Por: Jon Paul McLeary Líder de mensajes de marca en Cirion Technologies.
La 4ª Revolución Industrial continúa transformando a las industrias de manera fundamental y remodelando la forma en que las empresas llevan adelante los negocios en un escenario global cada vez más distribuido. En este entorno, las tecnologías emergentes prometen impulsar mayor eficiencia y crecimiento, fundiendo en uno solo los mundos digital y analógico de maneras innovadoras. Mientras que ninguno de nosotros puede decir con absoluta certeza cómo será este mundo futuro, podemos estar seguros de lo siguiente: la capacidad para acceder a asegurar datos y aplicaciones en tiempo real será fundamental para cumplir con la promesa final.
Por supuesto que nuestro mundo actual cambió drásticamente desde que la pandemia del COVID-19 forzó a las empresas a acomodar a millones de trabajadores remotos. Mientras que los modelos de legado de TI se basaban en oficinas centralizadas y data centers seguros, la pandemia aceleró la tendencia de las fuerzas de trabajo cada vez más distribuidas y requirió de un empujón mayor para poner a disposición aplicaciones, datos y otros recursos de red privilegiados, de forma descentralizada. Lamentablemente, la infraestructura y las arquitecturas actuales son extremadamente insuficientes para soportar las demandas de acceso y de seguridad en tiempo real de las aplicaciones y tecnologías de próxima generación.
Y si bien es cierto que esta nueva forma de trabajo ofrece mayor flexibilidad, nuevas eficiencias operativas, menores costos y un conjunto de otros beneficios, también trae un costo aparejado. Como la infraestructura de legado nunca fue diseñada para dar soporte a una fuerza de trabajo descentralizada y distribuida, existe una variedad de desafíos de desempeño y de seguridad para tener en cuenta: desempeño lento de las aplicaciones, latencia de red, controles débiles de la seguridad de los datos y, tal vez lo más inconveniente de todo, un entorno de amenazas implacable y en evolución constante.
Una nueva visión arquitectónica: SASE
En 2019, se comenzó a difundir en varios círculos de la industria, la terminología Secure Access Service Edge – SASE (Servicio de Acceso Seguro en el Borde), esbozando una nueva estructura arquitectónica diseñada para enfrentar los desafíos de las empresas modernas distribuidas. A medida que las empresas adoptan cada vez más SD-WAN para optimizar el desempeño de la red y emergen nuevas amenazas fuera del perímetro de seguridad definido, la complejidad de administrar estos sistemas de manera cohesiva crea todo un conjunto de nuevos desafíos de gestión de TI y de seguridad.
El marco SASE representa la convergencia de diversas tecnologías establecidas que apuntan a fusionar capacidades abarcativas de SD-WAN y funciones de seguridad de red en un abordaje unificado – uno que, en última instancia, será más adecuado para tratar las necesidades de las aplicaciones y de las cargas de trabajo de las empresas del futuro. Si bien SASE es más una filosofía y una orientación que una lista de verificación de funcionalidades y capacidades, generalmente puede caracterizarse como compuesta por cinco tecnologías clave de red y de seguridad:
- SD-WAN
- Firewall as a Service (FWaaS)
- Cloud Access Security Broker (CASB)
- Secure Web Gateway, y
- Zero Trust Network Access (ZTNA)
En este nuevo paradigma, existe la expectativa de que las aplicaciones y los datos que los profesionales necesitan para mantenerse productivos estén siempre disponibles, optimizados para las necesidades de desempeño y protegidos, independientemente de dónde puedan estar conectándose.
Esencialmente, la idea de SASE consiste en ofrecer servicios seguros de red en cualquier lugar desde donde pueda conectarse un usuario. Y esta solución convergente idealmente debería optimizar y ampliar el desempeño de las aplicaciones que se distribuyen entre usuarios individuales, instalaciones, borde y los entornos de nube pública/privada.
