Justo Uceta, Sales Engineer at Forcepoint

Existen funcionalidades que se convierten en productos y productos que terminan siendo funcionalidades. Productos o soluciones que según la tendencia del mercado convergen en plataformas unificadas para proporcionar una mejor sinergia entre funcionalidades complementarias y que con el tiempo se convierten en un “must have” o característica que debe cumplir cualquier seguridad que se precie de un mínimo de calidad.

Las necesidades de acceso a los servicios y activos de información desde cualquier parte y en cualquier momento, implica una nueva forma de pensar a la hora de acceder a los recursos corporativos para desarrollar nuestro trabajo diario y un camino crítico a recorrer en el proceso de transformación digital de las empresas. Pasamos de disponer de accesos centrados en la infraestructura a aplicaciones centradas en datos y usuarios con políticas de control granulares que permitan a los usuarios el acceso a servicios cloud desde cualquier lugar, sin penalizar la seguridad. Siempre on, siempre seguros.

Los mecanismos de protección “tradicionales” han consistido en el despliegue de numerosos elementos software y hardware para la protección de los distintos vectores de ataque. Estas soluciones, en la mayoría de las ocasiones no integradas, han permitido la adopción de políticas de protección específicas para cada vector de amenaza, políticas fragmentadas que, en mayor o menor medida, pretendían responder o mapear políticas de seguridad globales corporativas. Debido a la diversidad de tecnologías y fabricantes, se han disparado los costes de mantenimiento y operación de la seguridad, sumando a todo lo anterior, la falta de integración entre estas piezas, permitiendo la creación de numerosos “agujeros” de seguridad debido a la imposibilidad de aplicar políticas globales eficientes y eficaces.

El objetivo final es unificar la gestión de la seguridad, reducción de costes y dar continuidad al negocio en este nuevo paradigma, desde plataformas en nube, seguras y siempre disponibles donde sea que se encuentre ubicado el dispositivo final del usuario.

Cada día son más las empresas privadas y, en menor medida, organismos públicos, los que adoptan servicios en cloud pública en modalidad SaaS, PaaS o IaaS, viendo incrementada la necesidad de empleados teletrabajando, nuevos servicios en movilidad, desde dispositivos no gestionados y en muchos casos personales, etc. Esta situación acentúa la necesidad de soluciones de seguridad que, además de dar cobertura a los servicios existentes, sean lo suficientemente flexibles y seguras para adaptarse con las mayores garantías, incrementen la visibilidad y permitan reducir costes administrativos de seguridad mediante la automatización de procesos y la convergencia de las soluciones. Y todo esto, en la nube y en modo servicio (“as a service”).

SASE (Security Access Service Edge), es el modelo de entrega “as a service” de la seguridad, orientado a la solución de los problemas indicados anteriormente. La puesta en marcha de soluciones como servicio sustentadas en la cloud del fabricante, aunque compuestas por numerosas piezas y funciones de seguridad, pero gestionadas y ofrecidas como un único servicio, permite ofrecer soluciones a los nuevos problemas de seguridad de una forma global, integrada y consistente. Las políticas de seguridad globales corporativas se trasladarán al servicio, de forma transparente y simplificada, mediante la aplicación de un conjunto de reglas integradas que permitan proteger los distintos vectores de amenaza y las vías de exfiltración de información. La plataforma SASE debe aportar a los equipos de operación de la seguridad visibilidad integral sobre la planta de servicios, mecanismos de automatización entre las distintas capas constitutivas del mismo y mecanismos de definición y aplicación de políticas de seguridad y análisis.

Las soluciones SASE de los distintos fabricantes, proporcionan distintas funciones de seguridad que permiten proteger a usuarios, servicios y activos de información considerando los distintos casos de uso y flujos de tráfico. Al menos deben tenerse en cuenta las siguientes consideraciones cuando se plantea un servicio SASE:

Servicio cloud. - El servicio debe proveerse desde arquitectura cloud nativa como servicio, permitiendo aprovechar las posibilidades que la cloud ofrece en cuanto a escalabilidad y flexibilidad a la vez que desvincula al cliente de cualquier responsabilidad en cuanto a la operación de los nodos de infraestructura.

Consolidación de funciones de seguridad. -  El servicio SASE debe consolidar la mayor cantidad de funciones de seguridad en sus nodos, evitando el encadenamiento de soluciones de nicho aisladas. Al menos deben incluirse las siguientes funciones:

• Protección de las comunicaciones y accesos: Web Security as a Service, Next Generation Firewall as a Service (NGFWaaS), Zero Trust Network Access (ZTNA), Aislamiento (Browsing Isolation), Cloud Access Security Broker (CASB), Antimalware, etc.
• Protección de la información: Cloud Access Security Broker (CASB), Data Loss Prevention (DLP), etc.
• Integración con soluciones de identidad. - Frente al dispositivo físico o la dirección IP, principales elementos de control de las soluciones “tradicionales”, la identidad o perfil del usuario adquieren en esta arquitectura una relevancia fundamental, asignándose los distintos permisos de acceso a recursos y aplicaciones a estas cuentas de usuario. La integración de la solución SASE con las soluciones de gestión de identidades es por tanto uno de los elementos clave en la adopción de esta arquitectura.

SASE debe proporcionarnos soluciones convergentes para la protección proactiva de usuarios e información crítica. Se debe aplicar control sobre aspectos relativos al cómo, a qué, desde dónde, cuándo y para qué acceden los usuarios a los recursos y a la información sensible que residen en el cloud. Pero también es interesante el enforque de protección adaptativa al riesgo del usuario. En base a las actividades del usuario o comportamiento, las reglas de seguridad tradicionales estáticas, permitir o no permitir, se transforman en reglas dinámicas y flexibles se adaptan según el riesgo asociado al usuario en el momento justo de acceso a los recursos. Teniendo en cuenta actividades que, por sí solas, no serían ilícitas en la red, pero que, teniendo en cuenta el conjunto de indicadores de comportamiento del usuario, determinan que puedan suponer una brecha de seguridad en un momento y para una actividad concreta.

Adicionalmente a este escenario, conocido como Zero Trust, es una nueva forma de pensar en seguridad. Recomendada por analistas como Forrester y Gartner, es la idea de que los usuarios siempre deben demostrar quiénes son y conceder permiso explícito cada vez que quieren acceder y utilizar recursos como las aplicaciones cloud y los datos. Zero Trust Network Access (ZTNA) es un elemento de la arquitectura SASE de Gartner que aplica este enfoque a las aplicaciones y redes internas dentro de una empresa. Las nuevas soluciones nativas de la nube brindan este tipo de control sin la complejidad, cuellos de botella y riesgos de las VPN. Se reduce la necesidad de ampliar la infraestructura VPN o exponer las redes internas a dispositivos remotos potencialmente comprometidos. Proporciona un control detallado sobre el acceso y el uso de cada aplicación, donde se pueden aplicar otras medidas de control como el control anti-intrusión y protección de exfiltración de información confidencial.

Aún seguimos hablando del nuevo paradigma actual por la situación crítica mundialmente sufrida el pasado año que todos conocemos, pero todo indica que los cambios que nos ha traído han venido para quedarse impulsados por la estrategia de transformación digital que ya estaba en marcha. El futuro es la convergencia de servicios en la nube, pero teniendo en cuenta que la nube es un medio, no un fin. Un medio para permitir sustentar el negocio actual y que permita el desarrollo de nuevas oportunidades.