SASE y ZTNA: Capacidades de acceso a la red de confianza cero de SASE
La Guía de mercado de Gartner para el acceso a redes de confianza cero (ZTNA, por sus siglas en inglés) prevé que, para 2023, el 60 % de las empresas eliminará gradualmente las VPN y utilizarán en su lugar ZTNA. El principal impulsor de la adopción de la ZTNA es la forma cambiante de los perímetros de las redes empresariales. Hay que tener en cuenta las cargas de trabajo en la nube, el trabajo desde casa, los dispositivos móviles y los activos de red locales, y las soluciones puntuales, como los dispositivos VPN, no son la herramienta adecuada para el trabajo.
A alto nivel, podemos resumir la ventaja de la ZTNA sobre la VPN con una sola palabra: granularidad. El acceso a la red de confianza cero permite a las empresas restringir el acceso a un nivel que las VPN y otros enfoques de «castillo y muralla» para la seguridad de la red simplemente no alcanzan.
Este control a nivel granular es también la razón por la que el acceso a la red de confianza cero complementa el enfoque del acceso a la red basado en la identidad que SASE (perímetro de servicio de acceso seguro) demanda. Con el acceso a la red de confianza cero integrado en una plataforma de red nativa de la nube, SASE es capaz de conectar los recursos de las empresas modernas -usuarios de dispositivos móviles, sitios, aplicaciones en la nube y centros de datos en la nube- con el grado justo de acceso. Pero, ¿cómo se unen exactamente ZTNA y SASE para cumplir esta promesa? Echemos un vistazo…
¿Qué es el acceso a la red de confianza cero?
El acceso a la red de confianza cero, también conocido como perímetro definido por software (SDP), es un enfoque moderno para asegurar el acceso a aplicaciones y servicios tanto en la nube como en las instalaciones. El funcionamiento de la ZTNA es sencillo: negar a todos y a todo el acceso al recurso a menos que esté explícitamente permitido. Este enfoque permite una seguridad general más estricta de la red y una microsegmentación que puede limitar el movimiento lateral en caso de que se produzca una brecha.
En la actualidad, con las soluciones de puntos de seguridad de red antiguas, una vez que un usuario supera un dispositivo de seguridad, obtiene implícitamente acceso de red a todo lo que se encuentre en la misma subred. Esto aumenta intrínsecamente el riesgo y la superficie de ataque. ZTNA da la vuelta a ese paradigma. Con ZTNA, el personal de informática debe permitir explícitamente el acceso a los recursos de la red y puede aplicar restricciones hasta el nivel de las aplicaciones.
SASE y confianza cero
ZTNA es una pequeña parte de SASE. SASE restringe el acceso de todos los bordes (sitios, usuarios móviles y recursos en la nube) de acuerdo con los principios de ZTNA. En otras palabras, las capacidades NGFW y SWG de SASE son la forma en que SASE restringe el acceso; ZTNA es el grado en que los perímetros de SASE tienen restringido el acceso.
SASE agrupa el acceso a la red de confianza cero, NGFW y otros servicios de seguridad junto con servicios de red como SD-WAN, optimización WAN y agregación de ancho de banda en una plataforma nativa en la nube. Esto significa que las empresas que aprovechan la arquitectura SASE reciben las ventajas del acceso a la red de confianza cero, además de un conjunto completo de soluciones de red y seguridad que es a la vez sencillo de gestionar y altamente incrementable.
Las ventajas de SASE y del acceso a la red de confianza cero
El primer beneficio de SASE y del acceso a la red de confianza cero es que un enfoque de la seguridad basado en la negación por defecto de la identidad mejora enormemente la postura de en torno a la seguridad. Incluso si un usuario malintencionado compromete un activo de la red, ZTNA puede limitar el daño causado. Además, los servicios de seguridad SASE pueden establecer una referencia del comportamiento normal de la red, lo que permite un enfoque más proactivo de la seguridad de la red en general y de la detección de amenazas en particular. Con una referencia sólida, el comportamiento malicioso es más fácil de detectar, contener y prevenir.
