Parece que fue ayer cuando se oyó hablar por primera vez de SSE. La propuesta de consumir servicios de red y seguridad desde la nube era atractiva y los proveedores de servicios de Internet (ISPs) exploraban cómo ofrecer un conjunto de servicios SASE. Hoy, las empresas entienden el Servicio de Seguridad en el Borde (SSE) como una nueva categoría de producto. Es más, Gartner anunció recientemente el primer Cuadrante Mágico para SSE y los departamentos de gestión de producto de los ISPs ya estudian qué significa SSE para su negocio. ¿Se trata de otra amenaza competitiva de los proveedores de servicios en la nube? ¿Es una oportunidad para introducir un nuevo servicio en el mercado? O ¿cómo puede influir para el servicio SASE gestionado que una empresa acaba de lanzar? Veamos cómo.
SSE es una mitad del entorno SASE. Es el cerebro que integra un conjunto específico de servicios de seguridad: el agente de seguridad de acceso a la nube (CASB), la gateway de seguridad web (SWG), el acceso a la red basado en confianza cero (ZTNA), el aislamiento remoto del navegador (RBI), y un firewall en la nube (CFW). La otra mitad de SASE se compone de Servicios WAN en el Borde: SD-WAN, optimización de aplicaciones, conectividad y todo lo relacionado con la red. En pocas palabras, SSE + Servicios WAN en el Borde = SASE.
Por qué los proveedores de servicios están bien posicionados para un entorno SASE
Por simple lógica, si un proveedor de servicios ofrece SASE gestionado, debería incluir capacidades SSE como parte de él. Pero los problemas se esconden detrás de los detalles. Gartner, que acuñó los términos SASE y SSE, esboza las siguientes propiedades de una estrategia SASE con garantía de futuro basada en SSE:
- Aplicación coherente de las políticas, independientemente de la ubicación
- Plano de control de políticas consolidado
- Visibilidad y control de los datos sensibles
Por lo tanto, si una empresa ya ofrece un servicio SASE gestionado, este es un buen momento para comparar sus capacidades con estos requisitos a fin de asegurar que el servicio puede ir más allá de ofrecer productos aislados y cumple con las últimas exigencias.
Pero, ¿y si no tiene una oferta SASE y, sin embargo, percibe la demanda del mercado?
La buena noticia es que los proveedores de servicios pueden dar vida al entorno SASE ofreciendo un servicio integral. Así, y en lugar de proporcionar diferentes soluciones que aborden casos de uso de nicho, pueden utilizar el amplio alcance de su red y su experiencia en grandes mercados para introducir un servicio coherente que siga el espíritu de SASE: conectar a CUALQUIER usuario con CUALQUIER servicio en la nube y garantizar la protección de los datos. También, pueden abarcar todo tipo de tecnologías de acceso y facilitar el mismo nivel de visibilidad y gestión de políticas con un SLA obligado por contrato. Utilizando la terminología SD-WAN, al controlar tanto la parte interior como la capa exterior de la conectividad del cliente, puede ofrecer un mejor SLA y resolver cualquier problema más rápidamente.
Cómo los proveedores de servicios pueden integrar capacidades SSE en SASE
Para tratar de reducir el tiempo de comercialización, estos ISPs podrían considerar posicionar sus capacidades actuales de Servicios WAN en el Borde como SSE. Sin embargo, y aunque es probable que en su oferta actual de SD-WAN cuente con elementos de seguridad, como firewall o UTM (de nueva generación), estos, por sí mismos, no pueden considerarse SSE.
SSE va mucho más allá de las funcionalidades puntuales de un firewall, ofreciendo mayores controles de seguridad para un conjunto más amplio de casos de uso. La combinación de CASB y SWG permite crear una política única para controlar el tráfico de la nube y la web para cualquier aplicación y usuario. El aislamiento remoto del navegador y el acceso a la red basado en confianza cero forman parte de esta política, aprovechando el contexto de los datos recogidos por CASB/SWG. Todos estos servicios están estrechamente integrados en SSE en torno al concepto de protección de datos.
