El perímetro de servicio de acceso seguro (Secure Access Service Edge), también conocido como SASE, es un modelo de seguridad basado en la nube que agrupa redes definidas por software con funciones de seguridad de la red y las ofrece desde un único proveedor. El término «SASE» fue acuñado por Gartner en 2019
SASE es una alternativa en la nube a la tradicional infraestructura de red que se utiliza para conectar usuarios en distintas ubicaciones con recursos alojados en centros de datos centralizados. En un modelo convencional, los datos y las aplicaciones se encuentran en un centro de datos principal. Para acceder a esos recursos, los usuarios, las sucursales y las aplicaciones se conectan al centro de datos desde una red privada o una red secundaria a través de una línea alquilada segura o de una VPN.
El modelo tradicional de infraestructura de red no está bien preparado para gestionar las complejidades de los servicios en la nube, como el SaaS y el incremento de trabajo remoto. En vista del incremento de aplicaciones, cargas de trabajo y datos corporativos sensibles trasladándose a la nube, las empresas se ven obligadas a replantearse cómo se examina el tráfico de la red y se gestionan las políticas de acceso seguro de los usuarios. Ya no es práctico redirigir todo el tráfico a través de un centro de datos si la mayoría de las aplicaciones y datos están alojados en la nube, ya que eso podría generar una latencia innecesaria. Mientras tanto, usuarios remotos pueden tener una latencia significativa al conectarse a una red corporativa a través de una VPN, o bien exponerse a otros riesgos de seguridad a través de una conexión no segura.
En cambio, SASE ubica los controles de la red en el perímetro de la nube. La implementación de políticas de acceso Zero Trust en función de la identidad en el perímetro de la red permite a las empresas ampliar su perímetro de red a cualquier usuario, sucursal, dispositivo o aplicación remotos. A su vez, elimina la necesidad de las VPN y los firewalls heredados, y da a las empresas un mayor control. Para ello, se crea un marco SASE sobre una única red global para acercar estos servicios integrados a los usuarios finales.
¿Qué funciones incluye SASE?
La oferta de SASE incluye cuatro componentes básicos de seguridad:
- Secure web gateways (SWG): las puertas de enlace seguras (SWG) evitan las amenazas cibernéticas y las fugas de datos mediante la filtración de contenido no deseado de tráfico web, el bloqueo del comportamiento no autorizado y la aplicación de las políticas de seguridad de la empresa. Las SWG pueden implementarse en cualquier lugar, por lo tanto, son ideales para garantizar el trabajo de la fuerza laboral remota.
- Cloud access security broker (CASB): un agente de seguridad de acceso en la nube (CASB) cumple varias funciones de seguridad. Revela la «TI en la sombra» (sistemas corporativos no autorizados), protege los datos confidenciales mediante el control de acceso y la prevención de pérdida de datos (DLP), y garantiza el cumplimiento de las normas de privacidad de datos.
- Zero Trust Network Access (ZTNA): las plataformas de acceso a la red Zero trust (ZTNA) bloquean los recursos internos de la vista del público y ayudan a defenderse de posibles fugas de datos al exigir la verificación en tiempo real de cada usuario para cada aplicación protegida.
- Firewall-as-a-Service (FWaaS): el firewall como servicio (FWaaS) se refiere a los firewalls distribuidos desde la nube como un servicio. El FWaaS protege las plataformas, la infraestructura y las aplicaciones en la nube de los ataques cibernéticos. Este incluye filtrado de URL, prevención de intrusiones y gestión uniforme de políticas en el tráfico de la red.
¿Cuáles son las ventajas de un marco SASE?
SASE ofrece varios beneficios en comparación con un modelo de seguridad basado en un centro de datos:
- Implementación y gestión simplificadas. SASE fusiona soluciones de seguridad centralizadas en un servicio, permite que las empresas interactúen con menos proveedores y destinen menos recursos a la configuración y el mantenimiento de la infraestructura física.
- Gestión de políticas simplificada. En lugar de tener varias políticas para soluciones separadas, SASE permite que las organizaciones establezcan, ajusten y apliquen políticas de acceso en todas las ubicaciones y a todos los usuarios, los dispositivos y las aplicaciones desde un único portal.
- Acceso a la red Zero Trust en función de la identidad. SASE depende de un modelo de seguridad Zero Trust, que no permite que el usuario acceda a las aplicaciones y a los datos hasta que se haya verificado su identidad, incluso si ya se encuentra dentro del perímetro de una red privada. Al establecer las políticas de acceso, también tiene en cuenta factores como la ubicación del usuario, la hora del día, las normas de seguridad de la empresa, las políticas de conformidad y una evaluación constante del riesgo.
- Enrutamiento optimizado por latencia. Para servicios que se ven afectados por la latencia (p. ej., video conferencias, streaming, videojuegos), SASE ayuda a reducir la latencia al redirigir el tráfico de la red a través de una red perimetral global en la que el tráfico se procesa más cerca del usuario. Las optimizaciones ayudan a determinar la ruta de red más rápida según la congestión y otros factores.