Durante décadas, las organizaciones se han basado en una arquitectura tradicional para asegurar su red basada en firewalls y otras defensas perimetrales. A medida que las organizaciones trasladaron masivamente sus cargas de trabajo a la nube, los usuarios ahora acceden a datos confidenciales en la nube a través de enlaces no seguros, fuera del perímetro de la red corporativa y desde cualquier dispositivo. Esta tendencia se ha acelerado a medida que el trabajo híbrido se ha convertido en la nueva normalidad.
Las arquitecturas tradicionales se centraban en un modelo de seguridad basado en el perímetro, con el centro de datos como eje central para todo el tráfico de la red. Esta arquitectura obligó al departamento de TI a redirigir el tráfico al centro de datos por motivos de seguridad, lo que tuvo un impacto significativo en el rendimiento de las aplicaciones en la nube. La arquitectura de red tradicional también era compleja, con muchos dispositivos y proveedores para administrar. Era propenso a políticas de seguridad inconsistentes en las sucursales, ya que los dispositivos heredados tenían que configurarse manualmente. Además, con el trabajo híbrido, los departamentos de TI luchan por brindar un acceso seguro a los empleados remotos y proteger las aplicaciones SaaS críticas.
Los departamentos de TI ahora deben tomar medidas para adoptar SASE, ya que las arquitecturas de red tradicionales nunca se diseñaron para la nube.
SASE es la convergencia de redes y seguridad al combinar SD-WAN con SSE (Security Service Edge) que incluye ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker), SWG (Secure Web Gateway) y FWaaS (Firewall as a Service). ).
La arquitectura tradicional a menudo usa enlaces MPLS para conectar las sucursales con la sede. En esta arquitectura, el tráfico de la nube debe ser devuelto al centro de datos para realizar una inspección de seguridad, lo que aumenta la latencia y, por lo tanto, afecta el rendimiento de la aplicación. Además, las organizaciones carecen de flexibilidad. Por ejemplo, no pueden implementar rápidamente una nueva línea MPLS y abrir una nueva sucursal .
SD-WAN es el componente fundamental de SASE. Al virtualizar la WAN, combina múltiples enlaces, incluidos MPLS, Internet de banda ancha y 5G. SD-WAN monitorea constantemente las condiciones de la red y se adapta rápidamente. Ofrece la flexibilidad de utilizar cualquier tipo de enlace mitigando los efectos de la fluctuación de fase y la pérdida de paquetes con técnicas como la corrección de errores de reenvío (FEC).
Con SD-WAN, los datos en tránsito están protegidos gracias a los túneles IPsec encriptados. SD-WAN también dirige de forma segura e inteligente el tráfico a la nube por la ruta más óptima. Las aplicaciones de confianza, como Microsoft 365 o RingCentral, se envían directamente a la nube, mientras que otras aplicaciones se envían a soluciones de seguridad entregadas en la nube (Security Service Edge) o al centro de datos.
Una solución SD-WAN avanzada también incluye otras funcionalidades, como firewall de próxima generación, enrutamiento y capacidades de optimización de WAN. Las configuraciones y las definiciones de políticas se organizan de forma centralizada y se envían automáticamente a las sucursales a través del aprovisionamiento sin contacto. Esto permite a las organizaciones agilizar las operaciones de red mediante la sustitución de equipos heredados, como enrutadores y firewalls. Gracias a sus capacidades de firewall de próxima generación, una SD-WAN avanzada también ayuda a proteger los dispositivos IoT con una segmentación detallada basada en el rol y la identidad.
La implementación de SD-WAN es el primer paso para SASE. Proporciona una forma segura y flexible de conectar usuarios remotos a aplicaciones y servicios basados en la nube. Ayuda a reducir los costos operativos y de capital al simplificar la arquitectura WAN, centralizar la administración de redes y seguridad y eliminar el backhaul del tráfico destinado a la nube a través de costosos circuitos de líneas alquiladas. También proporciona visibilidad y control sobre la red, lo cual es fundamental en una arquitectura SASE.
VPN (red privada virtual) es una tecnología que proporciona una conexión segura y encriptada a través de Internet. Cuando un trabajador remoto se conecta a una VPN, se establece un túnel seguro al servidor VPN, lo que hace que sea prácticamente imposible interceptar o descifrar los datos. Recíprocamente, permite a los empleados acceder a los recursos corporativos de forma remota desde cualquier ubicación. También es más rentable ya que utiliza enlaces de Internet en lugar de costosas líneas privadas. La VPN también ayuda a cumplir con las regulaciones que exigen el uso de VPN cuando se trata de datos confidenciales.
