SASE es el acrónimo de Secure Access Service Edge, un concepto acuñado por Gartner en 2019 con el que se define un nuevo enfoque en la seguridad de red: hacer converger los servicios de conectividad y protección en una única arquitectura basada en la nube.
Este planteamiento se adapta mucho mejor al contexto actual en el que se desenvuelven las organizaciones, determinado por la movilidad, el trabajo en remoto y el uso de múltiples servicios cloud. Ante esta nueva realidad, los modelos tradicionales de securización de la red mostraban unas claras limitaciones, sin ir más lejos, las propias soluciones basadas en firewalls perimetrales, manifiestamente insuficientes cuando se trata de proteger una infraestructura distribuida, que implica el acceso de usuarios desde múltiples ubicaciones y dispositivos.
Las aportaciones de SASE
La unificación de las funciones de red y seguridad en una sola arquitectura permite integrar múltiples soluciones que antes operaban de forma aislada, desplegando un servicio en la nube que habilita a los empleados a conectarse a las aplicaciones y acceder a los datos corporativos de manera totalmente segura, sin importar su localización. Al mismo tiempo, facilita que los equipos de TI tengan visibilidad completa sobre la actividad de red, y puedan gestionarla de forma centralizada.
Bajo el enfoque expuesto, SASE integra:
- SD-WAN (red de área amplia definida por software): optimiza la conectividad entre oficinas, sedes y usuarios remotos, priorizando el tráfico según la criticidad de las aplicaciones. Permite seleccionar la mejor ruta disponible en tiempo real, lo que mejora el rendimiento y reduce la latencia.
- Firewall como servicio (FWaaS): proporciona protección avanzada contra amenazas desde la nube, sin necesidad de hacer depender la securización de la red de la instalación de dispositivos físicos en cada oficina o sede. Además, posibilita aplicar políticas de seguridad de forma coordinada, con funciones como filtrado de contenido, inspección de tráfico y control de accesos, protegiendo a todos los usuarios independientemente de su ubicación.
- SWG (Secure Web Gateway): actúa como filtro entre los usuarios e internet, bloqueando sitios maliciosos, controlando el acceso a determinadas páginas y previniendo la descarga de archivos potencialmente peligrosos. Así, aplica políticas de navegación segura que ayudan a prevenir ataques vectorizados vía web, como el phishing, el malware alojado en sitios comprometidos o las redirecciones a páginas fraudulentas.
- CASB (Cloud Access Security Broker): supervisa y controla el uso de aplicaciones en la nube, facilitando detectar actividades no autorizadas, previniendo fugas de datos y asegurando el cumplimiento normativo. Es clave en entornos donde se usan múltiples servicios SaaS, al paliar problemas que esto provoca en cuanto a carencia de visibilidad de las operaciones realizadas en cada aplicación, dispersión de datos y aplicación inconsistente de políticas de seguridad entre los distintos servicios.
- ZTNA (acceso a red con modelo Zero Trust): sustituye a las VPN tradicionales con un enfoque basado en la desconfianza apriorística. Bajo este planteamiento, evalúa de forma continua la identidad del usuario, el estado del dispositivo y el contexto antes de conceder acceso a recursos concretos, minimizando el riesgo de movimientos laterales en la red (para que intrusiones que han logrado un acceso inicial no puedan comprometer sistemas críticos o datos sensibles). Así, en lugar de abrir la puerta a toda la red corporativa, como ocurre con las VPN, solo admite el acceso puntual y controlado a aquellas aplicaciones o servicios específicos que el usuario necesita, según su perfil y nivel de autorización.
La evolución necesaria que encarna SASE
Adoptar un modelo Secure Access Service Edge resulta esencial ante la disolución del concepto de perímetro fijo tradicional, ese que permitía proteger las redes corporativas con firewalls convencionales.
SASE supone una solución que se adapta a la operativa en entornos híbridos de las empresas actuales, con trabajadores que acceden desde cualquier lugar, e incluso, eventualmente, haciéndolo con sus propios dispositivos personales (BYOD).
Asimismo, da respuesta a la necesidad que tienen las organizaciones actuales por su propensión creciente a implementar soluciones con la fórmula as a service, una confluencia de múltiples servicios SaaS cuyos accesos es preciso regular de manera coherente y unificada.
Hablamos de una arquitectura de seguridad nativa en la nube, dinámica, escalable y basada en identidad, que frente al enfoque fragmentado de muchas infraestructuras heredadas, con múltiples soluciones desconectadas entre sí, aporta una convergencia real que reduce la complejidad, mejora el rendimiento y favorece una protección más coherente, inclusive contra las amenazas más avanzadas, dado que incorpora tecnologías como DPI (Deep Packet Inspection) para una inspección exhaustiva del tráfico, y ZTNA (Zero Trust Network Access) para aplicar controles de acceso basados en identidad y contexto. Todo ello manejado, además, desde una consola de gestión centralizada que proporciona visibilidad y control a tiempo real.
Soporte para la implantación de SASE
Desde ITRES como especialistas en implantación de arquitecturas de seguridad, podemos ayudar a su empresa a adoptar un modelo SASE, y hacerlo con una cobertura integral, que incluya el asesoramiento agnóstico sobre las mejores soluciones existentes en el mercado de acuerdo a las necesidades y características de la organización.
Además, una vez que el cliente ha elegido la solución con todos los elementos de juicio a su disposición, negociamos con el fabricante de su elección, sea partner nuestro o no, para la implementación de la misma en las condiciones más favorables para la empresa.
