especiales

SASE: qué es. Definición, componentes, beneficios e implementación



Dirección copiada

En este artículo te contamos a qué hacen referencia estas siglas que vienen a cambiar el paradigma de seguridad de las comunicaciones en las empresas para lograr una mejor experiencia de usuario y optimizar la conectividad

Actualizado el 15 nov 2024



SASE: definición, componentes, beneficios e implementación.
SASE: definición, componentes, beneficios e implementación. Adobe Stock.Gartner acuñó el término de SASE en 2019. Adobe Stock.SASE ofrece servicios de red y seguridad en la nube. Adobe Stock.SASE aplica la seguridad donde se encuentra el flujo del tráfico. Adobe Stock.

La arquitectura de red que las empresas han utilizado hasta la fecha para servir las aplicaciones y conectar de forma segura a los usuarios y empleados ya no resulta válida para las necesidades actuales. No en vano, hoy en día, con el teletrabajo, la conexión multidispositivo, la digitalización y la nube, se ha puesto de manifiesto que los modelos de red existentes y los sistemas de seguridad tradicionales no son suficientes para garantizar unas comunicaciones protegidas capaces de afrontar el incremento de la ciberdelincuencia en las organizaciones. Era necesario abordar una aproximación diferente para atajar el problema. Así surgió SASE.

¿Qué es SASE? Historia y significado

SASE son las siglas de Secure Access Service Edge, protección del perímetro de acceso. Fue un término acuñado por Gartner en 2019 y hace referencia a la convergencia entre servicios de networking basados en redes definidas por software y servicios de seguridad en cloud.

SASE es una necesidad que surge de la complejidad de la nube, el requerimiento de estar conectado a redes y aplicaciones desde cualquier lugar, así como de tener que asegurar el acceso de los usuarios. Esto conlleva un alto riesgo para las organizaciones que tienen la necesidad de fortalecer ese perímetro -desaparecido- de la red que envuelve todo y que supone la barrera entre lo externo y lo interno.

¿Cómo se entrega SASE? Arquitectura SASE

SASE se entrega como un servicio. Se trata de un concepto de ciberseguridad, una arquitectura basada en la nube que ofrece tanto servicios de red como de seguridad destinados a proteger tanto a los usuarios como las aplicaciones y los datos. Una tecnología, pues, que posibilita a las organizaciones garantizar el acceso inmediato e interrumpido de los usuarios de forma segura desde cualquier lugar.

En concreto, una arquitectura SASE identifica a los usuarios y a los dispositivos, aplica mecanismos de seguridad basándose en políticas determinadas y proporciona acceso seguro a la aplicación o los datos adecuados. Gracias a esto, permite a las organizaciones aplicar controles de acceso seguro, independientemente de las circunstancias.

Si nos remontamos a la definición de la consultora de dio luz a esta noción podríamos decir que “las funciones de SASE se proporcionan como un servicio basado en la identidad de la entidad, el contexto en tiempo real, las políticas de cumplimiento normativo y seguridad de la empresa, y la valoración continua del riesgo y la confianza a lo largo de las sesiones”.

4 factores sobre los que se sustenta SASE

En otras palabras, SASE se sustenta en estos 4 factores:

  • Identidad. Permite un acceso basado en la identidad por sesión y lleva a cabo una autenticación de nivel empresarial para cada intento de acceso
  • Contexto. Visibiliza el estado y el comportamiento del usuario o del dispositivo, o la sensibilidad de los recursos a los que se está accediendo.
  • Seguridad y cumplimiento. SASE cuenta con políticas que otorgan privilegios de acceso en cada situación concreta.
  • Evolución de riesgos. Esta metodología realiza un análisis constante y evaluación de riesgos de cada sesión.

¿Cuál es la función principal de SASE?

El principal objetivo de SASE es brindar mejor conectividad y seguridad completa para responder a las necesidades de las organizaciones en las que el perímetro ha desaparecido, logrando una experiencia de usuario óptima esté donde esté y se conecte desde el dispositivo que se conecte.

Para empresas distribuidas

Las soluciones de seguridad SASE están diseñadas para satisfacer las necesidades de redes y seguridad de la empresa cada vez más distribuida. A medida que las organizaciones adoptan la tecnología en la nube, el trabajo remoto y los dispositivos móviles, un porcentaje cada vez mayor de su infraestructura de TI se encuentra fuera de la red de la sede principal.

Ante este nuevo escenario SASE resuelve este problema trasladando los servicios de seguridad al borde de la red, a través de una red global de PoP, e integrando capacidades de red en una única solución. Al hacerlo, permite a las compañías garantizar que todas las sucursales y usuarios disfruten de un alto rendimiento, al tiempo que protegen el acceso a las aplicaciones corporativas, SaaS y la web, independientemente de la ubicación o el dispositivo.

