta indispensable saber qué usuarios podrán acceder a qué aplicaciones para poder determinar posteriormente sus privilegios de conexión.
- Establecer políticas de “Zero Trust” en las que usuarios y aplicaciones solo sean accesibles de acuerdo con perfiles claramente definidos.
- Clasificar aplicaciones y servicios siguiendo criterios de disponibilidad, permitiendo que se establezcan vías de conexión eficientes y redundadas utilizando las líneas de comunicación subyacentes.
- Desplegar políticas de seguridad ligadas a los parámetros de protección de aplicaciones, servicios, comunicaciones y usuarios perfectamente definidos.
A partir de estos elementos será indispensable seleccionar las herramientas que servirán de apoyo a la arquitectura y que permitirán seguir el modelo definido.
Mercado SASE
Según estudios de numerosas consultoras, el mercado SASE crece de manera sólida y sostenida. Algunos analistas han recogido que durante los últimos siete trimestres, los servicios SASE han crecido a un ritmo superior al 25%.
Actualmente, no hay fabricante de ciberseguridad que no articule su estrategia en torno a una oferta de productos y servicios que tenga a SASE como eje fundamental de su posicionamiento en el mercado.
Basta un breve repaso a las soluciones de estos fabricantes para darse cuenta del amplio conjunto de elementos que entran a formar parte de su porfolio cuando se trata de hablar de SASE.
Sin embargo, es precisamente ese porfolio el que en ocasiones genera dudas cuando se trata de llevar a cabo el despliegue de una propuesta de servicios robusta.
Dispersión de soluciones
La necesidad de contar con múltiples soluciones, en ocasiones diferentes y heterogéneas, la integración entre ellas o incluso la administración de los servicios de forma sencilla y unificada, son consideraciones que afectan a las organizaciones a la hora de seleccionar a unos u otros proveedores. Por eso, no siempre resulta sencillo decidirse. Y aquí es donde los fabricantes deben colaborar.
Es indispensable que los fabricantes piensen en la interoperabilidad de sus soluciones como propuesta de valor a la hora de posicionar sus ofertas, incluso aunque crean que con ellas pueden llegar a ser autosuficientes.
Los productos que cubren algunos de los ejes antes mencionados son numerosos y pueden llegar a ser muy diferentes pese a compartir el mismo modelo de definición de arquitectura de seguridad. Lo importante para el cliente es que con ellos el modelo quede perfectamente cubierto, aunque los enfoques de los fabricantes sean diferentes. Incluso aunque tengan que combinarse entre sí. Porque hay algo en lo que todos ellos coinciden: la seguridad pasa indefectiblemente por su gestión en la nube. Y ciertamente parece que SASE es el camino que tenemos marcado.