¿Cuáles son los principales componentes SASE ?

SASE combina la red SD-WAN y las capacidades de seguridad integradas de una manera nativa en la nube que cambia el enfoque de seguridad de centrado en el flujo de tráfico a centrado en la identidad.

Las arquitecturas de red anteriores se diseñaban con puntos específicos de aplicación de políticas de red y enrutamiento forzado del tráfico -a menudo creando puntos de agregación muy ineficientes y cuellos de botella por el camino- a través de estos puntos para aplicar los controles de seguridad. El enfoque de SASEes exactamente el contrario, lleva la aplicación de la seguridad allí donde se encuentra el flujo de tráfico: los puntos finales del cliente y de la aplicación, así como pasarelas y proxies estratégicamente situados a lo largo de la ruta más eficiente ya establecida.

SASE permite una seguridad omnipresente y directa de cliente a nube basada en la identidad y el contexto del usuario, totalmente integrada con un enrutamiento WAN óptimo de cliente a nube. De este modo se consigue una arquitectura de red flexible y escalable que ofrece seguridad integrada y un rendimiento óptimo a lo largo del perímetro definido por software (SDP).

Cuatro factores en los que se basa SASE

Las políticas de seguridad que rigen las sesiones de los usuarios para acceder a recursos o aplicaciones se desvinculan de la ubicación del usuario, el dispositivo y el recurso, y en su lugar se basan en cuatro factores:

  1. Identidad de la entidad que solicita el acceso
  2. Contexto de la sesión (por ejemplo, la salud y el comportamiento del usuario y/o del dispositivo, o la sensibilidad de los recursos a los que se accede).
  3. Las políticas de seguridad y cumplimiento que conceden privilegios de acceso en cada situación específica
  4. Análisis continuo y evaluación de riesgos para cada sesión

Tejido de conexión SASE

SASE proporciona un tejido de conexión segura entre el cliente SDP y el borde de servicio, incluyendo nubes públicas y privadas, centros de datos, redes privadas empresariales y gubernamentales, Internet, grandes oficinas, sucursales, oficinas en casa, sitios móviles o temporales, usuarios móviles, usuarios de Work-from-Anywhere (WFA), dispositivos móviles, BYOD, IoT, ubicaciones on-prem y off-prem.

SASE predica el acceso basándose en la identidad de un individuo, dispositivo, aplicación o servicio y en el contexto en el que se conectan entre sí. SASE proporciona al usuario WFA acceso a todas las aplicaciones y datos, independientemente de dónde se encuentre o de las tecnologías de transporte entre ellos, o de la propiedad de las redes de transporte.

Capacidades y atributos de SASE

Una solución SASE líder es una solución puramente basada en software que tiene las siguientes características:

Identidad
  • Acceso por sesión basado en la identidad
  • Autenticación de nivel empresarial para cada intento de acceso
Arquitectura y transporte
  • Arquitectura nativa en la nube
  • Admite todos los tipos de bordes a lo largo del SDP
  • Independencia del transporte: cualquier acceso a Internet por cable, inalámbrico o móvil disponible.
  • Una huella SD-WAN distribuida globalmente con inteligencia de ruta de enrutamiento optimizada
  • Permite una conectividad cliente-nube segura
  • Análisis de tráfico cifrado
  • Pasarelas y proxies distribuidos globalmente con seguridad incorporada que se integran a la perfección con los métodos de autenticación de la empresa.
  • Aislamiento multitenencia
  • Acceso microsegmentado a todos los recursos y activos
Orientación política
  • Enfoque de confianza cero para todos los usuarios, dispositivos y recursos, independientemente de su ubicación.
  • Aplicación distribuida y coherente de la política de seguridad corporativa por sesión, independientemente de dónde se encuentre el usuario, qué dispositivo se utilice, a qué activo se acceda o dónde se encuentre el activo.
  • Acceso con el mínimo de privilegios, según la necesidad de conocimiento y en función de la aplicación
Orquestación y visibilidad
  • Permite el diagnóstico y la mitigación continuos (CDM)
  • Evaluación y supervisión continuas del riesgo y la confianza
  • Análisis avanzados y evaluaciones de riesgos aprovechando el aprendizaje automático y la inteligencia artificial (ML/AI)
  • Visibilidad y control exhaustivos de usuarios, aplicaciones y riesgos

Los componentes SASE

SASE hace converger las capacidades de red y seguridad en un modelo nativo de nube de servicio único, e incluye varios componentes distintos.

