Enric Mañez, Enterprise Security Sales de Akamai

Con la rápida adopción de las aplicaciones SaaS y la facilidad de trasladar las aplicaciones empresariales del centro de datos a la nube, muchas empresas globales están transformando la forma en que conectan sus sucursales y sus usuarios remotos. En el pasado, el enfoque convencional consistía en conectar todas sus ubicaciones a través de una MPLS Wide Area Network (WAN) y, a continuación, enviar todo el tráfico de las sucursales a una sede regional o incluso a una única sede global HQ. En esa ubicación central, el tráfico se controlaba y administraba mediante numerosos dispositivos de hardware locales. El tráfico de las aplicaciones del centro de datos se enviaba a los servidores locales y el tráfico web que era para aplicaciones SaaS o la web pública se enrutaba de vuelta a Internet y luego a la sucursal a través de la ubicación central. Este flujo y redirección del tráfico era ineficaz y a menudo podía causar un acceso lento a SaaS lento o a la web para los usuarios de la sucursal.

Pero ahora, con más tráfico destinado a aplicaciones SaaS y a la web pública, las empresas están adoptando cada vez más Internet como red corporativa. En lugar de enviar tráfico SaaS o web a través de la WAN simplemente envía ese tráfico a través de una conexión de banda ancha estándar, Direct Internet Access (DIA). O también como se está extendiendo cada vez más, es que la empresa despliegue una SD-WAN.

Si la sucursal necesita acceder a las aplicaciones del centro de datos, ese tráfico sigue siendo enrutado a través de la conexión WAN, pero al reducir el tráfico enviando de forma directa a Internet el tráfico SaaS y web pública, la reducción del tráfico permite utilizar menos ancho de banda WAN, lo que reduce los costes de red. Y los usuarios experimentan un rendimiento significativamente mejor debido a la eliminación de esa molestia en el tráfico.

Este cambio en la forma en que se redirige el tráfico también requiere que las empresas reconsideren la forma en que inspeccionan y protegen el tráfico que se envía directamente a Internet. Históricamente, muchas empresas globales han inspeccionado y protegido el tráfico utilizando cortafuegos empresariales o, más típicamente, pasarelas web seguras (SWG) desplegadas de forma centralizada. Las empresas a menudo intentan replicar la seguridad centralizada en cada sucursal, pero esto puede resultar complejo, lento y costoso.

Un ejemplo: recientemente hablamos con una compañía manufacturera global con casi 30 ubicaciones. Habían seguido el camino de actualizar los cortafuegos y las soluciones de punto final en cada ubicación para ofrecer seguridad y hacer cumplir su política de uso aceptable (AUP) cuando hicieron la transición a la conectividad DIA.

Sin embargo, rápidamente se dieron cuenta de que esto causaba una gran cantidad de trabajo, ya que las políticas de cada lugar tenían que gestionarse por separado, lo que daba lugar a incoherencias y posibles lagunas en materia de seguridad. Además, este enfoque condujo a un gran aumento de los problemas de los usuarios, lo que, a su vez, provocó que el equipo de seguridad tuviera que hacer frente a un mayor número de solicitudes de asistencia técnica. Por último, el costo de este enfoque era demasiado alto y negaba el potencial de ahorro de costes que había sido uno de los principales impulsores de la DAI.

Hemos trabajado en nuevas soluciones que hacen que la empresa tenga una única política que puede ser actualizada e implementada globalmente en cuestión de minutos para reforzar su AUP y bloquear el tráfico malicioso. Con enfoque en la reducción del número de llamadas al servicio de asistencia sobre contenido bloqueado y sitios y aplicaciones rotos.

La idea es permitir la conexión segura a Internet basada en la nube y que puede configurarse e implementarse globalmente en menos de 30 minutos. Utilizando DNS como rampa de acceso a Internet, bloqueando el tráfico malicioso, permitiendo que el tráfico seguro continúe como de costumbre, y enviando el tráfico de riesgo a un proxy de nube para la inspección de URL y el análisis de payload. Este tipo de soluciones se adapta perfectamente a las organizaciones que desean proteger el tráfico DIA, sin la complejidad y los costes asociados a los dispositivos de hardware locales.