SASE, EL NUEVO ENFOQUE DE LA SEGURIDAD EN LAS COMUNICACIONES

Organizado por Redes&Telecom

INTRODUCCIÓN

La migración de datos y aplicaciones a la nube, el trabajo en remoto y la necesidad de las empresas de llevar a cabo la transformación digital ha supuesto que los modelos de red existentes y los sistemas de seguridad tradicionales ya no sean suficientes para garantizar conexiones seguras. A esto hay que sumarle el incremento de la ciberdelincuencia y los enormes costes que tiene para las organizaciones. La evolución necesaria a todo ello es lo que en 2019 Gartner denominó SASE (Secure Access Service Edge, por sus siglas en inglés)

Se trata de un concepto de ciberseguridad, una arquitectura basada en la nube que ofrece servicios de red y seguridad destinados a proteger tanto a los usuarios como las aplicaciones y los datos. Esta tecnología permite a las organizaciones garantizar el acceso inmediato e ininterrumpido de los usuarios de forma segura desde cualquier lugar.

Una arquitectura SASE identifica a los usuarios y dispositivos, aplica mecanismos de seguridad basándose en políticas determinadas y ofrece acceso seguro a la aplicación o los datos adecuados. Este modelo permite a las organizaciones aplicar controles de acceso seguro, independientemente de las circunstancias.

Esta tecnología ofrece servicios de red y seguridad en la nube, es el fruto de la convergencia de las redes de área extensa (WAN) y los servicios de seguridad de la red, como los CASB (agentes de seguridad de acceso a la nube), los cortafuegos como servicio (FWaaS) y el acceso Zero Trust (confianza cero) todo ello en un modelo de servicios en la nube.

Este concepto emergente va unido a SD-WAN y empieza a cobrar mayor protagonismo en empresas distribuidas o con varias sedes. Y es que, asegurar las comunicaciones resulta crítico en cualquier empresa en las circunstancias actuales.

Gartner señala que, “las funciones de SASE se proporcionan como un servicio basado en la identidad de la entidad, el contexto en tiempo real, las políticas de cumplimiento normativo y seguridad de la empresa, y la valoración continua del riesgo y la confianza a lo largo de las sesiones”. Según la consultora “de aquí a 2024, al menos el 40% de las empresas tendrán estrategias explícitas para la adopción de servidores SASE, cifra que contrasta con el porcentaje que había a finales de 2018, inferior al 1%”.

Redes&Telecom junto con GTT, HPE Aruba y Palo Alto Networks, ha organizado un encuentro con clientes para analizar los datos más relevantes de esta nueva arquitectura que marcará el futuro de una conectividad segura en las organizaciones. A este almuerzo de trabajo han asistido representantes de Amadeus , Food Delivery Brands, Insud Pharma, Nippon Gases, Repsol, Roche y Sacyr.


PROTAGONISTAS

“Las empresas van a ir tarde o temprano hacia SASE por lo que es importante saber cuáles son los compañeros de viaje y las tecnologías a implementar”

GTT

David López, Sales Director Spain

“La transformación digital ha supuesto un cambio de paradigma que requiere una evolución de la conectividad, la seguridad y la operativa”

HPE Aruba

Alberto Pérez, Southern Europe SDWAN Business Development Manager

“Hemos pasado de un mundo sólido a uno líquido en el que están cambiando las topologías de red, convergiendo con las soluciones de seguridad”

PALO ALTO NETWORKS

Tomás de Lara, District Sales Manager


CONCLUSIONES

Tras escuchar a los principales actores de este encuentro se concluyen varias cosas. SASE es una necesidad que surge de la complejidad de la nube, el requerimiento de estar conectado a redes y aplicaciones desde cualquier lugar, así como de tener que asegurar el acceso de los usuarios. Esto conlleva un alto riesgo para las organizaciones que tienen la necesidad de fortalecer ese perímetro -desaparecido- de la red que envuelve todo y que supone la barrera entre lo externo y lo interno. La mayoría todavía no tiene claro cómo implementarlo en su empresa, adaptarlo a su negocio e impedir que la agilidad que, hoy en día, requiere éste no se vea perjudicada. En definitiva, encontrar el punto de equilibrio entre eficacia y seguridad al más alto nivel sin perjudicar la marcha del negocio.

