Introducción rápida a la arquitectura SASE

SASE es un modelo arquitectónico que hace converger las capacidades de red y de seguridad en una plataforma nativa en la nube de servicio único que cambia el enfoque de la seguridad de centrado en el flujo de tráfico a centrado en la identidad. SASE engloba un paquete de tecnologías que integra la seguridad en el tejido global de la red para que esté siempre disponible independientemente de dónde se encuentre el usuario, dónde esté la aplicación o el recurso al que se accede o qué combinación de tecnologías de transporte conecte al usuario y al recurso.

SASE permite una seguridad omnipresente y directa de cliente a nube, basada en la identidad y el contexto del usuario, totalmente integrada con un enrutamiento WAN óptimo de cliente a nube. De este modo se consigue una arquitectura de red flexible y escalable que proporciona seguridad integrada y un rendimiento óptimo a lo largo del perímetro definido por software (SDP).

Arquitectura SASE de alto nivel

En la representación de Gartner de la arquitectura SASE , el núcleo de SASE se compone de:

  1. Los usuarios, dispositivos, aplicaciones y recursos, y
  2. La identidad, los riesgos, las funciones, los perfiles, los privilegios y las políticas que rigen el acceso entre ellos.

Alrededor de este núcleo se encuentra la capa externa SASE , compuesta por todas las tecnologías de seguridad y redes necesarias para conectar de forma segura las entidades del núcleo: el Perímetro Definido por Software (SDP). El SDP rastrea las conexiones transitorias entre las entidades centrales, en lugar de seguir los perímetros duros de las arquitecturas de red tradicionales que se alineaban con ubicaciones fijas, geografía, zonas físicas de red, direccionamiento IP o edificios.

Cinco componentes SASE participan en la definición y protección del SDP: estos componentes participan en una conexión cuando es necesario (como un NGFW, SWG o CASB), o son capacidades fundamentales integradas en el tejido de SASE (como SD-WAN y ZTNA).

  • Secure SD-WAN
  • Pasarela web segura (SWG)
  • Agente de seguridad de acceso a la nube (CASB)
  • Acceso a la red de confianza cero (ZTNA)
  • Cortafuegos: NGFW y cortafuegos como servicio (FWaaS)
Arquitectura de SASE
La arquitectura SASE
SASE convergencia e inversión de las arquitecturas de red y seguridad

Arquitectura SD-WAN

Las arquitecturas SD-WAN permitieron a las organizaciones aprovechar la conectividad directa a Internet para permitir flujos de trabajo de cliente a nube.

Arquitectura WAN tradicional

Las arquitecturas WAN tradicionales utilizan Internet (si es que la utilizan) únicamente como una conexión punto a punto -protegida por tecnología VPN- entre un usuario externo y la sede central o el centro de datos. Desde allí, donde se aplican la seguridad y las políticas, el tráfico se encamina a los destinos en la nube. Este diseño adolece de déficits de latencia y escalabilidad.

Arquitectura WAN tradicional
Arquitectura WAN tradicional

Arquitectura SD-WAN

Las arquitecturas SD-WAN -basadas en los principios de las redes definidas por software (SDN)- utilizan Internet como un transporte troncal mallado, con los destinos del centro de datos o la nube accesibles de forma igualitaria y directa por cualquier usuario que trabaje desde cualquier lugar (WFA). Este diseño minimiza la latencia y optimiza la escalabilidad, pero requiere SASE para permitir la aplicación de la seguridad en este entorno de conexiones de cualquiera a cualquiera donde los términos "on-prem" y "off-prem" han perdido significado.

ilus-tradicional-vs
Arquitectura SD-WAN

Arquitectura SDP

El concepto de SDP se inspira en el modelo de la Agencia de Sistemas de Información de Defensa (DISA) de 2007 de restringir las conexiones a quienes tienen necesidad de conocerlas, en lugar de confiar en todo lo que está dentro del perímetro fijo de una red. En 2013, el grupo de trabajo SDP de la Cloud Security Alliance (CSA) popularizó el SDP para crear redes de extremo a extremo altamente seguras y de confianza para un amplio uso empresarial, incorporando también:

  • Normas del Instituto Nacional de Normas y Tecnología (NIST)
  • Principios de confianza cero para facilitar el acceso seguro entre hosts independientemente de su ubicación.

Un atributo fundamental de una arquitectura SDN es la separación de los planos de control, datos y gestión. Esta separación permite controlar tanto los planos de control SD-WAN como SDP en una red, lo que a su vez permite implementar tanto SD-WAN como SD-seguridad en el mismo componente de control de software.

Arquitectura SDP
Arquitectura perimetral definida por software

Arquitectura SWG

Un SWG protege a las empresas y a los usuarios contra el acceso y la infección por tráfico web malicioso, así como contra la contaminación por sitios web secuestrados que contienen malware o virus.

Basándose en el contexto del usuario, el dispositivo y la ubicación, el SWG evalúa la política de la aplicación y concede el acceso sólo si la política permite la solicitud basándose en el contexto de identidad.

Cortafuegos

Tomar decisiones paquete por paquete

illus-swg-arquitectura
Sin terminación, solo escaneo de flujo

SWG - Servidores proxy

Recibir la solicitud completa del cliente antes de tomar decisiones

illus-swg-arquitectura
Finalización de la sesión, aplicación de políticas

Arquitectura CASB

Una CASB ofrece una plataforma centralizada para la gestión y el control simultáneos de políticas en múltiples servicios en la nube, tanto para usuarios como para dispositivos, además de una visibilidad detallada y un control preciso sobre las actividades de los usuarios y los datos confidenciales. Existen dos opciones de implementación para las CASB: el modo API y el modo proxy.

Modo API

illus-casb-arquitectura-api

Modo proxy

illus-casb-arquitectura-proxy

Arquitectura ZTNA

La ZTNA constituye la base de la arquitectura SDP. La esencia de la ZTNA consiste en no confiar en nada y autenticar cada intento de acceso basándose en la identidad y el contexto. La función principal de la ZTNA dentro de una SASE es autenticar a los usuarios en las aplicaciones mediante una identidad avanzada basada en el contexto y los roles, combinada con la autenticación multifactorial (MFA).

Arquitectura ZTNA

libro electrónico gratuito

SASE para principiantes

Conozca los antecedentes comerciales y técnicos de SASE las prácticas recomendadas, las implementaciones reales de los clientes y las ventajas que ofrece una organización SASE para SASE .

Obtener el eBook
SASE principiantes

Más información

Encuentre más investigación, análisis e información sobre SASE (Secure Access Service Edge), redes, seguridad, SD-WAN y nube de líderes de opinión, analistas y expertos del sector.

Webinar a la carta: 60 min

Servicio de Acceso Seguro EdgeSASE)

Secure Access Service Edge, o SASE, es un concepto emergente de ciberseguridad. En este vídeo, comprenderá cómo las capacidades clave de SASE abordan las demandas de la creciente expansión de la red y los retos de la transformación digital de su empresa.

Más información

10:08 min Vídeo

Demostración deNetworks y seguridad de Versa Networks

Una demostración completa que le proporcionará los conceptos básicos sobre Versa , la incorporación de dispositivos, las plantillas de servicios de aplicaciones, la seguridad y la resolución de problemas.

Más información

Webinar a la carta: 60 min

Seguridad global integrada

Descubra cómo una arquitectura de seguridad integrada y completa puede mejorar drásticamente la protección frente a amenazas, el rendimiento y la experiencia de las aplicaciones.

Más información