La arquitectura SASE en tu estrategia de seguridad

Los paradigmas tradicionales de la ciberseguridad se han quedado anticuados con la llegada del cloud. Según el estudio de IBM ‘Cost of a Data Breach Report’ de 2023, el 45% de las brechas de seguridad están relacionadas con servicios en la nube, y un 80% de las organizaciones encuestadas sufrieron algún incidente relacionado con la seguridad del cloud en el último año.

A medida que el número de usuarios que se conectan desde diversos lugares y acceden a datos altamente confidenciales almacenados en la nube aumenta, es fundamental que nos paremos a pensar en cómo reforzar nuestras estrategias de ciberseguridad para afrontar los nuevos desafíos. Incluso la legislación ha debido actualizarse, como ocurre con la última actualización del Esquema Nacional de Seguridad, en 2022, donde se ha incorporado un marco operacional (op.nub) vinculado a la protección de servicios en la nube. Resumiendo, los sistemas proveedores de servicios en la nube al sector público deben adherirse a medidas de seguridad específicas basadas en el tipo de servicio en la nube (SaaS, PaaS, o IaaS), cubriendo aspectos como: pentesting, transparencia, cifrado y gestión de claves, y jurisdicción de datos. Los servicios de terceros deben estar certificados bajo una metodología reconocida y si ofrecen un servicio de seguridad, deben cumplir requisitos adicionales. 

En este contexto, los sistemas SASE (Secure Access Service Edge) pueden ayudar al cumplimiento de esta y otras adaptaciones de la ley y la normativa. Estos sistemas surgen como un cambio de paradigma en los principios arquitectónicos tradicionales, alejándose del modelo tradicional centralizado para dirigirse a un modelo de entrega en la nube descentralizado. 

Los SASE se caracterizan por la convergencia de capacidades de red integrales con funcionalidades de seguridad relacionadas con la red, que incluyen Firewall NG, Secure Web Gateway, CASB y ZTNA. Esta convergencia permite brindar un modelo más seguro y flexible de conexiones, dirigiendo el tráfico de forma inteligente, además de realizar una inspección de seguridad más avanzada y directamente enfocada en la nube.

Ventajas que ofrecen los SASE

Contar con un SASE ofrece numerosas ventajas a las organizaciones actuales. Algunas de sus ventajas más destacadas son:

• Flexibilidad de plataforma: la arquitectura SASE se caracteriza por ser independiente de la plataforma, lo que otorga a la infraestructura de seguridad una flexibilidad máxima. Esto permite que las empresas adapten y amplíen su infraestructura de seguridad de manera escalable a medida que crecen.
• Seguridad reforzada: los servicios SASE parten del principio de Zero Trust y hacen cumplir la política de confianza cero de una organización. Los usuarios solo pueden acceder a las aplicaciones de la organización si tienen una necesidad legítima, lo que fortalece la seguridad y reduce la superficie de ataque. Esto se complementa con soluciones, como CASB, NGFW o (FWaaS), anti-APT, DLP, WAAP o el sandboxing de navegación Remote Browser Isolation (RBI),que protegen frente a amenazas de seguridad.
• Gestión de políticas centralizada: otra de sus ventajas es que unifica la administración de políticas de seguridad coherentes en toda la organización y se consigue simplificar el cumplimiento normativo y la administración de seguridad en la organización. Como consecuencia, se puede ver una reducción de los costes operativos del negocio.
• Mejoras de rendimiento: la unificación de la gestión evita tener que ‘saltar’ de un sistema a otro, con la penalización de latencia asociada que se acumula por sistema. En consecuencia, los usuarios que se conectan a aplicaciones SaaS en la nube y aplicaciones sensibles a la latencia, como suites de colaboración, vídeo, VoIP y conferencias web, experimentan una mejora significativa en la calidad de experiencia (QoE), lo que se ve reflejado en un aumento de las prestaciones.

Funcionamiento y aplicaciones de las soluciones SASE

SASE construye una red segura, de área amplia y definida por software (SD-WAN), para la gestión del tráfico de red de la organización, por lo que es compatible con los métodos tradicionales de inspección y verificación, como el enrutamiento de tráfico a través de servicios de conmutación MPLS (conmutación de etiquetas multiprotocolo), permitiendo una transición suave hacia una arquitectura de red más moderna y segura. 

Esto significa que las organizaciones pueden continuar utilizando sus conexiones MPLS existentes, mientras adoptan las capacidades de SD-WAN y seguridad proporcionadas por SASE.