SASE es más que una única tecnología: es un paquete completo de tecnologías que integra la seguridad en el tejido global de la red para que esté siempre disponible, independientemente de dónde se encuentre el usuario, dónde esté la aplicación o el recurso al que se accede o qué combinación de tecnologías de transporte conecte al usuario y al recurso. Antes de entrar en materia, he aquí un breve resumen:

Principales componentes SASE

  • WAN definida por software (SD-WAN)
  • NGFW y cortafuegos como servicio (FWaaS)
  • Pasarela web segura (SWG)
  • Agente de seguridad de acceso a la nube (CASB)
  • Acceso a la red de confianza cero (ZTNA)

WAN definida por software (SD-WAN)

La tecnología Secure SD-WAN constituye la base de una solución SASE al permitir un rendimiento óptimo y un enrutamiento inteligente en una arquitectura de red de cliente a nube. Las capacidades clave incluyen:

  • Rampa de entrada y salida de tráfico segura
  • Conectividad multicloud
  • Funciones de seguridad UTM integradas
  • Aprovechar las redes troncales de Internet
  • Enrutamiento del tráfico desde cualquier lugar
  • DIA, acceso directo a la nube y dirección inteligente del tráfico
  • Selección de rutas para optimizar la experiencia del usuario
  • Cifrado en línea
  • Enrutamiento avanzado y selección dinámica de rutas
  • Conocimiento de las aplicaciones y clasificación del tráfico
  • Pasarelas distribuidas por todo el mundo
  • Optimización de la latencia
  • Capacidades de autorreparación de la red

Cortafuegos: NGFW y cortafuegos como servicio (FWaaS)

Un cortafuegos de nueva generación (NGFW) basado en la nube es una solución de software escalable y sensible a las aplicaciones que permite a las empresas eliminar los retos de las soluciones heredadas basadas en dispositivos, ofreciendo un conjunto completo de funciones UTM. Una solución NGFW va más allá de un cortafuegos de estado al ofrecer funciones como protección avanzada frente a amenazas, visibilidad web y de red, inteligencia frente a amenazas y control de acceso. Como mínimo, las organizaciones deberían esperar lo siguiente de su despliegue de NGFW:

  • Control de acceso de usuarios y aplicaciones
  • Detección y prevención de intrusiones
  • Detección avanzada de malware
  • Inteligencia sobre amenazas y redes
  • Automatización y orquestación

Pasarela web segura (SWG)

Un SWG protege a los usuarios y dispositivos WFA frente a las amenazas procedentes de Internet, evitando que los dispositivos de los usuarios que navegan por Internet se infecten con software no deseado o malware e imponiendo el cumplimiento de las políticas corporativas y normativas. Un SWG incluye:

  • Aplicación de las políticas de seguridad y conformidad de Internet
  • Filtrado del tráfico de Internet malicioso con funciones UTM como filtrado de URL, antivirus, antimalware, IDS/IPS, prevención de ataques de día cero, protección contra phishing, etc.
  • Capacidad de identificación y control de aplicaciones
  • Funciones de prevención de fuga de datos (DLP)
  • Remote Browser Isolation (RBI) para analizar las sesiones de usuario en busca de riesgos, lo que permite a los usuarios navegar con seguridad por el amenazador panorama actual. Los sitios web de riesgo se muestran en navegadores remotos, mientras que las páginas desinfectadas (en su mayoría como archivos de imagen) se muestran en el navegador del usuario. RBI permite la navegación anónima y el acceso abierto sin riesgos a los sitios de Internet.

