boton
Contactar

● Glosario de Ciberseguridad

¿Qué es SSE (Security Service Edge)?

Security Service Edge (SSE) es una convergencia de servicios de seguridad de red entregados desde la nube que protege el acceso a la web, aplicaciones cloud y recursos corporativos privados. Gartner introdujo SSE en 2021 como el componente de seguridad del marco SASE, separándolo de la parte de red (SD-WAN) para que las organizaciones pudieran adoptar la seguridad cloud a su propio ritmo. SSE combina Secure Web Gateway (SWG), Zero Trust Network Access (ZTNA), Cloud Access Security Broker (CASB) y Firewall as a Service (FWaaS) en una única plataforma. Junto con SD-WAN, SSE forma una arquitectura SASE completa.

Definición y capacidades de SSE

Security Service Edge (SSE) es una arquitectura de seguridad centrada en la nube que converge control de acceso, protección contra amenazas, seguridad de datos y monitorización en un servicio unificado. Gartner definió SSE en su Hype Cycle for Cloud Security de 2021 como el conjunto de funciones de seguridad necesarias para lograr la convergencia SASE, entregadas principalmente desde la nube.

El concepto surgió porque muchas organizaciones querían modernizar su pila de seguridad sin tener que reformar toda su WAN al mismo tiempo. Los modelos de seguridad tradicionales dirigían todo el tráfico a través de un centro de datos centralizado para su inspección, lo que generaba cuellos de botella a medida que las plantillas se distribuían y las aplicaciones migraban a la nube. SSE resuelve esto llevando el punto de aplicación de seguridad a la nube, cerca del usuario, independientemente de dónde se conecte.

En su esencia, SSE aplica la seguridad basándose en la identidad y el contexto en lugar de en la ubicación de red. Verifica continuamente quién es el usuario, qué dispositivo utiliza, a qué aplicación quiere acceder y qué nivel de riesgo existe antes de conceder acceso. Esto se alinea con los principios de Zero Trust: ningún usuario ni dispositivo es de confianza por defecto.

1
Control de acceso
Políticas basadas en identidad que determinan qué usuarios y dispositivos pueden alcanzar aplicaciones específicas, aplicadas en el borde cloud antes de que el tráfico llegue a los recursos corporativos.
2
Protección contra amenazas
Inspección inline del tráfico web y cloud para detectar y bloquear malware, phishing, ransomware y otras amenazas en tiempo real mediante sandboxing, IPS y feeds de inteligencia de amenazas.
3
Seguridad de datos
Políticas de Data Loss Prevention (DLP) aplicadas al tráfico web, SaaS y de aplicaciones privadas para evitar que datos sensibles abandonen la organización a través de canales no autorizados.
4
Monitorización de seguridad
Visibilidad continua de la actividad de usuarios, uso de aplicaciones, movimiento de datos y eventos de amenazas en todo el tráfico cloud y web, con registro y analítica centralizados.
5
Control de uso aceptable
Políticas que controlan lo que los usuarios pueden hacer en la web y en aplicaciones cloud, desde filtrado por categoría de URL hasta restricciones a nivel de aplicación sobre subidas, descargas y compartición.

Componentes principales de SSE

SSE reúne cuatro servicios de seguridad que tradicionalmente se desplegaban como productos separados. Consolidarlos en una única plataforma cloud reduce la complejidad, elimina brechas entre herramientas y proporciona a los administradores un motor de políticas unificado.

Secure Web Gateway (SWG)

Un Secure Web Gateway actúa como intermediario entre los usuarios e internet. Inspecciona todo el tráfico web en tiempo real, filtrando sitios maliciosos, bloqueando intentos de phishing y aplicando políticas de navegación. El SWG realiza descifrado SSL/TLS para inspeccionar el tráfico cifrado (que representa más del 90% del tráfico web actual), aplica filtrado por categoría de URL en decenas de categorías y utiliza inteligencia de amenazas para bloquear dominios maliciosos conocidos. En una plataforma SSE, el SWG protege a todos los usuarios independientemente de su ubicación, de modo que un trabajador remoto recibe la misma protección que alguien en la oficina.

