Secure Access Service Edge (SASE)

Secure Access Service Edge, or SASE, is an emerging cybersecurity concept. In this video, you understand how the key capabilities of SASE address the demands of growing network sprawl and the challenges of digitally transforming your business.

Versa for Work-From-Home

Versa has made it simple for organizations to offer Secure SD-WAN for Work-From-Home users on home appliances or working from anywhere.

 
 
Top Energy Firm Achieves Comprehensive “Work-From-Anywhere” with Versa SASE

A large, publicly traded energy company operating in all areas of the oil and gas industry has dramatically simplified their network stack and realized huge cost savings with Versa SASE.

 
Availability and Buying Options in the Emerging SASE Market

EMA evaluates the different SASE vendors and their approaches to architecture, go-to-market, and support for their cloud-delivered and hybrid services.

 
Versa Networks - Explained in 1 minute

Learn about the Versa Secure SD-WAN solution in a high-level, one minute overview.

Versa SASE (Secure Access Service Edge)

SASE is the simplest, most scalable way to continuously secure and connect the millions points of access in and out of the corporate resources regardless of location.

 
Versa Secure SD-WAN – Simple, Secure, and Reliable Branch to Multi-Cloud Connectivity

Versa Secure SD-WAN is a single software platform that offers multi-layered security and enables multi-cloud connectivity for Enterprises.



¿Cuáles son los principales componentes del SASE?

En el SASE se combinan las capacidades de redes y seguridad integradas de la SD-WAN de una manera nativa en la nube que permite cambiar el foco de la seguridad del flujo del tráfico a la identidad.

Las arquitecturas de redes pasadas estaban diseñadas con puntos de aplicación de políticas de la red específicas y el tráfico se dirigía a la fuerza (lo que a menudo creaba puntos de incorporación ineficaces y cuellos de botella durante el proceso) a través de estos puntos para realizar las verificaciones de seguridad. El enfoque del SASE es exactamente lo opuesto, pues aplica la seguridad donde se encuentra el flujo del tráfico: en los puntos de conexión del cliente y la aplicación, además de en proxies y puertas de enlace estratégicamente ubicadas a lo largo de la ruta más eficaz ya establecida.

La solución de SASE permite la completa integración de una seguridad directa y ubicua entre el cliente y la nube (en función del contexto y de la identidad del usuario) con un enrutamiento óptimo de la WAN del cliente a la nube. Esto da lugar a una arquitectura de la red flexible y escalable que brinda una seguridad integrada además de un rendimiento óptimo a lo largo del perímetro definido por el software (SDP).

Cuatro factores sobre los cuales se basa el SASE

Las políticas de seguridad que rigen las sesiones del usuario para acceder a los recursos o las aplicaciones se desacoplan de la ubicación del usuario, el dispositivo y el recurso y, en cambio, se basan en cuatro factores:

  1. La identidad de la entidad que solicita acceso
  2. El contexto de la sesión (por ejemplo, el estado y el comportamiento del usuario o del dispositivo, o la sensibilidad de los recursos a los que se está accediendo)
  3. Las políticas de seguridad y cumplimiento que otorgan privilegios de acceso en cada situación en particular
  4. Análisis constante y evaluación de riesgos de cada sesión

Vía de conexión del SASE

El SASE brinda una vía de conexión segura entre el cliente del SDP y el perímetro del servicio, lo que incluye las nubes públicas y privadas, los centros de datos, las redes gubernamentales y empresariales privadas, la Internet, las grandes oficinas, las oficinas de las sucursales, las oficinas en el hogar, los sitios móviles o temporales, los usuarios móviles, los usuarios que trabajan desde cualquier sitio (WFA), los dispositivos móviles, BYOD, la IoT, y las ubicaciones en las instalaciones o fuera de estas.

El SASE ofrece un acceso basado en la identidad de un individuo, un dispositivo, una aplicación o un servicio y en el contexto en el cual se conectan entre sí. La tecnología de SASE brinda acceso a los usuarios WFA a todas las aplicaciones y los datos, sin importar dónde se encuentren o las tecnologías de transporte entre ellos, o la posesión de las redes de transporte.