Ventajas de una arquitectura SASE

En SASE convergen las capacidades de redes y seguridad en una arquitectura distribuida globalmente, nativa en la nube y de un solo servicio que cambia el enfoque de seguridad: de centrado en el flujo del tráfico a centrado en la identidad.

Una solución de este calado abarca un paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, dónde se encuentran la aplicación o el recurso a los que se accede o qué combinación de tecnologías de transporte conecta al usuario y al recurso.

Entrando en detalle, podríamos establecer las principales ventajas de una arquitectura SASE:

  • Seguridad y enrutamiento integrados
  • Previene amenazas y reduce riesgos
  • Arquitectura distribuida
  • Rendimiento optimizado y aumentado
  • Orquestación y políticas centralizadas y basadas en roles
  • Reduce los costes y la complejidad, fundamentalmente en WAN
  • No importan dónde residan las aplicaciones
  • Habilita escenarios comerciales digitales nuevos
  • Garantiza una política consistente
  • Aumenta la eficacia del personal de TI
  • Acceso seguro remoto y móvil del usuario y sin problemas
  • Aplica un acceso de privilegios mínimos

Desafíos del SASE

Aunque son muchas las ventajas de SASE al delimitar un nuevo perímetro definido por software en un momento en el que las interacciones de redes se separan cada vez más de ubicaciones o dispositivos conocidos, también tiene sus propios desafíos. Su adopción contempla algunos obstáculos en el proceso, por ellos es importante definir una estrategia correcta y un proveedor o socio adecuado.

Así las cosas, desde Gartner y otras consultoras recomiendan atender a los siguientes aspectos para abordar una implementación exitosa:

  • SASE no es una nueva tecnología, sino una integración de tecnologías
  • Sistema distribuido de puertas de enlace en la nube. Es necesario un desarrollo global de POP para brindar un rendimiento predecible de las aplicaciones
  • Confiar en proveedores de SASE de confianza
  • Valorar el conjunto de habilidades del proveedor de SASE
  • La arquitectura de SASE debe escalar
  • Integración e interoperabilidad: comprobar que se cumple
  • Su implementación requiere un cambio en la cultura organizativa hacia el as a service o bajo demanda
  • Evitar soluciones de DIY, de “yo me lo guiso yo me lo como”

¿Cómo se integran la seguridad y la red en SASE?

SASE ofrece servicios de red y seguridad en la nube, siendo el fruto de la convergencia de las redes de área extensa (WAN) y los servicios de seguridad de la red, como los CASB (agentes de seguridad de acceso a la nube), los cortafuegos como servicio (FWaaS) y el acceso Zero Trust (confianza cero) todo ello bajo un modelo de servicios en la nube.

Este concepto va unido irremediablemente a SD-WAN (Software Defined Wide Area Network, por sus siglas en inglés), considerándose como el paso previo a SASE. Esta innovación rompe el underlay (red tradicional propia de los operadores) y el overlay (red virtual programable, de los clientes, que se crea sobre la red física), e introduce un orquestador que comunica la red física con la virtual. De hecho, algunas compañías combinan SD-WAN con tecnología WAF (Web Application Firewall) para responder a los retos de seguridad remota actuales.

Tal es así, que se concibe SASE como la suma de SD-WAN y SSE (Security Service Edge), un conjunto de herramientas de seguridad basadas en la nube que incluye Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Firewall-as-a-Service (FWaaS) y Acceso a la red de confianza cero (ZTNA).

¿Qué elementos tecnológicos están incluidos en SASE?

Tal y como hemos ido viendo, SASE es, en realidad, un paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, la aplicación o el recurso al que se accede o qué combinación de soluciones de transporte conecta al usuario y al recurso.

Recapitulando, estos son sus principales componentes:

  • SD-WAN: WAN definida por software.
  • CASB: Agente de seguridad de acceso a la nube.
  • NGFW y FWaaS: firewall de nueva generación y firewall como servicio.
  • ZTNA: acceso a redes de confianza zero.
  • SWG: gateway o puerta de enlace web segura.

¿Cómo se implementa SASE en una organización?

SASE se puede implementar en las instalaciones, en la nube o en las oficinas móviles o en el hogar, dondequiera que sea necesario, y ofrece una autenticación del usuario y una aplicación de políticas de seguridad consistentes.

¿Qué preguntas hacerse para adoptar SASE?

Para adoptar SASE una organización debe definirse una estrategia correcta identificando usuarios y aplicaciones que se regirán bajo este esquema, establecer políticas de Zero Trust, .

