SASE: Una nueva frontera en el campo de la conectividad segura para empresas

Seguro que has oído hablar del concepto de SASE (Secure Access Service Edge) si has estado estudiando la posibilidad de actualizar la solución de conectividad de red de tu empresa, o si simplemente estás interesado en las más recientes tendencias y avances en el campo de las telecomunicaciones. Pero, si te has preguntado qué es exactamente SASE, puede que te hayas encontrado con varias respuestas confusas, e incluso contradictorias. SI lo que pretendes es decidir si esta tecnología es adecuada para tu organización, eso no te va a servir de mucho.

No te preocupes. Para eso has entrado en la biblioteca de Tutoriales Técnicos de GTT. En este artículo intentaremos explicar los conceptos esenciales de SASE, cómo ha entrado en escena esta tecnología, qué relación tiene con la tecnología de red de área extensa definida por software (SD-WAN), los férreos mecanismos de ciberseguridad que incorpora, y su potencial de adopción generalizada de cara a los próximos años.

Conceptos básicos de SASE

La forma más sencilla de describir el concepto de SASE es que es algo parecido a una red de área extensa (WAN), pero sin una arquitectura centralizada que tenga un centro de datos como raíz. En lugar de esto, la arquitectura SASE está basada en la nube. Una sucursal o un dispositivo individual pueden conectarse al nodo perimetral de acceso al servicio SASE (service edge) a través de diversos puntos de presencia distribuidos (PoPs).

Así pues, SASE no tiene que relacionarse apenas con la Internet pública, más allá de su aprovechamiento ocasional de nubes públicas como Amazon Web Services (AWS) y Google Cloud Platform (GCP). También se distingue de otras opciones de WAN por las avanzadas funciones de seguridad de red que incorpora dentro de su propio diseño, que son similares a las funciones de seguridad de la nube más punteras. (Hablaremos de ellas con mucho más detalle a continuación; incluyen técnicas muy avanzadas de cifrado y cortafuegos, entre otros métodos).

En ocasiones se habla a la vez de SASE y de SD-WAN, debido en parte a que todavía existe una cierta confusión acerca de SASE: a veces se proclama como un sustituto ideal de una SD-WAN, lo cual (por motivos que veremos más tarde en este tutorial técnico) no es necesariamente cierto, al menos de momento. Hay casos en que la SD-WAN puede funcionar en paralelo a SASE, o bien como elemento central de un servicio SASE. La diferencia fundamental entre ambos reside en el hecho de que la SD-WAN aprovecha la internet pública (para crear la capa virtualizada que le sirve de tejido conectivo), mientras que SASE lo evita en la medida de lo posible.

Historia del modelo de red SASE

SASE es un concepto ideado por Gartner: se mencionó por primera vez en su Informe Hype Cycle de mediados del 19, y más adelante (con bastante más detalle) en el contexto de un documento técnico de concepto (“white paper”) que ha llegado a hacerse famoso: "El futuro de la seguridad de la red reside en la nube."

Este último documento, obra de Neil MacDonald, Lawrence Orans y Joe Skorupa, postulaba que las necesidades de seguridad de las empresas modernas y las "exigencias de acceso dinámico" les obligaban a romper su dependencia con respecto al centro de datos y centrarse en la nube. Los analistas de Gartner dictaron muchos de los principios básicos de SASE: el uso de una red mundial de Puntos de Presencia (PoP) para conectar a trabajadores de sucursales y usuarios dispares a través de la nube, la convergencia de funciones de seguridad de alto nivel en una pila de software perimetral, y un fuerte énfasis en la baja latencia.

En cierto modo, podemos considerar a SASE como la culminación (o como un punto de inflexión) del desarrollo de los sistemas de red de área extensa (WAN) a escala empresarial. No cabe duda de que la evolución de la tecnología resulta lógica, dada la dirección en la que han evolucionado los negocios y las comunicaciones a nivel mundial: las organizaciones se han transformado completamente en el ámbito digital, y sus plantillas están ahora distribuidas a lo largo de una combinación de oficinas, domicilios y otras ubicaciones. También dependen en gran medida de numerosas aplicaciones de software como servicio (SaaS) que residen en la nube, por lo que no es de extrañar que un método de interconexión tan centrado en la nube haya calado tan rápidamente.

Dicho esto, en cierto modo SASE sigue siendo más un concepto que una tecnología concreta. Aparte de las condiciones que MacDonald, Orans y Skorupa establecen en su Whitepaper de Gartner, el modelo SASE no ha llegado a codificarse o estandarizarse formalmente. Por este motivo, existe un debate sobre algunos de sus aspectos: por ejemplo, hay quien insiste en que la filosofía de Gartner de situarla en el perímetro de la nube implica que la nube pública no puede formar parte de una red empresarial SASE, mientras que otros piensan que las nubes híbridas y públicas son tan útiles para SASE como sus homólogas privadas.

