Secure Access Service Edge, la nueva tendencia en seguridad en la Nube

1608

Los servicios en la Nube, el trabajo remoto y el acceso a los recursos empresariales desde cualquier sitio y a cualquier hora, son acciones que han creado la necesidad de que la protección y ciberseguridad tengan una estrategia distinta.

Manuel Moreno, director de Security Sales Enablement en IQSEC, platicó con DPL News sobre la tendencia de Secure Access Service Edge (SASE), que calificó como imprescindible hoy en día, sobre todo tras la nueva dinámica que ha dejado la pandemia de Covid-19.

¿Qué es Secure Access Service Edge?

Es un concepto que vio su origen por Gartner, pero se refiere a la protección y el control de tráfico para el usuario final hacia la Nube. Implica una convergencia de tecnologías de conectividad, red y seguridad.

Toma relevancia ahora, porque el modelo que se tenía antes, de que los recursos corporativos estaban centralizados, ahora con servicios en la Nube y trabajo remoto desde casa, el acceso lo haces prácticamente desde cualquier lugar en cualquier momento. Este concepto o arquitectura SASE permite que, sin importar en dónde se encuentre el usuario, tendrá la mejor opción para conectarse seguro.

¿Cómo funciona SASE?

Las capacidades de SASE permiten al usuario tener la mejor ruta para un menor tiempo de respuesta al acceder a una aplicación y que no exista mucha latencia. A la vez, permite que se apliquen políticas granulares para que a esa persona se le otorgue el acceso solamente a la aplicación. Si es Nube, esa app podría estar conviviendo en una infraestructura compartida, pero aquí hay un control de acceso granular.

Cuando los atacantes quieren comprometer un proceso, con SASE ya no pueden, porque aplica otro concepto que es “arquitectura de confianza cero”, el cual implica que no des por hecho que el usuario que se conecta tiene buenas intenciones, sino sólo otorgas un permiso.

Es como encapsular el acceso, dentro de sus características está el acceso a la red de confianza cero. En lugar de VPN, utilizas el Zero Trust Network Acces y eso permite que tengas acceso sólo a lo que necesitas.

¿Cuándo surge este concepto y en qué momento se comienza a utilizar esta nueva forma de protección?

Esta arquitectura o concepto apareció hace unos tres años, cuando iniciaba la tendencia de usar más servicios en la Nube. Con la pandemia el concepto adquirió mayor difusión e implementación por el desarrollo del trabajo a distancia.

Normalmente, esto se contesta por el hecho de que muchas de las organizaciones, sus servicios internos y externos están hospedados en la Nube, llámese Amazon o Azure. Por ejemplo, si hablamos de un área de ventas, casi todo su día a día lo hacen en Salesforce, que es una app que está en la nube con prospectos, cuentas, etcétera.

¿Cambia entonces la estrategia de proteger infraestructura física en tus propios centros de datos a proteger tus recursos que tienes en la Nube?

El recurso como tal ya no vive en el centro de datos, sino en la Nube. La arquitectura de red tradicional ya no se lleva con los mismos equipos, SASE se apoya en concepto de red definida por software, ya no por hardware.

¿A quién están dirigidos los servicios SASE y cómo se da la adopción?

En general, para todos los que dependen más de servicios en la Nube, aunque grandes empresas están haciendo un modelo híbrido, ya que tienen accesos a través de corporativo. Por ejemplo, un banco, su core tiene que estar en un centro de datos tradicional, pero todos los demás sistemas si están en la Nube y tienen un modelo híbrido.

La adopción es progresiva, no es que deseches todo y lo cubras sólo con SASE de un momento a otro. Esta adopción plena son proyectos más o menos que progresivamente duran tres años.

Lo que tienen que fijarse primero es el tema de ahorrar costos, si tiene enlaces dedicados de sus oficinas a corporativo. Probablemente, por el tema de que se usa la Nube y no estás físicamente, la utilización de esos enlaces dedicados ya no se justifican, entonces la compañía empieza a darse cuenta que es necesario otro esquema y es cuando comienza a voltear a ver estos esquemas de SASE.

¿Cómo va la adopción de soluciones SASE?

En México están empezando a hacer esta transición, sobre todo las empresas trasnacionales. Si la matriz está en Europa o Estados Unidos, allí la adopción de SASE va más adelante, pero en México, por política corporativa, las están empezando a seguir.

De no hacerlo, el tema es que están gastando en infraestructura que quizá ya está empezando a ser subutilizada como el tema de enlaces, otro es el tema de protección. Si los empleados trabajan desde casa y no pasan por controles en el corporativo y oficinas donde tienes firewall, detector de intrusos, filtrado de URL, estás perdiendo la seguridad, porque el camino o la conexión ya no va por ahí sino va directamente hacia la Nube. Se pone entonces en riesgo la integridad de confidencialidad e información que maneja la compañía.

¿Para qué tipo de organizaciones se recomienda usar soluciones SASE?

SASE no es exclusivo del sector financiero o gobierno, sino a nivel general y cualquier sector: retail, telecom, entretenimiento, manufactura, etcétera. El tema de trabajar desde casa y el aprovechamiento de la Nube, que se veía como tendencia desde antes de la pandemia, está obligando a voltear a este tipo de tecnología.

Como experiencia de usuario es muy buena. Sin importar donde estés, la arquitectura SASE busca garantizar que tengas la mejor alternativa para conectarte al recurso, inteligencia para buscar a nivel de red para que el tiempo de respuesta sea mejor.

¿Cuál es la diferencia entre SASE y otras soluciones más tradicionales?

Una de las fortalezas que tiene SASE en términos de la protección es que, comparado con el esquema antiguo, que tienes cinco soluciones de seguridad y un equipo especializado para cada uno, digamos que tu paquete o conexión es abierta y analizada por cada elemento de seguridad. El firewall abre el paquete, lo revisa y lo pasa al detector de intrusos, y luego este hace lo mismo y pasa al filtrado web; hay una latencia más fuerte porque se tarda.

Sin embargo, con SASE se abre el paquete y todas las funciones se revisan en un solo momento y se decide si pasa o no la conexión; impacta favorablemente en tener un adecuado tiempo de respuesta con el nivel de seguridad.

La inteligencia de SASE para buscar cuál es la mejor alternativa para conectarte, a eso se le llama el contexto –quién eres, qué app vas a acceder–, hay una inteligencia para decidir si a esa conexión que vas a hacer se le da mayor o menor prioridad.