¿Qué es Security Service Edge (ESS)?

¿Cuál es la diferencia entre SASE y SSE?

Secure Access Service Edge (SASE), presentado por Gartner en 2019, es la convergencia de las tecnologías de red y seguridad en una única plataforma en la nube para permitir una transformación segura y rápida de la nube. En esta próxima evolución de SASE, Gartner introduce un enfoque de proveedor doble que reúne una plataforma de infraestructura de borde de red de área amplia (WAN) altamente convergente junto con una plataforma de seguridad altamente convergente, conocida como Security Service Edge (SSE).

Security Service Edge (SSE), es el componente de seguridad de SASE que unifica todos los servicios de seguridad, incluidos Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) y Zero Trust Network Access (ZTNA), para asegurar el acceso a la web, los servicios en la nube y las aplicaciones privadas. La infraestructura WAN Edge, el componente de red en el marco SASE, se centra en el elemento de conectividad de la red transformando las arquitecturas de red para permitir una conectividad directa a la nube más eficiente.

En el marco de SASE, tanto las redes como la seguridad se consumen de forma unificada y se entregan como un servicio en la nube. SSE converge con la infraestructura WAN Edge para lograr una plataforma SASE completa. Los servicios de seguridad SSE incluyen:

1. Cloud Access Security Broker (CASB)
   CASB actúa como intermediario entre los usuarios y los proveedores de servicios en la nube a medida que las empresas trasladan sus activos sensibles a la nube, ayudando a resolver las deficiencias en la visibilidad de los datos, la seguridad y el cumplimiento, ampliando las políticas de seguridad de la infraestructura local existente y creando nuevas políticas para el contenido específico de la nube. El CASB integrado en un modelo SSE descubre y controla automáticamente los riesgos del software como servicio (SaaS) y sirve como proceso de seguridad basado en API para escanear las aplicaciones SaaS en busca de datos, malware e infracciones de las políticas, al tiempo que aprovecha las capacidades de análisis del comportamiento de usuarios y entidades (UEBA) y de inteligencia artificial (IA) para la prevención de amenazas en tiempo real.
2. Secure Web Gateway (SWG)
   El SWG es una ciberbarrera que actúa como un punto de control que impide que el tráfico no autorizado entre en la red de una empresa. Un SWG permite a los usuarios acceder a sitios web aprobados y seguros y los protege de las amenazas basadas en la web conectando al usuario y al sitio web mientras ejecuta funciones de protección como el filtrado de URL, la visibilidad de la web, la inspección de contenidos maliciosos y los controles de acceso a la web.
3. Zero Trust Network Access (ZTNA)
   ZTNA aplica políticas granulares, adaptables y conscientes del contexto para proporcionar un acceso seguro de Confianza Cero a aplicaciones privadas alojadas en nubes y centros de datos corporativos desde cualquier ubicación y dispositivo remotos. ZTNA actúa como un habilitador clave para SASE, transformando el perímetro de seguridad en un borde dinámico, basado en políticas y en la nube, para apoyar los requisitos de acceso de la transformación digital.
4. Data Loss Prevention (DLP)
   La DLP permite la clasificación basada en políticas del contenido de la información contenida en un objeto, normalmente un archivo, mientras está almacenado, en uso o en movimiento a través de una red. Las herramientas de DLP se utilizan para aplicar estas políticas en tiempo real con el fin de extender la protección necesaria a los elementos de datos sensibles, y limitar el acceso y los flujos de esta información, especialmente fuera de la organización, según requieran las políticas de ésta.
5. Remote Browser Isolation (RBI)
   RBI es una potente forma de protección contra amenazas web que contiene la actividad de navegación web dentro de un entorno aislado en la nube. RBI protege a los usuarios de cualquier malware o código malicioso que pueda estar oculto en un sitio web y elimina la oportunidad de que el código malicioso toque el dispositivo del usuario final.
6. Cortafuegos como servicio (FWaaS)
   FWaaS es una solución de cortafuegos basada en la nube que protege los datos y las aplicaciones en Internet. SSE utiliza FWaaS para agregar el tráfico procedente de diversas fuentes, incluidos los centros de datos in situ, la infraestructura en la nube, las sucursales y los usuarios móviles. FWaaS también ofrece una aplicación coherente y la aplicación de políticas de seguridad en todas las ubicaciones y usuarios, al tiempo que proporciona una visibilidad y un control completos de la red.

¿Cómo desplegar y gestionar SASE?

Hay dos direcciones que una empresa puede tomar para crear una solución SASE eficaz:

1. Enfoque de proveedor único. Evalúe y contrate la oferta de un único proveedor que combine una infraestructura WAN Edge y una solución SSE. Aunque este enfoque puede satisfacer los requisitos de SASE para una organización simplificando las operaciones, puede incluir la renuncia a funciones de seguridad avanzadas que sólo puede proporcionar un proveedor de SSE. A largo plazo, la falta de funciones de seguridad avanzadas puede acabar resultando más costosa si es necesario adquirir soluciones de proveedores de seguridad adicionales para cubrir las carencias.
2. Enfoque de dos proveedores. Evalúe y contrate una solución de dos proveedores que proporcione la mejor solución de su clase de infraestructura WAN Edge y una solución de seguridad SSE que haga converger los componentes CASB, SWG, ZTNA, RBI y FWaaS dentro de una oferta integrada. Este enfoque de dos proveedores simplifica y agiliza el despliegue, la gestión y el mantenimiento del sistema a largo plazo.