Zero Trust Network Access (ZTNA)

ZTNA sustituye a las VPN tradicionales proporcionando acceso granular y basado en identidad a aplicaciones específicas en lugar de acceso amplio a nivel de red. Cuando un usuario solicita acceso, ZTNA verifica su identidad, comprueba la postura y el cumplimiento del dispositivo, evalúa factores de riesgo contextuales (ubicación, hora, comportamiento) y entonces concede acceso únicamente a la aplicación solicitada. La red subyacente y el resto de aplicaciones permanecen invisibles. Esto se conoce como el modelo «dark cloud» porque las aplicaciones quedan ocultas para usuarios no autorizados y no se exponen a internet para su escaneo.

Cloud Access Security Broker (CASB)

Un CASB proporciona visibilidad y control sobre cómo los empleados utilizan las aplicaciones cloud, especialmente los servicios SaaS. Opera en dos modos: inline (proxificando el tráfico a aplicaciones cloud en tiempo real) y out of band (conectándose a APIs de SaaS para analizar datos en reposo). El CASB descubre shadow IT identificando aplicaciones cloud no autorizadas, aplica políticas DLP para evitar que datos sensibles se compartan en almacenamiento cloud y detecta cuentas comprometidas mediante analítica de comportamiento de usuarios. Con organizaciones utilizando cientos de aplicaciones SaaS, el CASB se ha convertido en una necesidad para la gobernanza de datos.

Firewall as a Service (FWaaS)

FWaaS ofrece capacidades de firewall de nueva generación desde la nube. Inspecciona tráfico en todos los puertos y protocolos (no solo tráfico web), aplica prevención de intrusiones y aplica políticas de segmentación de red para usuarios remotos y sucursales. FWaaS extiende la protección del firewall a ubicaciones y usuarios que no se encuentran detrás de un appliance on premises, lo cual es especialmente relevante a medida que las plantillas se distribuyen más.

Capacidades adicionales de SSE: Más allá de estos cuatro servicios principales, una plataforma SSE madura puede incluir también Data Loss Prevention (DLP) para inspección de contenido sensible, aislamiento remoto de navegador (RBI) para ejecutar contenido web de riesgo en un entorno sandboxed, SaaS Security Posture Management (SSPM) para auditar configuraciones erróneas en aplicaciones cloud, sandboxing para detección de amenazas zero day y Digital Experience Monitoring (DEM) para medir la calidad de las conexiones de usuario.

SSE vs SASE vs SD-WAN

SSE, SASE y SD-WAN están relacionados pero abordan piezas distintas del puzzle. Entender cómo encajan entre sí es esencial para tomar las decisiones arquitectónicas correctas:

Dimensión SSE SASE SD-WAN
Alcance Solo servicios de seguridad Seguridad + red combinados Solo servicios de red
Función principal Acceso seguro a web, cloud y apps privadas Seguridad unificada y optimización WAN Optimización de tráfico WAN y selección de rutas
Entrega Desde la nube Nube (seguridad) + borde (red) Appliances y controladores en el borde
Componentes clave SWG, ZTNA, CASB, FWaaS SSE + SD-WAN Red overlay, steering de tráfico, QoS
Enfoque en identidad Sí: identidad de usuario y dispositivo Sí: identidad + contexto de red Limitado: basado en políticas de red
Usuarios típicos Remotos, móviles, sucursales Todos en todas las ubicaciones Sucursales, centros de datos
Introducido por Gartner 2021 2019 ~2014
Relación Mitad de seguridad de SASE Marco completo (SSE + SD-WAN) Mitad de red de SASE

La fórmula es directa: SD-WAN + SSE = SASE. Las organizaciones que ya tienen SD-WAN pueden añadir SSE para lograr una arquitectura SASE completa. Las que parten de cero pueden desplegar ambos simultáneamente a través de una plataforma de un único proveedor. Las organizaciones que necesitan priorizar la modernización de la seguridad pueden desplegar SSE primero e integrar SD-WAN después.

¿Por qué las organizaciones necesitan SSE?