CONVERGENCIA DE RED, NUBE Y SERVICIOS

En las últimas décadas hemos vivido un cambio excepcional en la humanidad, marcado en gran medida por la evolución tecnológica. Este cambio se ha visto acelerado exponencialmente en los últimos años como consecuencia de la pandemia global. El esquema de trabajo ha cambiado pasando de ser un lugar para convertirse en una actividad.

Hoy en día las personas trabajan desde cualquier lugar, las aplicaciones se encuentran en la nube y no en un centro de datos. Ya no sirve proteger por IP, hay que dar protección a cada uno de los usuarios y que su experiencia de uso sea la misma esté donde esté.

TRANSFORMACIÓN DEL NEGOCIO

Hemos pasado de la economía del más grande a la del más talentoso y rápido. De un mundo sólido a un mundo líquido, como decía el sociólogo Zygmunt Bauman. A través de la transformación digital se han transformado no empresas sino mercados e industrias enteras. Las compañías tienen que dar de alta servicios constantemente. Se necesitan arquitecturas de red y tipologías que permitan a los usuarios conectarse de forma inmediata y segura.

De todo ello surge la noción de SASE. Todo el mundo habla de ella cuando se piensa en ciberseguridad, accesos seguros, etc., pero ¿es una moda?, ¿qué hay detrás de este fenómeno? Tras él encontramos la globalización y transformación del negocio. No se puede llegar a la digitalización si previamente no hay una voluntad de transformar el negocio. La puerta al cambio se abrió con el cloud. La implantación de la nube y los entorno multinube ha traído consigo mayor complejidad y el esquema de SASE surge de esa complejidad.

En algún caso, aunque todavía es minoritario, las organizaciones tenían experiencia en gestionar un repentino auge del teletrabajo que les llevó a cambiar los conceptos de VPN (Virtual Pivate Network) y adaptarse al concepto SASE. Aseguran que ha sido un cambio “relativamente corto y satisfactorio”, aunque en el momento en que lo hicieron ni siquiera estaba definido el nombre.

Lo cierto es que existe una necesidad y evolución lógica derivada de la universalidad del acceso sin perder la seguridad, fruto de una tecnología disruptiva con una mínima seguridad para garantizar dicha universalidad. Las compañías buscan la simplicidad de las estructuras, cuanto más complejo es el sistema de seguridad mayores son los costes.

Son muchas las organizaciones que aseguran no tener claras las estrategias porque no se prioriza el negocio y éste y la tecnología van a velocidades diferentes. Es imprescindible incorporar la estrategia del negocio, definida en el consejo de Administración, a la tecnología. La transformación digital acompaña para securizar la innovación en la empresa y para ello es necesario que los CISO tengan una visión clara de las metas para que la seguridad no quede por detrás del corazón de la organización. Quizá esto se pueda traducir en una colaboración más estrecha entre las partes implicadas más directamente en el negocio y los equipos de TI.

“SASE todavía no se ha implantado en la mayoría de las grandes empresas, incluso muchas no tienen una estrategia definida al respecto”

EL REINADO DE SD-WAN

Todos los cambios de los últimos años han hecho que la frontera entre conectividad y seguridad se desdibuje. Una conectividad segura es imprescindible para cualquier organización. SASE aúna ambas cosas y se proyecta como una realidad a futuro, pero todavía no se ha implantado en la mayoría de las grandes corporaciones, incluso muchas no tienen una estrategia al respecto, por lo que todo hace sospechar que en las medianas empresas es aún una quimera.

