¿Qué no es SASE?
Cuando Gartner publicó «El futuro de la seguridad en las redes está en la nube» en 2019, hicieron dos cosas. En primer lugar, identificaron y describieron con precisión hacia dónde se dirigirían las arquitecturas de red y seguridad de las empresas en la próxima década. En segundo lugar, para describir este nuevo enfoque, crearon uno de los términos de moda en el mundo de la informática: SASE, abreviatura de Secure Access Service Edge o «servidor perimetral de acceso seguro».
Debido a todo el revuelo que se creó en torno a SASE, muchos «proveedores de SASE» son meras soluciones de marketing que incluyen funciones que se encuentran en SASE. Sin embargo, la mayoría de estas soluciones no cumplen la promesa de SASE de ofrecer una solución de seguridad de redes integral y convergente. A continuación, analizaremos lo que no es SASE para ayudarle a identificar qué valor deben aportar los proveedores de SASE a las empresas.
SD-WAN no es SASE
En ciertos contextos, SASE se considera la última generación de SD-WAN. Desde la perspectiva de aportar agilidad y convergencia a la infraestructura de red, se entiende por qué se hace esta comparación. De hecho, la capacidad de enrutar el tráfico de forma óptima y abstraerse del medio físico subyacente (que son las ventajas fundamentales de SD-WAN) es una parte importante de SASE.
Sin embargo, SD-WAN por sí sola tan solo constituye una parte de una solución más amplia que los proveedores de SASE deben proporcionar. Además, no todas las implantaciones de SD-WAN son iguales. Por ejemplo, SASE pretende cubrir todos los perímetros de redes (WAN, computación perimetral, computación en la nube y móvil), pero, con muchos dispositivos SD-WAN, el soporte móvil es escaso o inexistente.
La seguridad basada en la nube no es SASE
Al igual que ocurre con SD-WAN, hay muchas funciones de seguridad que son partes importantes de una solución SASE. Algunos ejemplos son IPS (sistema de prevención de intrusiones), NGFW (cortafuegos de última generación) y SWG (puerta de enlace web segura).
Dado que la seguridad basada en la identidad y la arquitectura de nube nativa son características clave de SASE, no es extraño creer en la idea de que un cortafuegos basado en la nube y rico en funciones puede servir como método para implantar SASE. Pero, en la práctica, esto no suele funcionar. La seguridad es solo la mitad de la arquitectura SASE, y un cortafuegos basado en la nube y un IPS por sí solos no pueden ayudar con el enrutamiento y la optimización WAN a escala global.
De nuevo, al igual que ocurre con SD-WAN, los beneficios de estas tecnologías las convierten en una parte importante de SASE, pero ni aun cuando se combinen son en sí mismas SASE.
Un mosaico de diversos dispositivos combinados tampoco es SASE
La funcionalidad SD-WAN que permite un enrutamiento ágil y eficiente es una parte importante de SASE. Así como también lo son las funciones de seguridad como IPS, SWG y NGFW. Sin embargo, el mero hecho de implantar dispositivos y soluciones de «proveedores de SASE» que cumplan todos los requisitos del conjunto de características de SASE no cumplirá con lo que SASE promete.
Esto se debe a que la creación de un mosaico de dispositivos de red y seguridad y soluciones en la nube simplemente no puede proporcionar la agilidad, visibilidad, simplicidad y rendimiento que puede ofrecer una única solución convergente. La adquisición, implantación, gestión e integración de varios productos no solo encarece los costes, sino que aumenta la complejidad de la red. Como resultado, un mosaico de soluciones que parecen buenas sobre el papel suele crear cuellos de botella operativos y descuidos de seguridad a escala. Aunque algunos aboguen por trasladar la complejidad a un proveedor de servicios, esto no resuelve los problemas subyacentes y a menudo conlleva mayores costes por un rendimiento inferior al óptimo.
Los dispositivos virtuales en dispositivos periféricos no son SASE
La ejecución de dispositivos virtuales en un dispositivo periférico reduce la huella de hardware, pero no los costes operativos. Sigue siendo necesario instalar, integrar, actualizar, desplegar y mantener los dispositivos. Los silos subyacentes y la complejidad no desaparecen. Las verdaderas plataformas SASE eliminan el factor de forma del dispositivo. Las funciones se ofrecen como una plataforma nativa en la nube y de tenencia múltiple. Los proveedores de SASE gestionan y mantienen la plataforma subyacente en beneficio de todos los clientes. Ni la empresa ni el proveedor incurren en los gastos operativos de gestión de los dispositivos.
Entonces, ¿qué es exactamente SASE?
SASE se encarga de la convergencia de las redes y de la seguridad en vistas de aumentar el rendimiento, simplificar la complejidad operativa y mejorar la postura de seguridad a escala mundial. Para cumplir estos criterios, una verdadera solución SASE debe reunir las siguientes características:
- Compatibilidad con todos los perímetros. Las ubicaciones móviles, en la nube, WAN y periféricas deben ser compatibles sin sacrificar el rendimiento ni la funcionalidad. Muchos dispositivos virtuales y físicos tienen dificultades para cumplir este criterio. Esto se debe a que los dispositivos de seguridad suelen estar intrínsecamente ligados a una ubicación específica.
- Seguridad basada en la identidad. El modelo de seguridad SASE se basa en la identificación granular de los recursos. SASE requiere que se pueda contabilizar cada aplicación, persona y dispositivo, y que los flujos de datos se puedan analizar en profundidad. De este modo, la visibilidad de toda la red y el conocimiento del contexto ayudan a mitigar las amenazas.
- Arquitectura de nube nativa. Para simplificar la complejidad de la gestión y ofrecer la elasticidad, la resistencia y el automantenimiento que hacen que SASE sea eficaz e incremental para la empresa, es imprescindible una arquitectura de nube nativa multiusuario.
- Conectividad de red de distribución mundial. Una plataforma en la nube de distribución mundial garantiza que todas las funciones de SASE estén disponibles independientemente de dónde se encuentre geográficamente el perímetro de la red de la empresa. Esto significa que los PoP (puntos de presencia) de SASE deben ir más allá de los centros de datos de las nubes públicas y garantizar una conectividad de baja latencia para todos los terminales de la WAN.
Los verdaderos proveedores de SASE entienden que la convergencia es clave
Lo fundamental es lo siguiente: SASE no consiste solo en disponer de un sólido conjunto de funciones de red y seguridad, sino en hacer converger ese conjunto de funciones para mejorar el rendimiento y la seguridad al tiempo que se reducen la complejidad y los costes. Por tercer año consecutivo, Cato Networks ha sido proveedor SASE de muestra en el último «Hype Cycle for Enterprise Networking» de Gartner, y el enfoque Cato de SASE se ha construido teniendo en cuenta la convergencia y el negocio digital moderno.
Si quiere profundizar en SASE y ver lo que puede implicar para su negocio, consulte nuestro libro electrónico gratuito: The Network for the Digital Business Starts with the Secure Access Service Edge (SASE). O si, en cambio, desea probar por sí mismo nuestra solución SASE basada en la nube, por favor, póngase en contacto con nosotros o inscríbase hoy mismo para una demostración.