El perímetro de seguridad ha cambiado. Los empleados se conectan desde casa, desde aeropuertos y desde dispositivos móviles. Las aplicaciones residen en plataformas SaaS, nubes públicas y centros de datos on premises. El modelo antiguo de dirigir todo el tráfico a través de una pila de seguridad centralizada en el centro de datos ya no funciona. Esto es lo que cambió y por qué SSE lo resuelve:

La disolución del perímetro de red

La seguridad tradicional asumía que todo lo que estaba dentro de la red corporativa era de confianza. Esa suposición se derrumbó cuando el trabajo remoto se convirtió en norma y las aplicaciones cloud sustituyeron al software on premises. Los usuarios ahora acceden a datos corporativos desde ubicaciones que están completamente fuera del perímetro tradicional. SSE traslada el punto de aplicación de seguridad a la nube, cerca del usuario, en lugar de forzar el tráfico de vuelta al centro de datos.

El crecimiento de SaaS y servicios cloud

La empresa media utiliza cientos de aplicaciones SaaS, muchas de las cuales se adoptan sin aprobación de TI (shadow IT). Las herramientas de seguridad tradicionales tienen visibilidad limitada sobre qué datos se comparten, quién accede a estas aplicaciones y si las configuraciones son seguras. El componente CASB de SSE aborda directamente este problema descubriendo el uso de aplicaciones cloud, aplicando políticas de datos y auditando configuraciones SaaS.

Limitaciones de la VPN

Las VPN se diseñaron para un mundo donde un número reducido de usuarios remotos necesitaba acceso a la red corporativa. Otorgan acceso amplio a nivel de red, crean cuellos de botella de rendimiento cuando miles de usuarios se conectan simultáneamente y amplían la superficie de ataque si un solo dispositivo se ve comprometido. ZTNA dentro de SSE sustituye este modelo con acceso granular a nivel de aplicación que no coloca a los usuarios en la red en absoluto.

Dispersión de herramientas y complejidad

Muchas organizaciones gestionan productos separados para filtrado web, acceso remoto, seguridad cloud y servicios de firewall. Cada producto tiene su propia consola, motor de políticas y formato de logs. SSE consolida todo esto en una única plataforma con políticas unificadas, lo que reduce la complejidad operativa y cierra las brechas que los atacantes explotan entre herramientas inconexas.

¿Cómo funciona SSE?

SSE opera desde una red globalmente distribuida de puntos de presencia cloud (PoPs). Cuando un usuario abre un navegador, lanza una aplicación o se conecta a un recurso corporativo, su tráfico se dirige al PoP SSE más cercano para inspección y aplicación de políticas. Esto ocurre de forma transparente, sin que el usuario necesite conectarse a una VPN ni cambiar su flujo de trabajo.

Direccionamiento de tráfico

El tráfico llega a la plataforma SSE a través de varios métodos: un agente ligero instalado en el dispositivo del usuario (que cubre todo el tráfico de endpoints gestionados), un archivo de configuración automática de proxy (PAC) para tráfico basado en navegador, túneles IPsec o GRE desde routers de sucursal, o integración API para inspección SaaS out of band. El enfoque de agente proporciona la cobertura más amplia porque captura todo el tráfico del endpoint, no solo la navegación web.

Aplicación de políticas

En el PoP SSE, el tráfico pasa por un pipeline de inspección de seguridad. La plataforma descifra el tráfico SSL/TLS, identifica al usuario y dispositivo basándose en la integración con directorios (Active Directory, LDAP, proveedores SSO), evalúa la solicitud contra las políticas (quién accede a qué, desde dónde, con qué dispositivo, a qué nivel de riesgo) y entonces permite, bloquea o modifica la conexión. Las políticas pueden ser tan granulares como permitir a un grupo de usuarios específico ver un documento en una aplicación SaaS pero bloquear la descarga de ese documento a un dispositivo no gestionado.

Inspección en un solo paso

Una plataforma SSE bien diseñada inspecciona el tráfico en un solo paso a través de su pila de seguridad en lugar de enrutarlo secuencialmente por motores SWG, CASB y firewall separados. La inspección en un solo paso reduce la latencia y evita la degradación de rendimiento que afecta a los appliances de seguridad encadenados. El contenido se descifra una vez, se escanea por todos los motores relevantes simultáneamente y se reenvía a su destino.