ZTNA (Zero Trust Network Access), parte de SASE, se basa en el principio de "nunca confiar, siempre verificar", por lo que un dispositivo que se conecta a la red no es de confianza de manera predeterminada, incluso si está conectado desde una red corporativa. Hace cumplir el acceso con privilegios mínimos al garantizar que los usuarios solo accedan a los recursos que necesitan para realizar, en función de sus roles en el negocio, lo que reduce la superficie de ataque y el riesgo de filtraciones de datos.
ZTNA a menudo se compara con VPN, pero ofrece varias ventajas sobre VPN.
Uno de los principales inconvenientes de la VPN es que brinda acceso ilimitado a la red empresarial una vez que se identifica a un usuario, mientras que ZTNA segmenta la red a nivel de aplicación en función de la identidad del usuario. Esto proporciona un control de acceso a los recursos más granular que la VPN tradicional. También es más seguro, ya que el acceso se otorga según la necesidad de saberlo, solo después de verificar la identidad y el dispositivo del usuario. Es más fácil de administrar ya que las políticas de acceso se administran de forma centralizada y se pueden actualizar en tiempo real.
Una vez que se ha implementado ZTNA en la organización, los departamentos de TI pueden implementar fácilmente otras funciones SASE, como SD-WAN, para modernizar la red o las capacidades de seguridad proporcionadas por la nube, como CASB (Cloud Access Security Broker) o SWG (Secure Web Gateway).
A medida que más organizaciones adoptan servicios en la nube, es fundamental garantizar la seguridad y el cumplimiento de los datos basados en la nube. Los datos más confidenciales viajan a través de enlaces no seguros y se alojan fuera del perímetro de seguridad de la empresa en servicios en la nube autorizados o no autorizados. Con eso en mente, las organizaciones deben detectar posibles filtraciones de datos y prevenirlas monitoreando y bloqueando el movimiento inseguro de datos confidenciales.
Cloud Access Security Broker (CASB) supervisa las actividades de los usuarios en los servicios en la nube, identifica posibles riesgos de seguridad y violaciones de políticas para evitar la pérdida de datos. Identifica y detecta datos confidenciales en aplicaciones en la nube y aplica políticas de seguridad como la autenticación y el inicio de sesión único (SSO). Evita que los usuarios se registren y utilicen aplicaciones en la nube que no están autorizadas por las políticas de seguridad y TI de una organización, lo que reduce significativamente la TI en la sombra.
Conoce más sobre las capacidades de Zero Trust de HPE Simplivity
Para proteger a la organización contra amenazas basadas en la web, como malware, ransomware, phishing y otros riesgos de seguridad cibernética, una solución Secure Web Gateway (SWG) se ubica entre un usuario y un sitio web para interceptar el tráfico web. Realiza varias inspecciones de seguridad, incluido el filtrado de URL, la detección de códigos maliciosos y el control de acceso web, y proporciona políticas que pueden limitar el acceso a sitios para adultos, juegos de apuestas o sitios peligrosos, por ejemplo. También proporciona detección y respuesta a amenazas en tiempo real, lo que permite a las organizaciones responder rápidamente a posibles incidentes de seguridad.
En resumen, SWG y CASB garantizan que los usuarios accedan a Internet de forma segura mientras obtienen visibilidad y control sobre el uso de los servicios en la nube. Según sus objetivos comerciales y de seguridad, las organizaciones pueden continuar su camino hacia SASE implementando capacidades SD-WAN o ZTNA.
Aruba EdgeConnect es una solución SD-WAN segura que proporciona una base sólida para construir una arquitectura SASE robusta. Es compatible con las organizaciones que priorizan la nube al dirigir inteligentemente el tráfico web a la nube y las ayuda a simplificar su infraestructura WAN al reemplazar los enrutadores heredados y los firewalls de próxima generación a través de una única plataforma. La solución se integra estrechamente con múltiples proveedores de SSE, incluidos Zscaler y Netskope, lo que proporciona una interoperabilidad de terceros sin igual y libertad de elección.
Para satisfacer la demanda de una red integrada y una solución de seguridad, Hewlett Packard Enterprise anunció recientemente la adquisición de Axis Security, ampliando sus capacidades de seguridad de la periferia a la nube al ofrecer una solución SASE unificada. Axis Security ofrece una plataforma SSE nativa en la nube, Atmos, con acceso a la red de confianza cero (ZTNA), puerta de enlace web segura (SWG), agente de seguridad de acceso a la nube (CASB) y capacidades de monitoreo de experiencia digital (DEM).