 

Los SWG se pueden implantar como hardware local, dispositivos virtuales, servicios basados en la nube o en modo híbrido como combinación de hardware local y en la nube.

Agente de seguridad de acceso a la nube (CASB)

Un CASB ofrece productos y servicios para subsanar las deficiencias de seguridad en el uso de los servicios en nube por parte de una organización. Cubre la necesidad de proteger los servicios en la nube que los usuarios están adoptando cada vez más, y en el creciente despliegue del acceso directo de nube a nube. Un CASB proporciona una ubicación central para la política concurrente y la gobernanza a través de múltiples servicios en la nube, tanto para usuarios como para dispositivos, junto con visibilidad granular y control sobre las actividades de los usuarios y los datos sensibles.

Un CASB ofrece cinco funciones de seguridad fundamentales:

  • Descubrimiento de aplicaciones en la nube
  • Seguridad de los datos
  • Control de acceso adaptable
  • Detección de malware
  • Análisis del comportamiento de usuarios y entidades (UEBA), que ofrece la aplicación de políticas basadas en patrones de comportamiento inusuales del tráfico hacia/desde los servicios en la nube.

Los CASB pueden ser puntos de aplicación de políticas de seguridad locales o basados en la nube, situados entre los consumidores de servicios en la nube y los proveedores de servicios en la nube para inyectar las políticas de seguridad de la empresa a medida que se accede a los datos o aplicaciones basados en la nube.

Acceso a la red de confianza cero (ZTNA)

ZTNA es un marco de tecnologías que trabajan juntas, basado en la premisa de que no se confía en nada: ni en los usuarios, ni en los dispositivos, ni en los datos, ni en las cargas de trabajo, ni en las ubicaciones, ni en la red. La función principal de ZTNA dentro de una solución SASE es autenticar a los usuarios en las aplicaciones. El contexto avanzado y la identidad basada en roles, combinados con la autenticación multifactor (MFA), son esenciales para asegurar el acceso de usuarios y dispositivos, tanto para el acceso dentro como fuera de la red.

Existen dos modelos generales de aplicación de la ZTNA:

ZTNA iniciada por el cliente

Un agente de software instalado en el dispositivo envía su contexto de seguridad y sus credenciales a un controlador SDP para su autenticación. Este modelo es adecuado para dispositivos gestionados.

 

ZTNA iniciada por el servicio

Un conector SDP (o ZTNA) instalado junto con la aplicación establece y mantiene una conexión saliente con el proveedor de la nube. Los usuarios deben autenticarse ante el proveedor para acceder a las aplicaciones protegidas. Este modelo es adecuado para dispositivos no gestionados, ya que no se requiere ningún software especial en el dispositivo final.

Libro electrónico gratuito

SASE para principiantes

Conozca el trasfondo empresarial y técnico de SASE , incluidas las mejores prácticas, las implantaciones en clientes reales y las ventajas que aporta una organización con SASE .

Obtener el eBook

Más información

Encuentre más investigación, análisis e información sobre SASE (Secure Access Service Edge), redes, seguridad, SD-WAN y nube de líderes de opinión, analistas y expertos del sector.

 

Webinar a la carta: 60 min

Construir un puente para una conectividad segura y multi-nube con SASE

Aprenda a implantar sin problemas una combinación de servicios en la nube y locales para crear servicios, funciones, directivas y configuraciones coherentes independientemente de dónde se preste el servicio.

 
 

Libro Blanco

Seguridad de confianza cero

Zero Trust es un nuevo enfoque de la seguridad que exige a las organizaciones un cambio fundamental en su forma de abordar la identidad y el acceso.

 
 

5:30 min Vídeo

¿Qué es Versa Secure Access (VSA)?

Versa Secure Access (VSA) es la primera solución del sector que ofrece los principales servicios SD-WAN seguros y conectividad privada para empleados remotos o que trabajan desde casa.