Más allá de las ventajas en materia de seguridad, el acoplamiento de SASE y ZTNA resuelve otra serie de problemas que las soluciones puntuales plantean a las empresas modernas: la proliferación de dispositivos y la complejidad de la red. Con las soluciones puntuales de VPN, las empresas se ven obligadas a desplegar dispositivos adicionales para funcionalidades como SD-WAN y NGFW. Esto significa que el opex y el capex crecen con cada emplazamiento adicional que necesita un dispositivo. También significa que las integraciones entre dispositivos, usuarios móviles y servicios en la nube aumentan enormemente la complejidad de la red.
SASE y ZTNA abstraen estos problemas proporcionando una solución nativa en la nube que funciona para todos los perímetros de la red. Esto significa que los servicios en la nube, los usuarios móviles, el IoT, las sucursales y las redes corporativas reciben el mismo nivel de seguridad sin aumentar drásticamente la complejidad o el coste de la implantación.
En resumen, en comparación con las soluciones puntuales tradicionales, el acceso a la red de confianza cero con SASE es:
- Más fácil de incrementar. La proliferación de dispositivos dificulta la gestión de las soluciones puntuales de VPN a medida que crece la red. SASE aporta a la seguridad de la red la incrementabilidad de una plataforma multiinquilino nativa de la nube.
- Más granular. Con las soluciones puntuales tradicionales, las empresas pueden aplicar políticas que restrinjan el acceso en función de las direcciones IP. SASE y el acceso a la red de confianza cero permiten el control de acceso y la visibilidad de la red hasta el nivel de aplicaciones e identidades específicas.
- Más seguro. Las soluciones puntuales eran suficientemente buenas en la época en la que el paradigma de «castillo y muralla» proporcionaba suficiente seguridad a la red. Sin embargo, las redes modernas tienen topologías que simplemente no encajan en este paradigma. Al garantizar que se tienen en cuenta todos los perímetros de la red (por ejemplo, habilitando el acceso móvil sin clientes) y utilizando soluciones de seguridad creadas específicamente para las topologías de red modernas, SASE y ZTNA pueden aumentar drásticamente la postura en torno a la seguridad.
- Más rápido y fiable. A menudo, los dispositivos VPN se convierten en cuellos de botella que ralentizan una WAN y repercuten negativamente en el rendimiento. Esto se debe a que los dispositivos individuales tienen limitaciones de CPU y de recursos. Con un enfoque nativo de la nube, SASE abstrae estas limitaciones de recursos y mejora aún más el rendimiento de la WAN al ofrecer también la optimización de la WAN como parte del tejido de red subyacente.
La primera verdadera plataforma SASE con acceso a la red de confianza cero
El mercado del SASE aún está madurando y muchos vendedores de SASE no llegan a cumplir la verdadera promesa del SASE. Por esta razón, es importante aprender qué no es SASE. Además de ser etiquetada como proveedora de muestras para SASE en el Hype Cycle 2019 de Gartner para redes empresariales, Cato Networks es también la primera plataforma SASE verdadera del mundo.
La plataforma SASE de Cato se construyó desde cero pensando en las redes empresariales modernas. La plataforma combina funciones de seguridad como el acceso a la red de confianza cero, SWG, NGFW e IPS con servicios de red como SD-WAN y optimización WAN, así como una red troncal privada global con un SLA (contrato de nivel de servicio) de tiempo de actividad del 99,999 %. Como resultado de lo anterior, Cato es el único proveedor actualmente capaz de cumplir la verdadera promesa de SASE desde una perspectiva de rendimiento, seguridad y escalabilidad.
Si desea ver la plataforma Cato SASE en acción, inscríbase para obtener una demostración o contacte con nosotros hoy. Para profundizar más en lo que es SASE, consulte el libro electrónico“The Network for the Digital Business Starts with the Secure Access Service Edge (SASE)”.