Las capacidades y los atributos del SASE

Una solución de SASE líder es una exclusivamente impulsada por el software que tiene las siguientes características:


Identidad
  • Acceso basado en la identidad por sesión
  • Autenticación de nivel empresarial para cada intento de acceso
Arquitectura y transporte
  • Arquitectura nativa en la nube
  • Admite todos los tipos de perímetros en el espectro de SDP
  • Independencia del transporte: cualquier tipo de acceso cableado, inalámbrico o de Internet celular
  • Presencia de SD-WAN distribuida globalmente con inteligencia optimizada de la vía de enrutamiento
  • Permite una conectividad segura del cliente a la nube
  • Análisis del tráfico cifrado
  • Proxies y puertas de enlace distribuidas globalmente con seguridad incorporada que se integran sin problemas con los métodos de autenticación empresariales
  • Aislamiento de multitenencia
  • Acceso microsegmentado a todos los recursos  y activos
Impulsado por políticas
  • Enfoque de confianza cero para todos los usuarios, dispositivos y recursos, independientemente de su ubicación
  • Aplicación de políticas de seguridad corporativas distribuidas y coherentes por sesión, independientemente de dónde se encuentre el usuario, qué dispositivo se utilicen, a qué activo se acceda o dónde se encuentre el activo
  • Acceso con reconocimiento de las aplicaciones, basado en la necesidad y con privilegios mínimos
Orquestación y visibilidad
  • Permite un diagnóstico y una mitigación  continuos (CDM)
  • Evaluación y monitoreo continuos de los riesgos y la confianza
  • Análisis y evaluaciones de riesgos avanzados que aprovechan el aprendizaje automático y la inteligencia artificial (ML/AI)
  • Visibilidad y control integrales de los usuarios, las aplicaciones y los riesgos

Componentes del SASE

En el SASE convergen las capacidades de las redes y la seguridad en un modelo nativo en la nube y de un solo servicio, y se incluyen varios componentes diferentes.

El SASE es más que una simple tecnología; es un completo paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, dónde se encuentran la aplicación o el recurso a los que se accede o qué combinación de tecnologías de transporte conecta al usuario y al  recurso.


WAN definida por el software(SD-WAN)

La tecnología de Secure SD-WAN forma las bases de una solución de SASE al permitir un rendimiento óptimo y un enrutamiento inteligente en una arquitectura de la red de cliente a la nube. Algunas de las principales capacidades son las siguientes:

  • Tráfico seguro durante el acceso y la salida.
  • Conectividad en varias nubes.
  • Características de seguridad de UTM integradas.
  • Aprovechamiento de las bases de Internet.
  • Enrutamiento del tráfico desde cualquier lugar.
  • DIA, acceso directo a la nube y dirección inteligente del tráfico.
  • Selección de las rutas para optimizar una experiencia consistente del usuario.
  • Cifrado en línea.
  • Enrutamiento avanzado y selección de ruta dinámica.
  • Reconocimiento de aplicaciones y clasificación del tráfico.
  • Puertas de enlace distribuidas globalmente.
  • Optimización de la latencia.
  • Capacidades de autorresolución de la red.

Firewall: NGFW y firewall como servicio (FWaaS)

Un firewall de próxima generación (NGFW) basado en la nube es una solución de software escalable con reconocimiento de aplicaciones que les permite a las empresas eliminar los desafíos de las soluciones heredadas basadas en los dispositivos, y ofrece un completo conjunto de características de UTM. Una solución de NGFW va más allá de un firewall con estado al ofrecer características como una protección avanzada contra amenazas, visibilidad de la web y de la red, inteligencia sobre amenazas y control de acceso. Como mínimo, las organizaciones deberían esperar lo siguiente de la implementación de un NGFW:

  • Control de acceso del usuario y la aplicación.
  • Prevención y detección de intrusiones.
  • Detección avanzada de malware.
  • Inteligencia sobre redes y amenazas.
  • Automatización y orquestación.

