SASE - Servicio de acceso seguro en el borde
Lectura de 2 min aprox.
SASE (Secure Access Service Edge, pronunciado "sassy") es una arquitectura que ofrece de forma integrada funciones de red (SD-WAN) y funciones de seguridad (SWG, CASB, ZTNA, FWaaS) desde la nube. Es un concepto propuesto por Gartner en 2019 que replantea de raíz el diseño de red tradicional centrado en el centro de datos y logra un entorno en el que los usuarios pueden acceder a las aplicaciones de forma segura y rápida desde donde quiera que se encuentren. Como marco que implementa los principios de Confianza Cero a nivel de red, se está convirtiendo en la filosofía de diseño estándar de las redes empresariales en la era del trabajo remoto.
El contexto de la propuesta de Gartner
Cuando Gartner propuso SASE en su informe de 2019 «The Future of Network Security Is in the Cloud», el cambio respondía a tres transformaciones estructurales en los entornos de TI empresariales. Primero, la difusión del SaaS hizo que la mayor parte del tráfico se dirigiera a internet. Segundo, la expansión del trabajo remoto dispersó a los usuarios fuera de la oficina. Tercero, la migración a la nube sacó las aplicaciones fuera del centro de datos. Debido a estos cambios, el modelo tradicional de inspeccionar todo el tráfico a través del centro de datos había llegado a su límite tanto en rendimiento como en costo.
Los componentes de SASE
Virtualiza la conectividad WAN y optimiza la comunicación mediante enrutamiento dinámico según la calidad del enlace
Visibilidad del uso de SaaS, detección de TI en la sombra y aplicación de políticas de protección de datos
Inspección del tráfico web, filtrado de URL y análisis de malware
Control de acceso por aplicación basado en la identidad y el contexto
Funciones de cortafuegos de nueva generación entregadas desde la nube
Comparación con el modelo tradicional de concentrador y radios
| Aspecto | Modelo de concentrador y radios | SASE |
|---|---|---|
| Ruta del tráfico | Todo el tráfico pasa por el centro de datos | Directamente a la nube desde el PoP más cercano |
| Inspección de seguridad | Equipos en el centro de datos | PoPs distribuidos en la nube |
| Usuarios remotos | Se conectan al centro de datos mediante VPN | Se conectan al PoP más cercano mediante un agente |
| Escalabilidad | Requiere añadir hardware | Escala automáticamente en la nube |
| Latencia | Latencia elevada debido al backhaul | Baja latencia por la ruta más corta |
En el modelo tradicional, incluso al acceder a Microsoft 365 desde una oficina en Tokio, el tráfico debía pasar primero por el centro de datos de la sede central (por ejemplo, en Osaka) antes de salir a internet. Con SASE, la conexión a Microsoft 365 se realiza directamente desde un PoP (Point of Presence) de Tokio, lo que reduce considerablemente la latencia.
La necesidad en la era del trabajo remoto
La expansión del trabajo remoto desde la COVID-19 ha sido el factor más importante que ha acelerado la adopción de SASE. Con la arquitectura tradicional centralizada en VPN, cuando todos los empleados se conectaban de forma remota al mismo tiempo, la puerta de enlace VPN se convertía en un cuello de botella, lo que provocó interrupciones en las operaciones en todo el mundo. Como SASE puede aplicar políticas de seguridad coherentes independientemente de dónde se encuentren los usuarios, se mantiene el mismo nivel de protección tanto si el acceso proviene de la oficina, del hogar o de una cafetería. El control de acceso al almacenamiento en la nube también puede gestionarse de forma centralizada mediante las políticas integradas de SASE.
La relación con SSE (Security Service Edge)
En 2021, Gartner definió adicionalmente el concepto de SSE (Security Service Edge). SSE es un subconjunto que comprende únicamente las funciones de seguridad de SASE, sin la función de red (SD-WAN).
Optimización de red
SWG + CASB + ZTNA + FWaaS
Para las empresas que ya han implementado SD-WAN, un enfoque realista es añadir solo SSE y construir SASE de forma gradual. Los proveedores difieren en sus áreas de fortaleza: Zscaler y Netskope son fuertes en SSE, mientras que Palo Alto Networks y VMware (ahora Broadcom) ofrecen SASE completo, incluido SD-WAN.
Un error común es creer que «implementar SASE elimina la necesidad de la VPN», pero debido al acceso a sistemas heredados y a ciertos requisitos regulatorios, la VPN no desaparece por completo. En lugar de reemplazar la VPN de golpe, un enfoque realista es reducir gradualmente la dependencia de la VPN con SASE.
Explicamos en detalle la seguridad del trabajo remoto en el artículo sobre seguridad del trabajo remoto, y los fundamentos de la VPN en el artículo sobre los fundamentos de la VPN y cómo elegirla. Consulta también la seguridad de Confianza Cero.libros sobre seguridad de redes (Amazon) también.
¿Te resultó útil este artículo?