¿Cuáles son los beneficios de la ESS?

A medida que han aumentado las exigencias de una fuerza de trabajo y una base de clientes remotos, las empresas se han enfrentado al reto de reducir la complejidad de su estrategia de seguridad y, al mismo tiempo, mejorar la seguridad y la experiencia de los usuarios. Security Service Edge Las tecnologías consolidadas (SSE) han demostrado su eficacia a la hora de disminuir la complejidad de la protección de los puntos finales y, al mismo tiempo, aumentar la seguridad de los servicios en la nube en toda la empresa.

Una estrategia completa de SSE ofrece a las empresas un conjunto integral de tecnologías de seguridad que proporcionan beneficios a los empleados y a las partes interesadas, tanto in situ como a distancia:

• Acceso directo y seguro por Internet a aplicaciones, herramientas, datos y recursos desde cualquier lugar del mundo, al tiempo que se reduce el tráfico de procesamiento de accesos no autorizados, datos, riesgos y amenazas, mejorando el tráfico de procesamiento de accesos no autorizados, datos, riesgos y amenazas, eliminando la necesidad de encaminar el tráfico de vuelta a través del centro de datos.
• Conectividad más rápida, segura y eficaz con aplicaciones web, en la nube y privadas al acceder a los recursos de las aplicaciones desde cualquier usuario, dispositivo y lugar.
• Supervisión y seguimiento del comportamiento de los usuarios que acceden a la red
• Defensa contra amenazas dentro de la nube y desde cualquier destino web, detectando tanto los ataques nativos de la nube como el malware avanzado.
• Protección de datos a través de Internet, dentro de la nube y en movimiento de nube a nube
• Permitir un acceso seguro de Confianza Cero a datos y aplicaciones basado en la identidad del usuario, el contexto y el acceso menos privilegiado.

¿Cuáles son los principales retos que aborda la ESS?

SSE aborda los retos de seguridad fundamentales del trabajo a distancia, la habilitación de negocios digitales y la transformación de la nube. A medida que crece la adopción de SaaS, PaaS e IaaS, hay más datos fuera del centro de datos, los usuarios trabajan cada vez más a distancia y las VPN son lentas y a menudo fácilmente explotables. Todo esto es difícil de asegurar utilizando arquitecturas de red heredadas.

La ESS ayuda a las organizaciones a abordar casos de uso clave:

1. Simplificación de la administración y gestión de los controles de seguridad.
   Las organizaciones deben administrar la nube y las instalaciones locales con un mosaico de controles de seguridad diferentes y dispares que varían entre los proveedores de la nube y la infraestructura local. SSE ayuda a reducir los costes y la complejidad, permitiendo una adopción y despliegue simplificados de las políticas en los entornos de trabajo locales, en la nube y remotos.
2. Sustituir las VPN para proteger a los trabajadores remotos que acceden a aplicaciones privadas.
   Las empresas deben implantar una solución más segura para protegerse del rápido aumento de trabajadores remotos que acceden a aplicaciones privadas en entornos muy vulnerables. Las VPN presentan un riesgo de seguridad inherente al conceder implícitamente un acceso sin restricciones basado en la confianza a toda la red corporativa una vez autenticado. La capacidad ZTNA de SSE ayuda a proporcionar un acceso granular a los recursos, permitiendo los niveles adecuados de acceso para cualquier usuario, en cualquier lugar.
3. Prevenir el malware avanzado y el ransomware para proteger a los usuarios de la web.
   Las empresas necesitan detectar y mitigar el malware avanzado y otras amenazas. Muchos ataques modernos utilizan técnicas como la ingeniería social para aprovechar las características de los proveedores de la nube e imitar el comportamiento de los usuarios con credenciales legítimas. La capacidad SWG de SSE ayuda proporcionando una ciberbarrera en línea responsable de supervisar el tráfico web y evitar el tráfico no autorizado.
4. Proporcionar visibilidad y control sobre las aplicaciones SaaS.
   Las organizaciones necesitan visibilidad y control sobre los datos a los que se accede y que se almacenan en la nube, al tiempo que los protegen y detienen las amenazas en la nube desde un único punto de aplicación nativo de la nube. La capacidad CASB de SSE proporciona soporte multimodal mediante la aplicación de políticas granulares para supervisar y regular el acceso a los servicios en la nube sancionados y no sancionados.
5. Protección de datos sensibles en cualquier ubicación.
   Las organizaciones requieren la protección de los datos que residen o se mueven completamente fuera del alcance de la seguridad del perímetro para poder utilizarlos, compartirlos y acceder a ellos de forma segura. La capacidad DLP de SSE proporciona un enfoque centralizado y unificado para la protección de datos, mediante el cual las clasificaciones de datos se establecen una vez y se aplican en las políticas a través de la web, la nube y el punto final.