Cloud native vs. alojado: No todas las plataformas SSE están construidas igual. Un SSE cloud native diseñado a propósito ejecuta sus motores de inspección en cada PoP, lo que significa que el procesamiento de seguridad ocurre localmente donde el usuario se conecta. Algunos proveedores alojan su plataforma SSE en infraestructura IaaS de terceros, lo que puede añadir latencia y reducir la consistencia de la inspección. Al evaluar SSE, conviene verificar que el proveedor ejecuta su propia infraestructura de inspección distribuida.

¿Cómo implementar SSE?

Desplegar SSE es un proceso por fases. La mayoría de organizaciones no cambian todo de la noche a la mañana. En su lugar, comienzan con el caso de uso más inmediato (generalmente proteger usuarios remotos) y amplían desde ahí:

1
Auditar la pila de seguridad actual
Identificar cada herramienta utilizada para filtrado web, acceso remoto, seguridad de aplicaciones cloud y servicios de firewall. Mapear qué usuarios y tráfico cubre cada herramienta, y dónde están las brechas. Este inventario se convierte en la hoja de ruta de migración.
2
Comenzar con SWG y ZTNA
Sustituir el proxy web legacy y la VPN por SWG y ZTNA entregados desde la nube. Esto cubre el tráfico más común (navegación web y acceso remoto a aplicaciones) y aporta valor inmediato para usuarios remotos e híbridos.
3
Añadir CASB para visibilidad SaaS
Habilitar CASB inline y basado en API para descubrir shadow IT, aplicar políticas DLP al almacenamiento cloud y auditar configuraciones SaaS. Comenzar con las aplicaciones SaaS más sensibles (correo, compartición de archivos, CRM) y ampliar.
4
Ampliar con FWaaS y servicios avanzados
Habilitar capacidades de firewall cloud para tráfico no web, activar sandboxing para detección zero day y desplegar RBI para escenarios de navegación de alto riesgo. Estos servicios completan la pila SSE completa.
5
Integrar con SD-WAN para SASE completo
Conectar SSE con la infraestructura SD-WAN para unificar seguridad y red. Esto completa la arquitectura SASE, proporcionando conectividad optimizada y seguridad consistente en todos los usuarios y ubicaciones desde una única consola de gestión.

Soluciones SSE de Teldat

Teldat ofrece SSE a través de be.Safe Pro SSE, un servicio de seguridad cloud que forma parte de la plataforma SASE de Teldat. Se integra con la solución SD-WAN de Teldat y es completamente interoperable con equipamiento de red de terceros gracias a su diseño agnóstico de proveedor.

be.Safe Pro SSE

be.Safe Pro SSE de Teldat proporciona Secure Web Gateway (SWG) con más de 84 categorías de navegación, un firewall de nueva generación con IPS/IDS, antivirus, antispam, sandboxing, Data Loss Prevention (DLP), inspección profunda SSL/TLS y control de aplicaciones. Una característica diferencial de be.Safe Pro SSE es su infraestructura cloud privada por cliente: sin direcciones IP compartidas, recursos cloud dedicados y separación lógica por cliente. Esto garantiza un nivel de privacidad y fiabilidad que las arquitecturas multi tenant no pueden igualar.

ZTNA con be.Safe Pro

La solución ZTNA de Teldat está integrada en be.Safe Pro con tres componentes: un agente instalado en cada dispositivo (firmado digitalmente para evitar accesos no autorizados por robo de credenciales), un Broker en la nube que gestiona conexiones y aplica políticas de acceso granulares, y un conector desplegado como imagen virtual cerca de las aplicaciones internas. La arquitectura dark cloud oculta las aplicaciones del escaneo no autorizado, y la integración de Threat Prevention detecta comportamientos sospechosos y ataques contra recursos internos.

Integración con SD-WAN para SASE completo

be.Safe Pro SSE se integra con el CNM SD-WAN Suite de Teldat para gestión unificada de seguridad y red desde una única consola. Las organizaciones pueden desplegar SSE primero y añadir SD-WAN después, o implementar ambos simultáneamente. La plataforma soporta tanto routers Teldat como de terceros mediante una configuración simple de túnel IPsec, lo que la hace adaptable a cualquier infraestructura de red existente. Múltiples puntos de presencia en cinco continentes garantizan latencia mínima para despliegues globales.