Los problemas que aborda SASE
Incluso con la mitigación de la pandemia, un número cada vez mayor de empresas está considerando cambios permanentes o abordajes híbridos para que alguna parte de sus colaboradores trabaje de forma remota. La empresa mediana típica utiliza decenas de aplicaciones de SaaS en forma diaria y también necesitan acceder a otros recursos administrativos y operativos, tales como sistemas internos de archivos compartidos. El abordaje convencional consistía en hacer que los usuarios tunelizaran en un solo lugar a través de su VPN, donde se podían aplicar y hacer cumplir de forma centralizada los derechos y políticas.
Sin embargo, conforme empezaron a aprender muchos CIO de empresas, este abordaje también representa un punto de estrangulamiento de la red que degrada la experiencia del usuario y requiere que la organización invierta en dispositivos de inspección de mayor envergadura y más onerosos para gerenciar e inspeccionar el tráfico. Los Gateways Web Seguros y los proveedores de Firewall como Servicio de próxima generación surgieron para lidiar con esta brecha, mediante la distribución de estos motores de inspección a los PoP regionales y asociándose con los proveedores de SaaS para aplicar la seguridad en el entorno de la nube – o lo que llamamos Corredores de Servicios de Acceso a la Nube (CASB).
¿Pero qué pasa si el usuario necesita conectarse nuevamente con la red corporativa? ¿Cómo se pueden aprovechar las ventajas de la SD-WAN y seguir teniendo una sola política de seguridad cuando los usuarios vuelven a sus hogares o van a algún otro lugar?
SASE fue diseñada teniendo en mente al usuario final y comienza con la idea de confianza cero. Mientras que el usuario pueda verificar su identificación y el dispositivo de conexión no importa dónde se encuentre ubicado físicamente. En este tipo de entorno, un usuario confiable solo se puede conectar con los recursos específicos a los que están intentando acceder y nada más, algo que a menudo es habilitado por un perímetro definido por software (SDP).
A diferencia de las soluciones VPN tradicionales, que centralizan todos estos puntos de inspección, un abordaje SASE distribuye todos estos puntos de control a lo largo de diversas regiones, mejorando la eficiencia de los recursos de la red y reduciendo la latencia encontrada en un modelo ‘hub and spoke’ convencional.
En definitiva, esto ayuda a abordar la complejidad de administrar estos componentes como soluciones de punto separadas, cada una de las cuales requiere del dominio de su propio conjunto de herramientas. SASE ofrece un conjunto de herramientas basado en la nube, común y centralizado que mejora la visibilidad y el control de estos sistemas, que luego pueden administrarse y orquestarse en la nube con la definición de políticas distribuidas en el borde de la red.
Beneficios que SASE puede ofrecer
Para las organizaciones con usuarios y aplicaciones distribuidos, esta convergencia de capacidades de TI críticas les ofrece a las empresas beneficios significativos que incluyen la capacidad de:
- Optimizar y escalar el desempeño: maximiza la productividad del negocio al optimizar el desempeño de la red y de las aplicaciones en cualquier lugar donde se encuentren los usuarios mientras mejora el acceso y los tiempos respuesta a las aplicaciones basadas en la nube.
- Acelerar la implementación de seguridad y la respuesta de incidentes: implementa políticas de seguridad basadas en identidad, introduce controles de seguridad a partir de la nube y mejora los tiempos de respuesta de incidentes, aprovechando la inteligencia de amenazas agregada en todas las soluciones de seguridad cibernética
- Simplificar la visibilidad y el control: visualiza y gerencia de manera holística redes consolidadas y servicios de seguridad a partir de un único panel de instrumentos, como de un solo operador.
- Mejorar la eficiencia de Opex: opera más eficientemente al automatizar las funciones de red, modernizar la tecnología de sucursales y usar funciones de red virtualizadas en un modelo OpEx más flexible.
Mientras que el borde extendido de la red corporativa crea oportunidades para la innovación, también genera vectores para las amenazas a la ciberseguridad e introduce complejidades que desafían la función básica de TI: proveer acceso seguro y confiable a los recursos protegidos. Con SASE, virtualmente cada proceso puede optimizarse y aplicarse de forma segura, permitiéndole hacer más con menos recursos. Este abordaje arquitectónico integrado es lo que les permite a las empresas adoptar experiencias digitales inmersivas de manera confiable, en ambientes distribuidos.