Entonces, ¿cómo se despliega un servicio SSE? ¿A qué segmentos de clientes dirigirse? ¿Debe recurrirse a diferentes soluciones para distintos tipos de clientes? ¿Qué stack de tecnología debe utilizarse? ¿Puede implementarse SSE utilizando los principios de NFV (o virtualización de las funciones de red) como una cadena de servicio de VNFs (funciones de red virtualizadas) y seguridad o CNFs (funciones de red nativas en la nube)? ¿Debe ejecutarse en una nube pública, en una nube privada o en un modelo híbrido, apoyándose en algo como AWS Outpost, Azure Stack o Google Anthos? ¿O tal vez merezca la pena echar un vistazo a las soluciones SSE existentes y considerar la posibilidad de integrarlas en su línea de productos?
Para responder a estas preguntas, es importante repasar las expectativas del usuario final sobre SSE:
- Consola única, conjunto único de políticas, lago de datos único para los registros de log. La idea de SSE surgió de la consolidación en el mercado de los componentes SWG, CASB y ZTNA. Los usuarios no quieren gestionar varios productos utilizando diferentes consolas y APIs. Un proveedor de servicios tampoco quiere que sus operaciones repliquen las mismas políticas entre varias herramientas, por el incremento de costes operativos internos.
- Visibilidad de las actividades en la nube que sea fácil de entender. Los clientes apreciarán los cuadros de mando intuitivos que les ayuden a comprender las áreas de riesgo y dónde deben centrar su atención. Obtener información sobre las aplicaciones que utilizan los empleados, sobre si comparten datos corporativos a través de instancias personales de SaaS, acerca de dónde se encuentran los datos sensibles o de si hay indicios de comportamientos de riesgo entre los usuarios, será muy útil.
- No hay impacto en el rendimiento con todos los controles de seguridad activados. Para garantizar los servicios de seguridad, un proveedor de servicios debe tener en cuenta desde qué puntos de presencia (PoP) se prestarán éstos y cómo afectará la ubicación del PoP al mercado al que se dirige. Además, dentro de cada PoP, el rendimiento no debería depender del tipo de controles de seguridad que se habiliten. Debe optarse por arquitecturas de “paso único” frente a “cadenas de servicios”, en las que el tráfico de los usuarios pasa por una pila de múltiples funciones de seguridad en serie.
- Costo. Según diversas previsiones (1,2,3), el mercado SASE alcanzará entre 5.000 y 8.000 millones de dólares en los próximos cinco años y es probable que atraiga a muchos actores. Para seguir siendo competitivo, un proveedor de servicios debe encontrar el nivel de precio adecuado para el servicio y mantener los costos internos bajo control. Tal vez la decisión más importante en este caso sea si se va a crear la infraestructura para prestar servicios SSE o si se va a asociar con un proveedor de seguridad en la nube ya existente. Para decidir entre una y otra opción es importante tener en cuenta que:
- Los costos de las licencias de las funciones de red VNF y CNF suelen subestimarse. Los casos más comunes son las funciones de red de un solo tenant y las cadenas de servicios de respaldo aprovisionadas para cada cliente, lo que requiere más funciones de red de las previstas.
- Igual ocurre con las inversiones asociadas al desarrollo de la orquestación NFV (VNFM y NFVO): El mantenimiento de múltiples funciones de red de diferentes proveedores requiere de diversos protocolos y entornos que suele derivar en una mezcla de APIs, registros de log, SNMP… Todo se complica si se realizan procedimientos de auto escalado y auto reparación.
Y luego están las “incógnitas desconocidas”, como limitaciones de escalabilidad o un rendimiento inestable, que incrementan esta inversión. Ofrecer SASE utilizando las capacidades de red existentes y asociándose con un proveedor de SSE ayudará a estabilizar el gasto y a construir un modelo de negocio más predecible.
Parece complejo, ¿verdad? Sin embargo, SSE como parte de SASE no es una amenaza, sino una oportunidad para los proveedores de servicios de Internet. A medida que las organizaciones se embarcan en un viaje de transformación de la red y la seguridad, buscarán un proveedor conocido y maduro capaz de ayudarles, y los ISP están muy bien posicionados para ofrecer un servicio SASE de alta calidad.
Si SASE es SSE + Servicios WAN en el Borde, los proveedores de servicios son el signo “más”, el pegamento adecuado para integrar las dos mitades y ofrecer un servicio completo.