SASE se considera como un concepto muy global, demasiado amplio, y muchas de las grandes compañías siguen confiando en SD-WAN (Software Defined Wide Area Network, por sus siglas en inglés), incluso desde el punto de vista de ciberseguridad. Aunque reconocen que la integración de SD-WAN con esta última es un reto.

La mayor parte de las organizaciones son híbridas, pero son conscientes que los entornos de nube y multinube llegaron para quedarse y que estos entornos han generado mayores complicaciones incluida la conectividad. Sin embargo, y a pesar de contar con cientos de instalaciones en el mundo y millones de usuarios, sigue resultando útil trabajar con SD-WAN a la que, en algunos casos añaden tecnología WAF (Web Application Firewall) para “capear” el aluvión de tener tantas personas trabajando en remoto. De hecho, algunas de ellas consideran que un mismo firewall se podría considerar SASE. No en vano, también se concibe SASE como la suma de SD-WAN y SSE (Security Service Edge) , un conjunto de herramientas de seguridad basadas en la nube que incluye Cloud Access Security Broker (CASB), Secure Web Gateway (SWG), Firewall-as-a-Service (FWaaS) y Acceso a la red de confianza cero (ZTNA).

Dependiendo del tipo de negocio, sobre todo en aquellos dónde la agilidad es prioritaria, siguen apostando por tecnologías IWAN (Intelligent WAN) y se plantean SASE como el siguiente paso para conseguir la tendencia actual en TI de hacer un servicio de la seguridad. Muchas compañías tienen que dar de alta servicios constantemente y necesitan arquitecturas de red y tipologías que permitan a los usuarios conectarse de forma inmediata y segura. La clave está en encontrar sinergias y conseguir la integración de soluciones que den respuesta a las necesidades concretas de cada cliente.

Sin embargo, en todo este proceso no deben olvidarse las tuberías por donde pasa todo el tráfico, es decir, las redes. Su importancia quedó de manifiesto durante la Covid-19, en la que se demostró que es más que una commodity y sobre estas infraestructuras las empresas de telecomunicaciones han ido evolucionando ofreciendo servicios de valor por encima de esa conectividad. Precisamente, SD-WAN rompe el underlay y el overlay e introduce un orquestador que comunica la red física con la virtual.

UN MERCADO IMPULSADO POR LA PANDEMIA

La pandemia y el boom del trabajo en remoto supuso el pistoletazo de salida para comenzar a analizar soluciones y determinar que el futuro de la conectividad y la seguridad pasa por el universo SASE.

Gartner, que fue quien acuño el término en 2019, asegura que “de aquí a 2024, al menos el 40% de las empresas tendrán estrategias explícitas para la adopción de servidores SASE, cifra que contrasta con el porcentaje que había a finales de 2018, inferior al 1%”. Un cambio de tendencia muy significativo y que la mayoría de los fabricantes y grandes empresas aseguran que no se hubiera producido si no hubiera tenido lugar la pandemia que obligó a todo el mundo a abrir sus redes y aplicaciones hacia el exterior y, por lo tanto, a buscar medios que les garantizaran accesos seguros y rápidos, certificar las identidades y proteger los datos y aplicaciones.

La forma de ver y realizar el trabajo ha evolucionado para convertirse en una actividad que se puede desarrollar desde cualquier parte y en cualquier momento. Algunas compañías tenían implementados sistemas que le permitieron hacerlo con bastante tranquilidad, mientras que otras se vieron obligadas a tomar decisiones y realizar inversiones que no tenían previstas de una forma tan inmediata.

En cualquier caso, todas entienden la necesidad de implantar una arquitectura de este tipo en sus organizaciones, pero habrá que entender cada proyecto particular. Lo que queda patente es que todavía es una tecnología incipiente para los usuarios que albergan muchas dudas sobre cómo implementarla en su negocio ya que cada una prioriza una necesidad: agilidad en el acceso, seguridad del dato…

Muchos no tienen claro si es mejor trabajar con un único proveedor o bien hacerlo con un integrador y distintos fabricantes. Incluso algunos fabricantes ponen de manifiesto que no recomendarían a sus clientes crear una arquitectura SASE sólo con productos de su marca. Al igual que clientes que consideran que esta tecnología está muy orientada a ser monofabricante y no se sienten cómodos al pensar en una consola unificada, lo que supone un motivo de preocupación. Considerando que lo ideal sería aprovechar lo mejor de cada uno orquestado por un integrador de confianza.