Esta falta de claridad tiene también como consecuencia que cualquier proveedor importante de telecomunicaciones pueda declararse como proveedor de SASE, cuando lo más que llegan a ofrecer algunos de ellos son soluciones que podrían describirse mejor como "cuasi-SASE". Tal vez se ajusten al modelo de red SASE, pero tengan una latencia superior a la óptima, o no sean tan seguras como exigiría el concepto de Gartner. En otros casos, proveedores como Fortinet y Palo Alto Networks han aprovechado su experiencia en seguridad para idear plataformas SASE que cumplen o superan el umbral (más bien difuso) de Gartner, y Fortinet ofrece su solución SD-WAN nativa como parte del paquete. Probablemente pasará algún tiempo hasta que llegue a haber una norma definitiva más allá de la de Gartner sobre lo que es y no es SASE.

Ventajas de SASE en materia de seguridad

Las funciones clave que debe incluir el arsenal de seguridad de cualquier solución SASE que se precie son las siguientes:

• Secure Web Gateways (SWGs): estos portales de acceso seguro a la web analizan el tráfico entrante en busca de código malintencionado, URLs sospechosas, malware u otras amenazas de ciberseguridad, según parámetros establecidos dentro de las políticas de seguridad del administrador de la red. Los SWGs pueden ayudar a garantizar que los usuarios solo dispongan del nivel exacto de acceso que necesitan para desempeñar las responsabilidades concretas de su trabajo.
• Cloud Access Security Broker (CASB): la presencia de los CASB garantiza que cualquier brecha de seguridad que pueda existir dentro del camino comprendido entre el usuario final situado en un punto de acceso a SASE y un proveedor de servicios en la nube no suponga una amenaza para los datos confidenciales mientras se estén utilizando apps SaaS u otras herramientas basadas en la nube.
• Firewalls de nueva generación (NGFW, Next-Generation firewalls): El hecho de que SASE dependa de la nube para su funcionamiento hace indispensable el uso de firewalls que ofrezcan seguridad integrada tanto en los entornos que residen en la nube como en los entornos físicos, y es ahí donde intervienen los NGFW. Dependiendo del proveedor, estos elementos pueden estar virtualizados o implementados por hardware.
• Protección avanzada contra amenazas (ATP, Advanced Threat Protection): A medida que los ciberatacantes se vuelven más audaces, el malware que desarrollan se vuelve más complejo y difícil de combatir. Los sistemas ATP combinan herramientas de seguridad para puntos finales, pasarelas de correo electrónico, tecnologías antimalware y otros métodos para hacer frente a las ciberamenazas de todas las procedencias.
• Zero Trust Network Access (ZTNA): Esta solución de seguridad permite a las redes SASE restringir el acceso exclusivamente a los usuarios, dispositivos y aplicaciones que se hayan identificado, y no a determinadas ubicaciones o direcciones IP. En esta era del teletrabajo, la tecnología ZTNA se ha vuelto extremadamente útil.

Solo las soluciones SD-WAN más seguras están a la altura de lo que puede ofrecer una plataforma SASE totalmente implementada. Las WAN tradicionales, entre ellas muchas redes MPLS, ni siquiera se acercan.

El potencial de rendimiento y acceso a la nube que ofrece SASE

Hay opiniones diversas en cuanto al porcentaje de sus datos empresariales y capacidad operativa que las empresas han trasladado a la nube: estimaciones realizadas a finales de la década de los 2010 y comienzos de la de los 20 preveían que la cifra superaría el 80%; los datos disponibles sobre la utilización de las nubes públicas sugieren una cifra más cercana al 50% hacia mediados de 2020. Pero no hay duda de hacia dónde sopla el viento: hacia un uso cada vez mayor de la nube.

Esto, a su vez, hace indispensable una disponibilidad permanente para los usuarios empresariales, independientemente de su ubicación, que es exactamente lo que SASE aporta en cuanto a acceso a la nube y rendimiento. El redireccionamiento del tráfico en tiempo real en función de las necesidades instantáneas de las aplicaciones mejora el rendimiento justo cuando los usuarios finales más lo necesitan, y la creación de puntos de presencia (PoP) mediante la combinación de instalaciones de alojamiento compartido, nube pública y centros de datos privados garantiza el acceso seguro a la red desde cualquier lugar y dispositivo.

SASE está todavía en sus inicios, pero tal y como se están moviendo las cosas en el mundo de las telecomunicaciones, es solo cuestión de tiempo que su adopción acabe siendo generalizada. Si tu empresa quiere entrar en la punta de lanza de la tecnología, ponte en contacto con GTT: con la fortaleza que aporta nuestra red troncal Tier 1 y nuestras asociaciones con proveedores especializados en seguridad como Fortinet, Aruba (SilverPeak) y VMWare (VeloCloud), podemos ayudarte a conseguir una red con un rendimiento de red extraordinario de cara a un mundo cada vez más centrado en la nube.