Componentes del SASE
En el SASE convergen las capacidades de las redes y la seguridad en un modelo nativo en la nube y de un solo servicio, y se incluyen varios componentes diferentes.
El SASE es más que una simple tecnología; es un completo paquete de tecnologías que permiten integrar la seguridad en la composición de la red global para que siempre esté disponible sin importar dónde se encuentra el usuario, dónde se encuentran la aplicación o el recurso a los que se accede o qué combinación de tecnologías de transporte conecta al usuario y al recurso.
WAN definida por el software(SD-WAN)
La tecnología de Secure SD-WAN forma las bases de una solución de SASE al permitir un rendimiento óptimo y un enrutamiento inteligente en una arquitectura de la red de cliente a la nube. Algunas de las principales capacidades son las siguientes:
- Tráfico seguro durante el acceso y la salida.
- Conectividad en varias nubes.
- Características de seguridad de UTM integradas.
- Aprovechamiento de las bases de Internet.
- Enrutamiento del tráfico desde cualquier lugar.
- DIA, acceso directo a la nube y dirección inteligente del tráfico.
- Selección de las rutas para optimizar una experiencia consistente del usuario.
- Cifrado en línea.
- Enrutamiento avanzado y selección de ruta dinámica.
- Reconocimiento de aplicaciones y clasificación del tráfico.
- Puertas de enlace distribuidas globalmente.
- Optimización de la latencia.
- Capacidades de autorresolución de la red.
Un firewall de próxima generación (NGFW) basado en la nube es una solución de software escalable con reconocimiento de aplicaciones que les permite a las empresas eliminar los desafíos de las soluciones heredadas basadas en los dispositivos, y ofrece un completo conjunto de características de UTM. Una solución de NGFW va más allá de un firewall con estado al ofrecer características como una protección avanzada contra amenazas, visibilidad de la web y de la red, inteligencia sobre amenazas y control de acceso. Como mínimo, las organizaciones deberían esperar lo siguiente de la implementación de un NGFW:
- Control de acceso del usuario y la aplicación.
- Prevención y detección de intrusiones.
- Detección avanzada de malware.
- Inteligencia sobre redes y amenazas.
- Automatización y orquestación.
Una SWG protege a los dispositivos y a los usuarios WFA contra las amenazas provenientes de Internet al impedir que el dispositivo de un usuario que está navegando en la web se infecte a causa de malware o software no deseado y al aplicar políticas corporativas y regulatorias. Una SWG incluye lo siguiente:
- Aplicación de políticas de seguridad y cumplimiento de Internet.
- Filtro de tráfico de Internet malicioso con capacidades de UTM, como filtros de URL, antivirus, antimalware, IDS/IPS, prevención de ataques de día cero, protección contra suplantación de identidad (phishing) y mucho más.
- Capacidades de control e identificación de las aplicaciones.
- Capacidades de prevención de pérdida/fuga de datos (DLP).
- Aislamiento remoto del navegador (RBI) para explorar las sesiones de los usuarios con el fin de detectar riesgos, lo que les permite navegar de manera segura en los actuales entornos amenazantes. Los sitios web riesgosos se representan en los navegadores remotos, mientras que las páginas saneadas (mayormente como archivos de imágenes) se representan en el navegador del usuario. El RBI permite una navegación anónima y un acceso abierto sin riesgos a los sitios de Internet.
Las SWG se pueden implementar en los equipos en las instalaciones, en dispositivos virtuales, en los servicios en la nube o en un modo híbrido que las combina en las instalaciones y en la nube.
Agente de seguridad de acceso a la nube (CASB)
Un CASB ofrece productos y servicios para abordar las deficiencias de seguridad en el uso que hace una organización de los servicios en la nube. Satisface la necesidad de asegurar los servicios en la nube que los usuarios adoptan cada vez más y la implementación creciente del acceso directo de nube a nube. Un CASB proporciona una ubicación central para las políticas y la gobernanza simultáneas en varios servicios en la nube tanto para los usuarios como para los dispositivos, además de visibilidad granular y control de las actividades del usuario y los datos confidenciales.
Un CASB brinda cinco capacidades de seguridad fundamentales:
- Descubrimiento de aplicaciones en la nube.
- Seguridad de los datos.
- Control de acceso adaptativo.
- Detección de malware.
- Análisis del comportamiento del usuario y la entidad (UEBA) que ofrece una aplicación de políticas basada en patrones inusuales de conducta del tráfico hacia o desde los servicios en la nube.
Los CASB pueden ser puntos de aplicación de políticas de seguridad en las instalaciones o en la nube, que se colocan entre los clientes de servicios en la nube y los proveedores de servicios en la nube para inyectar políticas de seguridad empresariales a medida que se accede a los datos o a las aplicaciones basados en la nube.
ZTNA es un marco de tecnologías que funcionan en conjunto bajo la premisa de que no se puede confiar en nada: ni en los usuarios, ni en los dispositivos, ni en los datos, ni en las cargas de trabajo, ni en las ubicaciones ni en las redes. La función principal del ZTNA en una solución de SASE es autenticar a los usuarios en las aplicaciones. Una identificación avanzada basada en el contexto y los roles, en combinación con una autenticación multifactor (MFA), son esenciales para proteger el acceso de los usuarios y los dispositivos, tanto fuera como dentro de la red.
Hay dos modelos generales de implementación de un ZTNA:
ZTNA iniciado por el cliente
Un agente de software instalado en el dispositivo envía su contexto y credenciales de seguridad a un controlador de SDP para su autenticación. Este modelo es apto para los dispositivos administrados.
ZTNA iniciado por el servicio
Un conector de SDP (o ZTNA) instalado con la aplicación establece y mantiene una conexión de salida con el proveedor en la nube. Se les solicita a los usuarios la autenticación en el proveedor para acceder a las aplicaciones protegidas. Este modelo es apto para los dispositivos no administrados, ya que no se necesita un software especial en el dispositivo.