Y todavía más decisivo, elegir un proveedoradecuado que facilite la implementación, que sea de confianza y ofrezca el conjunto de habilidades que la empresa necesita. A este respecto, Gartner indica que para llevar a buen puerto este proceso debe tenerse en cuenta que se trata de una integración de tecnologías de redes y seguridad lo que implica nuevas reglas del juego y una nueva cultura organizativa. El consabido cambio de mentalidad que impone un modelo operativo basado en la nube o as a service. Además, recomienda hacer pruebas exhaustivas de las soluciones SASE para asegurarse que cumplen con las necesidades de escalabilidad, flexibilidad, integración e interoperabilidad y, por supuesto, seguridad.

¿Cuáles son las principales diferencias entre SASE y una red tradicional?

Las arquitecturas de redes tradicionales estaban diseñadas con puntos de aplicación de políticas de la red específicas y el tráfico se dirigía a la fuerza a través de esos puntos para llevar a cabo verificaciones de seguridad. Esto creaba cuellos de botella.

Por el contrario, SASE aplica la seguridad donde se encuentra el flujo del tráfico: en los puntos de conexión del cliente y la aplicación, además de en proxies y puertas de enlace estratégicamente ubicadas a lo largo de la ruta más eficaz ya establecida. Una solución de este calado permite la integración de una seguridad directa y ubicua entre el cliente y la nube con un enrutamiento óptimo de la WAN del cliente la nube.

¿Cómo se pueden asegurar las aplicaciones en la nube en una arquitectura SASE?

Ante el incremento del cibercrimen, proteger el dispositivo y, sobre todo, la identidad es básico y el usuario es el eslabón más débil siendo el vector de entrada de un ataque en un 99% de los casos. Pero más allá de la identidad, resulta clave detectar el contexto para mitigar el riesgo.

El concepto ZTNA (Zero Trust Network Access, por sus siglas en inglés) se creó como una evolución de los sistemas de las VPN y su característica de split tunneling por considerar que eran demasiado permisivas. La primera generación de ZTNA parece que se queda corta en algunos ámbitos como el control del acceso a subaplicaciones, tareas particulares o el cambio de comportamiento del usuario, las aplicaciones o dispositivo y no puede detectar o prevenir el malware o el movimiento transversal a través de las conexiones.

Por ello, los fabricantes ya están trabajando en una evolución en la que se ha pasado de identificar únicamente al usuario a reconocer otra serie de parámetros que garanticen la comunicación. Esto ha dado lugar a la versión 2.0 que elimina la confianza implícita para ayudar a garantizar que las organizaciones estén debidamente protegidas. Permiten garantizar el control de acceso preciso a nivel de aplicación y subaplicación independientemente de las direcciones IP o números de puertos. Una vez concedido el acceso a una aplicación se realiza una evaluación continua de la confianza en base a los cambios de postura del dispositivo, comportamiento del usuario y de la aplicación. Estas soluciones utilizan una inspección profunda y continua de todo el tráfico de la aplicación, incluso de las conexiones permitidas.

SASE nació con las VPN y ahora hay una revolución a Zero Trust. Esto supone dar acceso a todas las aplicaciones con los mínimos privilegios, monitorizando constantemente todo el proceso de la conexión: inspeccionando continuamente qué aplicaciones se utilizan, el tiempo que se utilizan, las intervenciones que se realizan, el tráfico y la seguridad de los dispositivos.

¿Cómo se puede mejorar la experiencia del usuario con SASE?

Está claro que el trabajo ya no se circunscribe a una oficina física. Las personas operan desde cualquier lugar y dispositivo, con aplicaciones que se encuentran en la nube. Esto implica que ya no sirve con proteger a través de una IP, ahora hay que dar protección a cada uno de los usuarios y que su experiencia de uso sea la misma esté donde esté. Y esto es lo que ofrece SASE: universalidad del acceso sin perder la seguridad. Lo que se traduce en una experiencia del usuario optimizada.

Futuro de SASE: previsiones

Según Gartner de aquí a 2024, al menos el 40% de las empresas tendrán estrategias explícitas para la adopción de servidores SASE, cifra que contrasta con el porcentaje que había a finales de 2018, inferior al 1%.

Además, la consultora predice que a medida que un mayor número de organizaciones adoptan SASE:

  • “Para 2025, el 70% de las organizaciones que implementen el acceso a redes de confianza cero (ZTNA) basado en agentes elegirán un proveedor de servicios de acceso seguro (SASE) o de servicios de seguridad (SSE) para ZTNA, en lugar de una oferta independiente.
  • Para 2026, el 85% de las organizaciones que busquen adquirir ofertas de agente de seguridad de acceso a la nube, pasarela web segura o acceso a la red de confianza cero las obtendrán de una solución convergente.
  • Para 2026, el 45% de las organizaciones priorizará las funciones avanzadas de seguridad de datos para la inspección de datos en reposo y en movimiento como criterio de selección de SSE.

Artículos relacionados

Artículo 1 de 5