5 minute read
Seguridad estratégica corporativa
SASE: red y seguridad como servicio
Protección del perímetro de acceso
Advertisement
Siguiendo la estela de la transformación digital, estamos ante un cambio de paradigma en cuanto a los modelo de negocio, que se sostienen en la computación en la nube. Ahí es donde las actuales necesidades de conectividad, seguridad y, sobre todo, contextualización del dato cobran una importancia vital. Es el momento de que tecnologías como SD-WAN, SWG, DLP, CASB, ZTNA, UEBA, FWaaS, etc., entren en acción para conformar el modelo de SASE.
No hace muchos años mirábamos al cielo en busca del santo grial de la computación en la nube. Hoy contemplamos la Tierra desde la nube, mientras viajamos hacia la transformación digital de las organizaciones. En este viaje hemos aprendido que el perímetro de seguridad ya no es estático, ahora es gaseoso y lo moldea cada organización con sus necesidades, la mayoría de ellas alojadas en la nube. De este modo, los responsables de seguridad y riesgos nos hemos visto obligados a domar el aire que hay hasta las nubes y proteger cada activo en su viaje. En este camino, desde un punto de vista de seguridad y gestión de riesgos, estamos obligados a desplazar la atención desde el centro de datos hacía la identidad del usuario y/o del dispositivo, así como evaluar los riegos de los datos según su contexto. En este punto, los datos y su contexto cobran mayor importancia, se materializa el oro negro de la economía digital, y miles de servicios y aplicaciones deben establecer el control. Esto nos obliga a reevaluar los modelos existentes y llevarlos a converger en un servicio de acceso seguro a la nube. En este punto es donde Gartner, en 2019, acuñó el acrónimo SASE (secure access service edge) para materializar esa necesidad de disponer de un perímetro de servicio de acceso seguro.
/ SEGURIDAD Y REDES Venimos de un auge desbocado de los servicios en la nube, con un crecimiento en la movilidad de los usuarios y una necesidad de acceso a la información inmediata. Todo esto actúa como queroseno del motor de la transformación digital y, al mismo tiempo, obliga a los departamentos de seguridad a proteger un negocio que se mueve a un ritmo vertiginoso. En este singular viaje hay dos activos que mutan para dar forma a SASE: la red y la seguridad, ambos
ofrecidos como servicio evolucionados en la nube: security-as-a-service y network-as-a-service. Se trata de proteger a las organizaciones y ofrecer servicios seguros en la nube (Web, SaaS, IaaS, PaaS), conexiones protegidas y autenticadas punto a punto a los servicios de nube, protección e inspección del tráfico y de los datos contra amenazas, y mejora del rendimiento a través de la reducción de la latencia en las comunicaciones. SASE no es una tecnología en sí misma, sino un conjunto de tecnologías que evolucionan y convergen. Como elementos de seguridad, cabe destacar: » CASB (cloud access security broker). Se encarga de aplicar las políticas de seguridad para el acceso a recursos y servicios en la nube. » DLP (data loss prevention). Su principal objetivo es la inspección y aplicación de políticas sobre la información contenida en un objeto. Dicha información puede ser estática (almacenada) o dinámica, en su tránsito por la red o en medio de una operación entre objetos contenedores. » SWG (secure web gateways). Aplicación de políticas de seguridad basadas en la navegación. » ZTNA (zero-trust network access). Esta funcionalidad se encarga de la verificación de la identidad y de establecer el grado de confianza del dispositivo antes de otorgarle acceso a las aplicaciones autorizadas. » UEBA (user and entity behavior analytics). Se encarga de detectar anomalías en el comportamiento de usuarios y dispositivos. En un modelo donde se concentran y centralizan indicadores de cada capacidad, puede resultar muy útil y revelador. En cuanto a las capacidades de red, cabe destacar: » SD-WAN (software-defined WAN). Facilita la conectividad, combinando tecnologías WAN tradicionales (como MPLS y las conexiones de banda ancha) con capacidades de supervisión y gestión del tráfico en todos los enlaces en tiempo real. De esta forma es capaz de seleccionar de forma dinámica la mejor ruta. » FWaaS (fireWall as a service). Es la evolución de un next generation firewall (NGFW), trasladándolo desde su ubicación física a un dispositivo en la nube, donde acelera y permite una mayor convergencia entre usuarios, dispositivos deslocalizados y las aplicaciones residentes en la nube. » QoS (quality of service), rounting y SaaS acceleration. Capacidades de red que deben soportar la hiperconectividad que supone SASE, de tal forma que se pueda entregar un servicio de calidad por parte de los proveedores.
/ TRANSICIÓN HACIA SASE Si llevamos todo esto a la práctica vemos que las empresas, a excepción de las nativas de la nube, o están planteando la transición o están en medio de ella. Hay que tener en cuenta que no todas las organizaciones podrán alcanzar un completa transformación y deberán tomar modelos híbridos que les permitan operar en la nube y en sus actuales entornos on-premise tal y como ya hacen los actuales modelos de infraestructura hiperconvergente. Al abordar SASE hay que valorar el punto de partida, tener claro el modelo hacia el que se quiere ir y revisar bien qué fabricante encaja mejor en esas necesidades, ya que no todos los que proveen SASE ofrecen todas las funciones. Algunos ponen mayor foco en las funcionalidades ligadas a la red, y otros en las capacidades de seguridad. Además, tal como indica Gartner (The Future of Network Security Is in the Cloud), la idea es que una solución SASE base su modelo de aplicación de políticas y gestión en una plataforma en la nube utilizando un modelo de entrega y gestión basado en cloud, aunque algunas decisiones puedan tomarse localmente en el endpoint. Por último, uno de los puntos clave de SASE es la conectividad y la posibilidad de ofrecer una baja latencia. La distribución de los puntos de presencia (PoP) y la relación entre los diferentes nodos es vital a la hora de ofrecer un servicio rápido, eficaz y contextualizado localmente según las necesidades de conexión de cada usuario.
Dado que la conectividad y el acceso a la red del proveedor de SASE es uno de los puntos clave, crítico en la infraestructura del proveedor, es fundamental que estos sean capaces de demostrar una correcta gestión ante ataques de denegación de servicio distribuidos (DDoS), así como una alta resiliencia ante desastres que puedan afectar a parte, o a la totalidad, de su infraestructura. En este punto cabe matizar que, con la adopción de SASE, estamos transfiriendo la superficie de ataque a la infraestructura del proveedor, lo que introducirá —en los modelos de riesgo a gestionar— el de un proveedor crítico y el que podría suponer un ataque a la cadena de suministro.
Óscar Sánchez Montaner
CISO en sector moda y lujo y Miembro del board
ISMS FORUM
ismsforum.es
