Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.

Breve introducción a la arquitectura de SASE


En el SASE convergen las capacidades de redes y seguridad en una arquitectura nativa en la nube y de un solo servicio que cambia el enfoque de seguridad desde centrado en el flujo del tráfico a centrado en la identidad. La solución de SASE abarca un paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, dónde se encuentran la aplicación o el recurso a los que se accede o qué combinación de tecnologías de transporte conecta al usuario y al recurso.

La solución de SASE permite la completa integración de una seguridad directa y ubicua entre el cliente y la nube (en función del contexto y de la identidad del usuario) con un enrutamiento óptimo de la WAN del cliente a la nube. Esto da lugar a una arquitectura de la red flexible y escalable que brinda una seguridad integrada además de un rendimiento óptimo a lo largo del perímetro definido por el software (SDP).

La arquitectura de la identidad del SASE
SASE: convergencia e inversión de las arquitecturas de redes y seguridad

Arquitectura de SASE de alto nivel


En la representación de Gartner de la arquitectura de SASE, el núcleo del SASE está compuesto por lo siguiente:

  1. los usuarios, los dispositivos, las aplicaciones y los recursos; y
  2. la identidad, los riesgos, los roles, los perfiles, los privilegios y las políticas que rigen el acceso entre ellos.

Rodeando este núcleo, se encuentra la capa externa del SASE, que está compuesta por todas las tecnologías de redes y seguridad que se requieren para conectar de manera segura las entidades principales: el perímetro definido por el software (SDP). El SDP hace un seguimiento de las conexiones temporales entre las entidades fundamentales, en vez de seguir los perímetros inflexibles de las arquitecturas tradicionales de las redes que se alinean con ubicaciones, geografías, zonas de redes físicas, establecimientos o direcciones de IP fijos.

Hay cinco componentes del SASE involucrados en la definición y la protección del SDP. Estos componentes se involucran en una conexión cuando es necesario (como NGFW, SWG o CASB), o son capacidades esenciales que forman parte integral del SASE (como SD-WAN y ZTNA).

  • Secure SD-WAN
  • Puerta de enlace web segura (SWG)
  • Agente de seguridad de acceso a la nube (CASB)
  • Acceso a las redes de confianza cero (ZTNA)
  • Firewall: NGFW y firewall como servicio (FWaaS)

Arquitectura de SD-WAN

Las arquitecturas de SD-WAN les han permitido a las organizaciones aprovechar la conectividad directa a Internet para habilitar los flujos de trabajo del cliente a la nube.


Arquitectura tradicional de WAN
Arquitectura tradicional de WAN

Las arquitecturas tradicionales de WAN usan la Internet (si es que la usan) exclusivamente como una conexión de punto a punto, con la protección de la tecnología de VPN, entre un usuario fuera de las instalaciones y las sedes centrales o las ubicaciones de los centros de datos. Desde allí, donde se aplican políticas y seguridad, se dirige el tráfico a los destinos de la nube. Este diseño tiene deficiencias en cuanto a la latencia y la escalabilidad.

Arquitectura de SD-WAN
Arquitectura de SD-WAN

Las arquitecturas de SD-WAN, que se basan en los principios de las redes definidas por el software (SDN), aprovechan la Internet como un transporte de base con malla, y cualquier usuario que trabaje desde cualquier sitio (WFA) puede acceder de manera directa y equitativa a los centros de datos o a los destinos en la nube. Este diseño minimiza la latencia y optimiza la escalabilidad, pero necesita del SASE para aplicar la seguridad en este entorno de conexiones universales donde los términos “en las instalaciones” y “fuera de las instalaciones” han perdido significancia.

Arquitectura de SDP

El concepto de SDP se basa en el modelo de 2007 de la Agencia de Sistemas de Información de Defensa (DISA) de restringir las conexiones a aquellos que tienen la necesidad de acceder, en vez de confiar en todo lo que se encuentra dentro del perímetro fijo de una red. En 2013, el grupo de trabajo de SDP de la Alianza de Seguridad en la Nube (CSA) popularizó el uso de SDP para crear redes integrales, de confianza y altamente seguras para un uso empresarial amplio, y también se incorporó lo siguiente:

  • Estándares del Instituto Nacional de Estándares y Tecnología (NIST)
  • Principios de confianza cero para facilitar un acceso seguro entre los hosts, independientemente de su ubicación

Un atributo fundamental de una arquitectura de SDN es la separación de los planos de control, datos y administración. Esta separación permite el control de la SD-WAN y de los planos de control del SDP en una red, lo que, en consecuencia, permite la implementación de la SD-WAN y la seguridad de SD en el mismo componente de control del software.

Arquitectura del perímetro definido por el software

Arquitectura de SWG

Una SWG protege a las empresas y los usuarios para que el tráfico web  malicioso no acceda a ellos ni los infecte, y para evitar que los sitios web pirateados que contienen malware o virus los contaminen.

En función del usuario, el dispositivo y el contexto de la ubicación, la SWG evalúa la política de la aplicación y otorga acceso únicamente si la política permite la solicitud sobre la base del contexto de identidad.

Firewalls
Tomar decisiones según el paquete
Sin terminación,
solo escaneo de transmisión
SWG, proxies
Recibir la solicitud completa del cliente antes de tomar decisiones
Terminación de la sesión,
aplicación de política

Arquitectura de CASB

Un CASB proporciona una ubicación central para las políticas y la gobernanza simultáneas en varios servicios en la nube tanto para los usuarios como para los dispositivos, además de visibilidad granular y control de las actividades del usuario y los datos confidenciales. Hay dos opciones de implementación para los CASB, el modo de la API y el modo del proxy .

Modo de la API
Modo del proxy

Arquitectura de ZTNA

El ZTNA es la base de la arquitectura del SDP. La esencia del ZTNA es no confiar en nada y autenticar cada intento de acceso en función de la identidad y el contexto. La función principal del ZTNA dentro de una arquitectura de SASE es autenticar a los usuarios en las aplicaciones mediante el uso de una identidad avanzada basada en el contexto y los roles en combinación con una autenticación multifactor  (MFA).

Libro electrónico gratuito

SASE
para principiantes

Aprenda sobre los antecedentes técnicos y empresariales del SASE, incluidas las mejores prácticas, implementaciones de clientes reales, y los beneficios asociados con una organización que cuenta con una solución de SASE.