cherezoff - stock.adobe.com
Cómo se integra la arquitectura SASE con la infraestructura de red
La arquitectura SASE ofrece una propuesta de valor convincente, ya que converge los servicios de redes y seguridad en una única plataforma en la nube. Explore cómo funciona con la infraestructura existente.
La arquitectura de Secure Access Service Edge describe la convergencia de la seguridad y las redes en un servicio de nube global. El perímetro de servicios de acceso seguro, o SASE, conecta y protege todos los bordes de la empresa (sitios, usuarios móviles, centros de datos en la nube, dispositivos SaaS e internet de las cosas) con un solo servicio.
Gartner cristalizó las tendencias clave en redes y seguridad en el otoño de 2019 con la introducción de SASE. Si bien es posible que Gartner no haya inventado este cambio de dispositivos discretos a un servicio global convergente, su enfoque sin duda se ha popularizado. En la consultora SD-WAN Experts hemos visto a varios de nuestros clientes empresariales solicitar elementos SASE en sus solicitudes de propuesta. Varios proveedores, a su vez, están respondiendo con propuestas de SASE.
Tan radical como suena la arquitectura SASE, su implementación es parte del proceso natural de transformación WAN que ha estado arrasando en la industria durante algún tiempo. Las empresas ya están haciendo la transición de MPLS. En algunos casos, por ejemplo, están adoptando una WAN definida por software y toda la conectividad basada en internet; en otros casos, están cambiando a una implementación híbrida donde los dispositivos SD-WAN se conectan a MPLS y circuitos de internet. Llevar la nube y el acceso móvil a una red segura es una extensión natural.
SASE frente a SD-WAN
La diferencia al elegir la arquitectura SD-WAN o SASE es seleccionar una plataforma que cumpla con los requisitos para el futuro. Al integrar todas las capacidades de red y la seguridad necesaria en un solo servicio, SASE se convierte en la plataforma que admite cambios más allá del reemplazo de MPLS, que ha sido el caso de uso más común para SD-WAN. SASE permite a las organizaciones respaldar la conectividad global, el acceso remoto, la conectividad en la nube y más mediante la activación de funciones del servicio. Solo con SD-WAN, cada etapa adicional requeriría que una empresa salga a licitar, evalúe nuevos productos, seleccione el adecuado e implemente la oferta.
Un gran ejemplo de las diferencias entre SASE y SD-WAN fue la prisa por ofrecer acceso remoto a gran escala durante la crisis del COVID-19. El acceso remoto no es parte de SD-WAN, y las empresas de SD-WAN tuvieron que superar obstáculos para ayudar a sus clientes a abordar los problemas relacionados con el nuevo coronavirus.
Por el contrario, las plataformas SASE crean acceso remoto a la red. Los usuarios están equipados con clientes móviles o, en algunos casos, acceso sin cliente. Cualquiera de las opciones permite la implementación a gran escala para miles de usuarios en minutos y horas, no en semanas. Debido a que el acceso remoto está integrado en SASE, los usuarios remotos se benefician de la pila de seguridad completa y la optimización de la red en la arquitectura SASE.
Consideraciones sobre la implementación de redes y seguridad
A medida que las organizaciones analicen la adopción de SASE, deberían poder evitar las migraciones de montacargas. En el lado de las redes, las ofertas de SASE incluyen dispositivos de borde SD-WAN, y las empresas incluso podrían implementar una oferta de SASE como una alternativa a SD-WAN. Al igual que SD-WAN, las implementaciones de SASE admiten migraciones graduales, coexistiendo no solo con los servicios de red existentes, sino también con los servicios de seguridad existentes. El acceso remoto y la conectividad a la nube deben ser opcionales.
En el lado de la seguridad, las ofertas de SASE reemplazan una amplia gama de funciones de seguridad, incluidos firewalls de próxima generación, puertas de enlace (gateways) web seguras, agentes de seguridad de acceso a la nube y acceso a la red de confianza cero. Algunos proveedores de SASE admitirán implementaciones limitadas y heterogéneas de proveedores de varias formas. En este caso, limitado significa que admiten la granularidad de la implementación sitio por sitio; no espere poder cambiar algunos de sus componentes de seguridad por ofertas de terceros.
Las empresas pueden ejecutar sitios sin los servicios de seguridad del proveedor de SASE o solo activarlos para proteger algunas ubicaciones. En el último caso, pueden conectar firewalls heredados a la plataforma SASE a través de túneles IPsec, mientras que los servicios de seguridad del proveedor SASE protegen el resto de los sitios.
Cuando las organizaciones insisten en mantener firewalls heredados, particularmente en la sucursal, pueden considerar un enfoque llamado explosión de firewall. Al igual que la explosión de la nube, donde una aplicación en una nube privada o un centro de datos irrumpe en una nube pública cuando aumenta la demanda de capacidad informática, la explosión de firewall mantiene el dispositivo de firewall heredado en el borde, lo que hace que el exceso de tráfico se acumule en la nube SASE para su procesamiento.
Muchos de mis clientes se sorprenden al saber cuánto pueden reducir los costos de seguridad con SASE. Estos costos de seguridad tradicionales incluyen espacio en rack, energía, conectividad a internet, conectividad MPLS, costos de hardware y mantenimiento. Además, los costos operativos, los costos de licencia y los eventuales costos de actualización y reemplazo de la infraestructura de seguridad pueden ser bastante significativos.
Además, las empresas enfrentan la urgencia constante de mantener la infraestructura de seguridad. Cuando los equipos de seguridad descubren un nuevo ataque o vulnerabilidad, deben correr contra el tiempo para actualizar su infraestructura. Los proveedores de SASE mantienen la infraestructura de seguridad ellos mismos, abordando este problema.
Debido a que las características de seguridad pueden tener una licencia diferente, las empresas con inversiones en seguridad que no están completamente depreciadas deben decidir activar las características de seguridad de SASE o no. En muchos casos, las empresas pueden mantener las inversiones en seguridad hasta el final de su contrato para ahorrar el costo de dicha característica en la oferta de SASE. Sin embargo, en la mayoría de los casos, las empresas prefieren cancelar dichas inversiones debido a las eficiencias operativas que introduce la nueva oferta.
La arquitectura SASE es una opción atractiva
SASE es una progresión natural del desarrollo de la WAN. La nube, el acceso remoto y el acceso móvil son demasiado esenciales para pensar en ellos por separado de otras ubicaciones. La seguridad se ha vuelto inseparable de la conectividad. Las empresas no pueden dar acceso a los usuarios a nada si esas conexiones no son seguras. La adopción de SASE se convierte entonces en una cuestión menos de si, sino de cuándo. Creo que la mayoría de las empresas adoptarán SASE en los próximos cinco años. La propuesta de valor es demasiado convincente.
