Introducción rápida a la arquitectura SASE

SASE es un modelo arquitectónico que hace converger las capacidades de red y de seguridad en una plataforma nativa en la nube de servicio único que cambia el enfoque de la seguridad de centrado en el flujo de tráfico a centrado en la identidad. SASE engloba un paquete de tecnologías que integra la seguridad en el tejido global de la red para que esté siempre disponible independientemente de dónde se encuentre el usuario, dónde esté la aplicación o el recurso al que se accede o qué combinación de tecnologías de transporte conecte al usuario y al recurso.

SASE permite una seguridad omnipresente y directa de cliente a nube, basada en la identidad y el contexto del usuario, totalmente integrada con un enrutamiento WAN óptimo de cliente a nube. De este modo se consigue una arquitectura de red flexible y escalable que proporciona seguridad integrada y un rendimiento óptimo a lo largo del perímetro definido por software (SDP).

La Arquitectura de Identidad SASE
SASE- Convergencia e Inversión de las Arquitecturas de Red y Seguridad
Arquitectura de SASE

Arquitectura SASE de alto nivel

En la representación de Gartner de la arquitectura SASE , el núcleo de SASE se compone de:

  1. Los usuarios, dispositivos, aplicaciones y recursos, y
  2. La identidad, los riesgos, las funciones, los perfiles, los privilegios y las políticas que rigen el acceso entre ellos.

Alrededor de este núcleo se encuentra la capa externa SASE , compuesta por todas las tecnologías de seguridad y redes necesarias para conectar de forma segura las entidades del núcleo: el Perímetro Definido por Software (SDP). El SDP rastrea las conexiones transitorias entre las entidades centrales, en lugar de seguir los perímetros duros de las arquitecturas de red tradicionales que se alineaban con ubicaciones fijas, geografía, zonas físicas de red, direccionamiento IP o edificios.

Cinco componentes SASE participan en la definición y protección del SDP: estos componentes participan en una conexión cuando es necesario (como un NGFW, SWG o CASB), o son capacidades fundamentales integradas en el tejido de SASE (como SD-WAN y ZTNA).

  • SD-WAN segura
  • Pasarela web segura (SWG)
  • Agente de seguridad de acceso a la nube (CASB)
  • Acceso a la red de confianza cero (ZTNA)
  • Cortafuegos: NGFW y cortafuegos como servicio (FWaaS)

Arquitectura SD-WAN

Las arquitecturas SD-WAN permitieron a las organizaciones aprovechar la conectividad directa a Internet para permitir flujos de trabajo de cliente a nube.

Arquitectura WAN tradicional

Arquitectura WAN tradicional

Arquitectura WAN tradicional

Las arquitecturas WAN tradicionales utilizan Internet (si es que la utilizan) únicamente como una conexión punto a punto -protegida por tecnología VPN- entre un usuario externo y la sede central o el centro de datos. Desde allí, donde se aplican la seguridad y las políticas, el tráfico se encamina a los destinos en la nube. Este diseño adolece de déficits de latencia y escalabilidad.

Arquitectura SD-WAN

Arquitectura SD-WAN

Arquitectura SD-WAN

Las arquitecturas SD-WAN -basadas en los principios de las redes definidas por software (SDN)- utilizan Internet como un transporte troncal mallado, con los destinos del centro de datos o la nube accesibles de forma igualitaria y directa por cualquier usuario que trabaje desde cualquier lugar (WFA). Este diseño minimiza la latencia y optimiza la escalabilidad, pero requiere SASE para permitir la aplicación de la seguridad en este entorno de conexiones de cualquiera a cualquiera donde los términos "on-prem" y "off-prem" han perdido significado.

Arquitectura SDP

El concepto de SDP se inspira en el modelo de la Agencia de Sistemas de Información de Defensa (DISA) de 2007 de restringir las conexiones a quienes tienen necesidad de conocerlas, en lugar de confiar en todo lo que está dentro del perímetro fijo de una red. En 2013, el grupo de trabajo SDP de la Cloud Security Alliance (CSA) popularizó el SDP para crear redes de extremo a extremo altamente seguras y de confianza para un amplio uso empresarial, incorporando también:

  • Normas del Instituto Nacional de Normas y Tecnología (NIST)
  • Principios de confianza cero para facilitar el acceso seguro entre hosts independientemente de su ubicación.

Un atributo fundamental de una arquitectura SDN es la separación de los planos de control, datos y gestión. Esta separación permite controlar tanto los planos de control SD-WAN como SDP en una red, lo que a su vez permite implementar tanto SD-WAN como SD-seguridad en el mismo componente de control de software.

Arquitectura perimetral definida por software
Arquitectura SDP

 

Arquitectura SWG

Un SWG protege a las empresas y a los usuarios del acceso y la infección por tráfico web malicioso, así como de la contaminación por sitios web secuestrados que contengan malware o virus.

Basándose en el contexto del usuario, el dispositivo y la ubicación, el SWG evalúa la política de la aplicación y concede el acceso sólo si la política permite la solicitud basándose en el contexto de identidad.

Cortafuegos
Toma decisionespaquete a paquete

Arquitectura SWG

Sin terminación,
Sólo exploración de flujos
SWGs - Proxies
Recibir la solicitud completa del cliente
antes de tomar decisiones.

Arquitectura SWG

Finalización de sesión,
Aplicación de políticas

Arquitectura CASB

Un CASB proporciona una ubicación central para la política concurrente y la gobernanza a través de múltiples servicios en la nube, tanto para usuarios como para dispositivos, junto con visibilidad granular y control sobre las actividades de los usuarios y los datos sensibles. Existen dos opciones de despliegue para los CASB: el modo API y el modo proxy.

Modo API

Arquitectura CASB

Modo proxy

Arquitectura CASB

Arquitectura ZTNA

La ZTNA es la base de la arquitectura SDP. La esencia de la ZTNA es no confiar en nada y autenticar cada intento de acceso basándose en la identidad y el contexto. La función principal de la ZTNA dentro de una arquitectura SASE es autenticar a los usuarios en las aplicaciones utilizando una identidad avanzada basada en el contexto y los roles, combinada con la autenticación multifactor (MFA).

Arquitectura ZTNA

 

Libro electrónico gratuito

SASE para principiantes

Conozca el trasfondo empresarial y técnico de SASE , incluidas las mejores prácticas, las implantaciones en clientes reales y las ventajas que aporta una organización con SASE .

Obtener el eBook

Más información

Encuentre más investigación, análisis e información sobre SASE (Secure Access Service Edge), redes, seguridad, SD-WAN y nube de líderes de opinión, analistas y expertos del sector.

 

 

Webinar a la carta: 60 min

Servicio de Acceso Seguro EdgeSASE)

Secure Access Service Edge, o SASE, es un concepto emergente de ciberseguridad. En este vídeo, comprenderá cómo las capacidades clave de SASE abordan las demandas de la creciente expansión de la red y los retos de la transformación digital de su empresa.

 

 

 

10:08 min Vídeo

Demostración de SD-WAN y seguridad Versa Networks

Una demostración exhaustiva que le proporcionará los conceptos básicos de la terminología de Versa, la incorporación de dispositivos, las plantillas de servicios de aplicaciones, la seguridad y la solución de problemas.

 

 

 

Webinar a la carta: 60 min

Seguridad global integrada

Descubra cómo una arquitectura de seguridad integrada y completa puede mejorar drásticamente la protección frente a amenazas, el rendimiento y la experiencia de las aplicaciones.