-Esquema básico de funcionamiento de SASE.-

Los sistemas SASE despliegan una serie de componentes que benefician a profesionales de seguridad, administradores de TI y otros roles dentro de la organización. Veamos con más detalles algunas de sus aplicaciones prácticas:

• Consola de gestión centralizada de políticas de seguridad. Permite definir y administrar políticas de seguridad a través de una interfaz centralizada, desde la que controlar todos los componentes, simplificando la administración de políticas de seguridad y ayudando a garantizar el cumplimiento normativo.
• Soluciones CASB (Cloud Access Security Broker). Proporcionan visibilidad y control sobre los datos y servicios en la nube, mejorando la protección de datos y ayudando a cumplir con regulaciones de privacidad.
• SD-WAN (Software-Defined Wide Area Network). Facilita la gestión y operación de redes de área amplia, permitiendo la conectividad segura para empleados remotos y optimizando el rendimiento de la red.
• Firewalls de próxima generación (NGFW). Proporciona funciones adicionales como filtrado de aplicaciones y prevención de intrusiones, mejorando la inspección y filtrado de tráfico en tiempo real para detectar y mitigar amenazas cibernéticas.
• Sistema de prevención de amenazas avanzadas (ATP). Detecta y responde a amenazas avanzadas y comportamientos anómalos en la red, proporcionando detección temprana y respuesta a amenazas avanzadas.
• Sistema de prevención de pérdida de datos (DLP). Protegen contra la pérdida o filtración de datos sensibles, asegurando la protección de datos corporativos y ayudando a garantizar el cumplimiento de regulaciones.
• Puertas de Acceso Web Seguras (SWG). Brindan protección contra amenazas en línea y control de aplicaciones y datos en la web, garantizando una navegación segura y mejorando la seguridad de datos y aplicaciones en entornos de nube.
• Protección de Aplicaciones Web y de la API (WAAP). Mejora la seguridad de las aplicaciones web y API mediante la detección y mitigación de vulnerabilidades y ataques dirigidos, proporcionando una capa adicional de protección en la interacción con servicios web.
• Sandbox de Navegador (RBI). Proporciona un entorno aislado para navegar por la web, protegiendo los sistemas corporativos contra malware y otras amenazas en línea, al ejecutar contenido web potencialmente peligroso en un entorno separado.

Retos y desafíos

A pesar de sus numerosas ventajas, la incorporación de sistemas SASE en el entorno empresarial conlleva ciertos retos y desafíos. La transición hacia SASE no es un proceso que se realice de la noche a la mañana, dado que modificar la arquitectura de seguridad empresarial requiere una inversión significativa y un proceso de maduración. Sin embargo, la estrategia más efectiva suele ser una adaptación gradual, estableciendo un roadmap bien definido que guíe cada paso del camino.

La clave para una transición exitosa hacia SASE es evitar la tentación de implementarlo todo de una sola vez. La estrategia de ‘divide y vencerás’ suele ser bastante efectiva. Es preferible comenzar implementando una sección del sistema, y no necesariamente la más crítica, sino aquella donde la empresa perciba que hay un menor riesgo. Esta aproximación permite a la organización ganar comprensión y experiencia con la nueva arquitectura de seguridad, facilitando una implementación más suave y estructurada del resto de los componentes SASE con el tiempo.

Una posible estrategia de implementación para SASE podría comenzar con la seguridad del perímetro de la empresa, asegurando el acceso remoto con ZTNA y derivando el tráfico externo hacia el firewall centralizado, para progresivamente ir migrando las aplicaciones on-premise a la nube, con una configuración unificada de políticas y nativa en la nube.

Independientemente de la estrategia planteada por la organización, el objetivo es converger gradualmente hacia una nueva arquitectura de TIC más segura, mitigando los riesgos y optimizando la inversión.

Conclusión

La utilidad de SASE radica en su capacidad para asegurar la protección de datos en la nube, facilitar la conectividad segura de empleados remotos y proporcionar filtrado de tráfico en tiempo real. Además, simplifican la gestión de políticas de seguridad, optimizan el rendimiento de la Red y aseguran el cumplimiento normativo bajo un enfoque de confianza cero.

La necesidad de adaptarse a una arquitectura de seguridad SASE se ve reflejada en el aumento y complejidad de las ciberamenazas actuales, tales como malware en general o ransomware y robo de datos en particular. Las repercusiones de no contar con estas medidas de seguridad pueden ser devastadoras, abarcando desde la pérdida de datos cruciales hasta la interrupción de operaciones comerciales, sin mencionar el daño a la reputación que puede sufrir la organización. La adopción de estas medidas de seguridad ya no se considera simplemente una acción proactiva, sino una inversión esencial para proteger y fortalecer la resiliencia de las organizaciones en un mundo digital que está en constante evolución.

Implementar SASE de manera gradual, alinea a la organización con un enfoque más sostenible y estructurado, permitiendo una adaptación progresiva a la nueva arquitectura de seguridad. Además, un enfoque paso a paso también proporciona el tiempo necesario para educar y preparar al personal, adaptar las políticas existentes, y realizar los ajustes necesarios en la infraestructura de TI para garantizar una transición exitosa hacia una arquitectura segura.