EL USUARIO Y EL INCREMENTO DEL CIBERCRIMEN

El aumento del cibercrimen es un hecho y proteger la identidad es básico. Estamos en un momento crítico, nunca se habían producido tantos ciberataques. El usuario se ha convertido en el eslabón más débil, en un 99% de los casos es el vector de entrada para un ataque, por lo que asegurar la identidad es una de las tareas principales junto con la de proteger el dispositivo.

El usuario final no siempre tiene la preparación o la educación necesaria para tomar medidas preventivas relativamente fáciles como no utilizar la misma contraseña en la red profesional que en otros entornos personales o bien utilizar la red particular para su entorno profesional. Pero esta es la realidad con la que hay que contar y es uno de los retos principales con los que se encuentran los CISO.

Por ello es fundamental llevar a cabo tarea de concienciación y campañas de educación a los usuarios como las que vienen realizando algunas compañías para combatir el phishing y que están dando buenos resultados.

Pero también es cierto que esto está cambiando y no siempre se puede acceder a datos “sensibles” o a aplicaciones críticas de las compañías a través de estos fallos de los usuarios finales y hay que buscar las causas en otros eslabones de la cadena.

MÁS ALLÁ DE LA IDENTIDAD

El cibercrimen siempre está buscando el sendero rápido y fácil. Ahora muchos delincuentes se pasan del usuario a los dispositivos, por ejemplo, cámaras u otros dispositivos de IoT. Ahora hay que encontrar quién eres y desde dónde te conectas, es necesario detectar el contexto. Partiendo de que garantizar la seguridad total es imposible, hay que mitigar el riesgo todo lo que se pueda y generar contextos donde se contemplen numerosas variables.

Asegurar la identidad es básico, pero existe unanimidad en que no es suficiente. De ahí surge el concepto ZTNA (Zero Trust Network Access, por sus siglas en ingles) que nace como una evolución de los sistemas de las VPN y su característica de split tunneling por considerar que eran demasiado permisivas. La primera generación de ZTNA parece que se queda corta en algunos ámbitos como el control del acceso a subaplicaciones, tareas particulares o el cambio de comportamiento del usuario, las aplicaciones o dispositivo y no puede detectar o prevenir el malware o el movimiento transversal a través de las conexiones.

Por ello, los fabricantes ya están trabajando en una evolución en la que se ha pasado de identificar únicamente al usuario a reconocer otra serie de parámetros que garanticen la comunicación. Esto ha dado lugar a la versión 2.0 que elimina la confianza implícita para ayudar a garantizar que las organizaciones estén debidamente protegidas. Permiten garantizar cosas como el control de acceso preciso a nivel de aplicación y subaplicación independientemente de las direcciones IP o números de puertos. Una vez concedido el acceso a una aplicación se realiza una evaluación continua de la confianza en base a los cambios de postura del dispositivo, comportamiento del usuario y de la aplicación. Estas soluciones utilizan una inspección profunda y continua de todo el tráfico de la aplicación, incluso de las conexiones permitidas.

La ciberseguridad supone establecer un balance entre riesgo y confianza. SASE nació con las VPN y ahora hay una revolución a Zero Trust, es decir, cero confianza. Esto supone dar acceso a todas las aplicaciones con los mínimos privilegios, monitorizando constantemente todo el proceso de la conexión: inspeccionando continuamente qué aplicaciones se utilizan, el tiempo que se utilizan, las intervenciones que se realizan, el tráfico y la seguridad de los dispositivos.

VÍDEO RESUMEN

COLABORAN

© 2022 BPS Business Publications Spain S.L. Todos los derechos reservados.