España
Reino Unido
Italia
Portugal
Autor/a: Nuria Andrés, Cybersecurity Account Manager, Business Developer de Forcepoint
La epidemia del COVID-19 que nos asola ha forzado a muchas empresas a adoptar el teletrabajo en tiempo récord. De hecho, los primeros días de confinamiento, ¿quién no ha estado configurando VPNs? Efectivamente, en un primer momento, la máxima prioridad fue proporcionar conectividad a los usuarios para que, desde sus casas, pudieran acceder a los servicios corporativos y también poder proteger, por ejemplo, su navegación web utilizando los proxys corporativos.
Pero, parémonos a pensar un instante. Realmente, ¿dónde se encuentran dichas aplicaciones corporativas?, ¿en nuestros propios data centers on-premise o en el cloud? Por ejemplo, en mi caso, en mi compañía, utilizamos como solución de correo 0365, nuestro CRM es Salesforce, usamos como herramienta de recursos humanos Workday, somos también usuarios de Microsoft OneDrive, y como solución de colaboración, utilizamos tanto Microsoft Teams como Zoom.
Por tanto, en este escenario, ¿de verdad tiene sentido configurar VPNs contra nuestros servicios centrales, para desde ahí, volver a sacar el tráfico hacia Internet, aplicaciones SaaS, IaaS o PaaS? ¿No tendría mucho más sentido poder conectar y securizar los accesos de los usuarios, directamente, desde su casa o desde donde se encuentren, hacia Internet?
Efectivamente, el perímetro como lo hemos conocido hasta no hace demasiado tiempo se ha diluido. El nuevo perímetro debe ser ahora mismo el propio usuario. Ahora más que nunca, debido a la pandemia que estamos padeciendo, tenemos muchos empleados trabajando desde sus casas, pero los datos también han ‘volado’ al cloud. En definitiva, tenemos datos y usuarios, por todas partes, y, por tanto, tenemos que redefinir nuestras estrategias de seguridad.
Es hora de proteger el cloud, desde el cloud. Y aquí, es donde surge un nuevo concepto, bautizado por Gartner como SASE (Secure Access Service Edge). SASE es la convergencia de la conectividad WAN (SD-WAN) para usuarios, grupos de usuarios (oficinas remotas) o incluso dispositivos IoT y servicios de seguridad de red como NGFW, CASB o Zero Trust, dentro de un único modelo de servicio cloud.
En este sentido, el principal objetivo de SASE es, en función de la identidad del usuario e independientemente de su conectividad ya sea ADSL o 5G, provisionar desde el cloud en tiempo real políticas de seguridad de red. El concepto ‘as-a-service’ se aplica a soluciones de seguridad, tales como NGFW, prevención de amenazas avanzada, Proxy o DLP. De este modo, se podrán monitorizar continuamente las conexiones de los usuarios, e incluso aplicar, de manera dinámica, diferentes políticas de seguridad.
Además, SASE tiene otras ventajas, como no tener que empezar a desplegar ‘cajas’, me refiero a appliances HW, en ninguna oficina. De este modo, se reducirán los costes de provisión y también los de operación, porque se dispondrá de una única consola de gestión.
Quizás, en este punto, usté está pensando: “esto del SASE es un invento de Gartner y, hoy por hoy, es pura ciencia ficción”. Pero sinceramente, desde mi punto de vista, el modelo SASE ha venido para quedarse y, por tanto, a corto plazo, sí creo que, en nuestras estrategias de seguridad de red, hay que tener en cuenta ciertas aspectos muy relevantes en el nuevo contesto, como empezar a proteger ya mismo el cloud, desde el cloud.
Por ejemplo, en lugar de adoptar modelos de navegación con proxys on-premise centralizados, optemos por proxys híbridos o cloud, que proporcionen, además, funcionalidades tales como ‘Remote Browser Isolation’. Es decir, a nivel de usuario, soluciones que permitan aislar la navegación web del dispositivo y llevar a cabo una detección avanzada de malware o ransomware. De este modo, no necesitaremos configurar VPNs para controlar la navegación web de nuestros usuarios. Podrán acceder directamente a Internet, pero de manera segura.
Protejamos también nuestras aplicaciones SaaS, IaaS o PaaS, con uno de los vocablos de moda, las soluciones CASB. Este tipo de soluciones nos permitirán controlar qué usuarios están accediendo a nuestras aplicaciones cloud, qué tipo de información están compartiendo y con quién están, desde dónde están accediendo, qué tipo de dispositivo están utilizando... y, por supuesto, podremos aplicar distintas políticas de seguridad a todas estas acciones. Por ejemplo, que nadie pueda acceder a nuestro Microsoft OneDrive si no es desde un dispositivo gestionado.
Asimismo, en la protección de oficinas remotas, despleguemos soluciones SD-WAN, pero integrando no solo funcionalidades típicas desde el punto de vista de red –como son QoS, Traffic Shaping o Path Selection–, sino también desde el punto de vista de seguridad como pueden ser NGFWs o NGIPS.
En este punto, habrá quien considere que Proxys Híbridos o Cloud, CASB o soluciones SD-WAN, no es lo mismo que SASE. Y sí, tienen razón, pero desde luego, son estrategias de seguridad que nos permitirán adoptar de una manera mucho más rápida un modelo SASE a corto plazo. Además de evitar los cuellos de botella originados, actualmente, por las VPNs tradicionales.
Según Gartner, en el año 2024, habrá un 40% de compañías que habrá adoptado una estrategia SASE, por lo que los fabricantes que se posicionen en este nuevo modelo en los próximos 3 años serán los líderes del mercado de la ciberseguridad de mañana. ¿Quiénes serán? ¿Alguna apuesta?
Puedes consultar el artículo original en el Nº1 de la Revista ClickCiber.