Integración con be.Safe XDR

La telemetría de SSE alimenta directamente a be.Safe XDR para detección de amenazas con IA y respuesta automatizada. Esto cierra el bucle entre prevención (SSE) y detección/respuesta (XDR), proporcionando a los equipos de seguridad visibilidad correlacionada de eventos de red, endpoint y cloud desde una plataforma unificada.

El enfoque de Teldat: Como fabricante de hardware de red y proveedor de software de seguridad, Teldat ofrece SSE integrado con SD-WAN, NGFW embebido, ZTNA y XDR en un único ecosistema. Las organizaciones pueden adoptar SSE, SD-WAN o SASE completo a su propio ritmo, sin sustituir la infraestructura existente. El servicio be.Safe Pro SSE utiliza proveedores cloud de primer nivel y se ofrece como Security as a Service, lo que implica despliegue rápido, actualizaciones continuas, escalabilidad ilimitada y bajo coste total de propiedad.

Preguntas frecuentes (FAQ’s) sobre SSE

❯ ¿Qué es SSE en términos sencillos?

Security Service Edge (SSE) es una plataforma de seguridad cloud que protege cómo los usuarios acceden a la web, aplicaciones cloud y recursos corporativos privados. Agrupa varias herramientas de seguridad (SWG, ZTNA, CASB y FWaaS) en un único servicio. SSE es la mitad de seguridad del marco SASE.

❯ ¿Cuál es la diferencia entre SSE y SASE?

SASE es el marco completo que combina red y seguridad en la nube. SSE es el componente de seguridad de SASE, cubriendo SWG, ZTNA, CASB y FWaaS. SD-WAN es el componente de red. La fórmula: SD-WAN + SSE = SASE. Las organizaciones pueden desplegar SSE de forma independiente o como parte de una plataforma SASE completa.

❯ ¿Cuáles son los componentes principales de SSE?

Los cuatro componentes principales son: (1) Secure Web Gateway (SWG) para filtrado web y protección contra amenazas. (2) Zero Trust Network Access (ZTNA) para acceso a aplicaciones basado en identidad. (3) Cloud Access Security Broker (CASB) para visibilidad SaaS y control de datos. (4) Firewall as a Service (FWaaS) para protección de firewall cloud. Capacidades adicionales incluyen DLP, sandboxing, RBI y SSPM.

❯ ¿SSE sustituye al firewall?

SSE incluye FWaaS, que ofrece capacidades de firewall cloud para usuarios remotos y sucursales. Sin embargo, SSE no sustituye completamente los firewalls on premises. La mayoría de organizaciones utilizan SSE junto con appliances NGFW embebidos en sucursales y centros de datos. El enfoque de Teldat combina be.Safe Pro SSE con NGFW embebido para una cobertura completa.

❯ ¿Por qué Gartner creó la categoría SSE?

Gartner introdujo SSE en 2021 porque las organizaciones necesitaban modernizar su seguridad sin reestructurar toda su WAN al mismo tiempo. SSE permite a las empresas desplegar seguridad cloud (SWG, ZTNA, CASB) primero e integrar SD-WAN después, convirtiéndolo en un primer paso práctico hacia la adopción completa de SASE.

❯ ¿Cómo funciona SSE con SD-WAN?

SSE gestiona la seguridad cloud (filtrado web, control de acceso, protección contra amenazas), mientras que SD-WAN gestiona la red (optimización de tráfico, selección de rutas, conectividad WAN). Combinados, forman una arquitectura SASE completa. be.Safe Pro SSE de Teldat se integra con el CNM SD-WAN Suite, proporcionando gestión unificada de seguridad y red desde una única consola.

Protege tu Acceso Cloud con Teldat SSE

be.Safe Pro SSE ofrece SWG, ZTNA, CASB, NGFW y DLP en una plataforma cloud unificada con infraestructura privada por cliente. Intégralo con SD-WAN para SASE completo.