A medida que el trabajo flexible asume un papel clave en las TI corporativas, crece la importancia del perímetro de servicio de acceso seguro (SASE, en sus siglas en inglés). La desaparición gradual del perímetro de red tradicional hace que gestionar ciberamenazas sea cada vez más complicado.
Con empleados trabajando desde casa y el despliegue frecuente de nuevos servicios en la nube, el equipo de seguridad TI está manejando miles de extremos adicionales. Cada nodo representa una superficie potencial de ataque que podría explotarse para acceder a los recursos corporativos.
La arquitectura SASE adopta un enfoque multinivel a la hora de crear una estrategia de defensa coherente que protege los activos de cada emplazamiento. Al digitalizar la arquitectura SASE, la tecnología puede usarse para agilizar y simplificar la gestión de la seguridad y mejorar sus capacidades defensivas.
Una arquitectura SASE digitalizada cuenta con dos aspectos clave: pasarelas web seguras (SWG) y firewalls de nueva generación (NGFW).
Garantizar la seguridad de la SD-WAN
Como los datos que se recopilan y emplean van en aumento, el tráfico de red ha crecido exponencialmente y sobrepasado la capacidad de las redes internas. Con la adopción de tecnologías SaaS, como Office 365 y Salesforce, esa presión también afecta al ancho de banda externo.
En un primer momento, la solución fue desplegar tecnología SD-WAN para aumentar la velocidad y escalabilidad. Al trasladar los controles de conectividad a la nube para aliviar la presión del centro de datos local, la red SD-WAN también resolvió muchas de las limitaciones asociadas con las VPNs. Tras la descentralización, aplicar principios SASE al tráfico externo a la red resulta más fácil.
Sin embargo, la arquitectura SD-WAN por defecto presenta un problema básico. Si un hacker logra comprometer un extremo, puede piratear la conexión SD-WAN para acceder a recursos protegidos. En esto, las pasarelas web seguras pueden ayudarle con su estrategia SASE digitalizada.
Garantizar la seguridad del tráfico web y aplicar políticas SASE
Una pasarela web segura actúa como un proxy basado en la nube para el tráfico de red entre oficinas. Crea una nueva línea de defensa para casos en los que el concepto de perímetro de red original haya quedado anticuado o perdido utilidad. Todo el tráfico de red de los usuarios se enruta a través de la pasarela para analizarlo y compararlo con la configuración SASE. El tráfico que pasa entre los extremos y los recursos TI corporativos se inspecciona minuciosamente en tiempo real para identificar y bloquear actividades sospechosas.
La pasarela web segura permite aplicar políticas SASE a recursos alojados fuera de la red corporativa – incluyendo los extremos en sí. Puede permitir o denegar acceso a recursos y servicios que no están vinculados al trabajo, cuyo uso no se ha aprobado, o que presenten un riesgo para la empresa. La pasarela ofrece protecciones adicionales y automatizadas (como zonas de pruebas y la inspección profunda de paquetes).
De esta manera, las pasarelas web seguras resuelven dos de los problemas más acuciantes de la arquitectura SASE. En primer lugar, sirven para monitorizar y proteger el tráfico que no pasa nunca por recursos “propios” (como el centro de datos). En segundo lugar, la SWG filtra el tráfico procedente de los extremos que se escapan al control del departamento TI (como los que usan los empleados que trabajan en remoto). Las políticas de seguridad y filtrado pueden aplicarse a todo el tráfico (independientemente de su localización).
La naturaleza elástica de la nube permite a la pasarela crecer a medida que lo hace la demanda, garantizando así que las políticas SASE se siguen aplicando de forma consistente. Digitalizar la arquitectura SASE también reduce la latencia y mejora el rendimiento (puesto que el usuario está más cerca de las políticas basadas en la nube). El tráfico se inspecciona antes de llegar a recursos críticos en la nube o en local.
Más allá de las SWGs
A pesar de que la pasarela web segura protege frente a tráfico malicioso, por sí sola no es suficiente. Su plataforma SASE digitalizada también tendrá que monitorizar y proteger la capa de las aplicaciones. Ahí es donde entra el firewall de nueva generación.
El firewall de nueva generación está presente tanto en la nube como en entornos locales y su propósito es filtrar actividades maliciosas entre extremos y los recursos de su empresa. Idealmente, se implantaría como un complemento a la pasarela (puesto que su función va más allá del filtrado de tráfico en base a reglas de permitido/denegado).
El firewall de nueva generación cuenta con capacidades adicionales:
- Las labores de filtrado e inspección profunda de paquetes analizan todo el tráfico de la red para detectar y bloquear paquetes de datos imprevistos o sospechosos que pueden suponer un riesgo a la ciberseguridad. A diferencia de lo que ocurre con los firewall tradicionales, que sólo comprueban la validez de las direcciones de entrada y salida, la inspección profunda de paquetes (DPI, en sus siglas en inglés) que ofrece el firewall de nueva generación también analiza el contenido de cada paquete para detectar rastros de malware y otras amenazas.
- La función de reconocimiento y control de aplicaciones analiza el tráfico de red en el nivel 7 – la capa de las aplicaciones. Esto favorece la implantación de procesos SASE digitales y permite bloquear aplicaciones potencialmente peligrosas (evitando así que su tráfico o cualquier amenaza penetre la red).
- La protección frente a intrusiones identifica y bloquea amenazas conocidas y desconocidas. El firewall de nueva generación compara los paquetes con amenazas conocidas en busca de cambios inusuales en el tráfico o en el comportamiento del protocolo.
El firewall de nueva generación también puede recibir de los fabricantes datos inteligentes sobre amenazas. Este intercambio de información ayuda a garantizar que los servicios SASE están siempre al día y pueden enfrentarse a las nuevas amenazas a la ciberseguridad que vayan surgiendo.
Proteger todo el tráfico de red
Dicho esto, digitalizar la arquitectura SASE supone más que simplemente proteger su red SD-WAN. Dada la creciente sofisticación de los ciberataques, resulta necesario analizar y monitorizar todo el tráfico saliente y entrante para garantizar que el tráfico malicioso y los agentes nocivos han sido anulados.
Optar por una pasarela web segura y un firewall de nueva generación con base en la nube simplifica y acelera la implementación porque toda la infraestructura subyacente la gestiona el proveedor de servicios. Es más, cualquier tipo de tráfico puede enrutarse a través de la plataforma (no sólo las conexiones SD-WAN). Esta flexibilidad le permite aplicar sus protocolos SASE rápidamente y con eficacia desde ubicaciones remotas (o puestos locales) con una configuración adicional mínima.
Digitalizar la arquitectura SASE para mejorar la protección de la red
Desplegar pasarelas web seguras y firewall de nueva generación se volverá más necesario a medida que el volumen de tráfico de la red crezca. Digitalizar la arquitectura SASE permite aplicar las mejores prácticas en materia de seguridad de red a todo el tráfico entrante y saliente, en la nube y en local. Las pasarelas y los firewall de nueva generación también le ayudarán a reducir gastos administrativos, evitar posibles riesgos e infecciones malware, y obtener datos sobre peligros potenciales para actualizar y parchear el sistema (evitando así que nuevas amenazas no identificadas previamente comprometan su seguridad).