Puerta de enlace web segura (SWG)

Una SWG protege a los dispositivos y a los usuarios WFA contra las amenazas provenientes de Internet al impedir que el dispositivo de un usuario que está navegando en la web se infecte a causa de malware o software no deseado y al aplicar políticas corporativas y regulatorias. Una SWG incluye lo siguiente:

  • Aplicación de políticas de seguridad y cumplimiento de Internet.
  • Filtro de tráfico de Internet malicioso con capacidades de UTM, como filtros de URL, antivirus, antimalware, IDS/IPS, prevención de ataques de día cero, protección contra suplantación de identidad (phishing) y mucho más.
  • Capacidades de control e identificación de las aplicaciones.
  • Capacidades de prevención de pérdida/fuga de datos (DLP).
  • Aislamiento remoto del navegador (RBI) para explorar las sesiones de los usuarios con el fin de detectar riesgos, lo que les permite navegar de manera segura en los actuales entornos amenazantes. Los sitios web riesgosos se representan en los navegadores remotos, mientras que las páginas saneadas (mayormente como archivos de imágenes) se representan en el navegador del usuario. El RBI permite una navegación anónima y un acceso abierto sin riesgos a los sitios de Internet.

Las SWG se pueden implementar en los equipos en las instalaciones, en dispositivos virtuales, en los servicios en la nube o en un modo híbrido que las combina en las instalaciones y en la nube.

Agente de seguridad de acceso a la nube (CASB)

Un CASB ofrece productos y servicios para abordar las deficiencias de seguridad en el uso que hace una organización de los servicios en la nube. Satisface la necesidad de asegurar los servicios en la nube que los usuarios adoptan cada vez más y la implementación creciente del acceso directo de nube a nube. Un CASB proporciona una ubicación central para las políticas y la gobernanza simultáneas en varios servicios en la nube tanto para los usuarios como para los dispositivos, además de visibilidad granular y control de las actividades del usuario y los datos confidenciales.

Un CASB brinda cinco capacidades de seguridad fundamentales:

  • Descubrimiento de aplicaciones en la nube.
  • Seguridad de los datos.
  • Control de acceso adaptativo.
  • Detección de malware.
  • Análisis del comportamiento del usuario y la entidad (UEBA) que ofrece una aplicación de políticas basada en patrones inusuales de conducta del tráfico hacia o desde los servicios en la nube.

Los CASB pueden ser puntos de aplicación de políticas de seguridad en las instalaciones o en la nube, que se colocan entre los clientes de servicios en la nube y los proveedores de servicios en la nube para inyectar políticas de seguridad empresariales a medida que se accede a los datos o a las aplicaciones basados en la nube.

Acceso a las redes de confianza cero (ZTNA)

ZTNA es un marco de tecnologías que funcionan en conjunto bajo la premisa de que no se puede confiar en nada: ni en los usuarios, ni en los dispositivos, ni en los datos, ni en las cargas de trabajo, ni en las ubicaciones ni en las redes. La función principal del ZTNA en una solución de SASE es autenticar a los usuarios en las aplicaciones. Una identificación avanzada basada en el contexto y los roles, en combinación con una autenticación multifactor (MFA), son esenciales para proteger el acceso de los usuarios y los dispositivos, tanto fuera como dentro de la red.

Hay dos modelos generales de implementación de un ZTNA:

ZTNA iniciado por el cliente

Un agente de software instalado en el dispositivo envía su contexto y credenciales de seguridad a un controlador de SDP para su autenticación. Este modelo es apto para los dispositivos administrados.

ZTNA iniciado por el servicio

Un conector de SDP (o ZTNA) instalado con la aplicación establece y mantiene una conexión de salida con el proveedor en la nube. Se les solicita a los usuarios la autenticación en el proveedor para acceder a las aplicaciones protegidas. Este modelo es apto para los dispositivos no administrados, ya que no se necesita un software especial en el dispositivo.

Libro electrónico gratuito

SASE
para principiantes

Aprenda sobre los antecedentes técnicos y empresariales del SASE, incluidas las mejores prácticas, implementaciones de clientes reales, y los beneficios asociados con una organización que cuenta con una solución de SASE.