1 de junio de 2022
Por Michael Schneider - Director de Gestión de Productos, Skyhigh Security
"Las características son algo bonito de tener, pero al final del día, lo único que nos importa cuando se trata de nuestra seguridad web y en la nube es la arquitectura". - no dijo nunca ningún cliente.
El hecho es que a nadie le gusta hablar de arquitectura cuando compra la última y mejor tecnología de ciberseguridad, y la mayoría de las organizaciones se han contentado con seguir encajando las nuevas herramientas y capacidades de seguridad en sus arquitecturas tradicionales existentes. Sin embargo, los proyectos de transformación digital, incluida la migración a la nube y el acceso móvil ubicuo, han revelado grietas en la arquitectura, y muchas empresas han visto reventar el dique con la explosión de la demanda de acceso remoto en los últimos meses. Como resultado, las organizaciones se están dando cuenta de que la transformación digital exige la correspondiente transformación de la arquitectura de red y de seguridad.
El marco de trabajo Secure Access Service Edge (SASE) proporciona a las organizaciones un modelo para lograr esta transformación al reunir la tecnología de red y de seguridad en un único servicio suministrado desde la nube que garantiza un acceso rápido, seguro, fiable y rentable a los recursos web y de la nube. En este blog, nos centramos en las oficinas remotas y en la combinación de SD-WAN y capacidades de próxima generación Secure Web Gateway que Skyhigh SSE puede habilitar para la transformación digital.
La nube y el dilema arquitectónico
En el pasado, las organizaciones se concentraban en gran medida en un número limitado de ubicaciones. Las aplicaciones y los datos se alojaban en servidores situados en un centro de datos central de la red de área local, normalmente en la sede central o cerca de ella. Los usuarios solían trabajar en la oficina, por lo que también se encontraban en ella y accedían a los recursos corporativos en la misma red. Rodeando esta red había un perímetro de controles de seguridad que podían inspeccionar todo el tráfico que entraba o salía de la organización, manteniendo a salvo los recursos de confianza y manteniendo fuera a los malos. Los usuarios remotos y las sucursales se conectaban lógicamente a esta red central mediante tecnologías como VPN, MPLS y líneas alquiladas, de modo que se podía mantener el perímetro de red seguro.
Aunque este enfoque fue suficiente durante años, la transformación digital ha creado grandes retos. Las aplicaciones y el almacenamiento de datos han migrado a la nube, por lo que ya no residen en la red corporativa. La lógica dictaría que el enfoque óptimo sería que los usuarios y las oficinas remotas tuvieran acceso directo a los recursos de la nube sin tener que volver a pasar por la red corporativa. Pero esto tendría como consecuencia que el perímetro de seguridad informática de la organización se eludiría por completo, lo que significaría una pérdida de visibilidad y control de la seguridad, con los consiguientes riesgos inaceptables para la seguridad y el cumplimiento de la normativa.
Los arquitectos de redes y seguridad de todo el mundo se enfrentan al mismo dilema: ¿cuál es la mejor manera de permitir la transformación digital sin grandes compromisos? Por lo general, las organizaciones han seguido uno de los cuatro enfoques arquitectónicos siguientes en función de su voluntad de adoptar nuevas tecnologías y aunarlas.
Vamos a discutir aquí estas cuatro opciones y a evaluarlas en función de cuatro factores: seguridad, velocidad, latencia y coste. Los resultados mostrarán que sólo hay una forma de conseguir un acceso rápido, seguro y rentable a los recursos web y de la nube.
Enfoque 1: STATUS QUO
Debido al riesgo de perder la visibilidad y el control de la seguridad, muchas organizaciones se han negado a permitir la reestructuración "directa a la nube". Así, incluso cuando los enlaces de Internet de alta velocidad podrían conectar a los usuarios directamente con los recursos de la nube y la web, este enfoque requiere que todo el tráfico siga siendo empujado a través de enlaces MPLS más lentos de vuelta a la red corporativa, y luego vuelva a salir a través de una única tubería de Internet agregada para acceder a los recursos de la web y la nube. Aunque en teoría esto mantiene la visibilidad y el control de la seguridad, tiene un gran coste.
Para empezar, la experiencia del usuario se ve muy obstaculizada por un rendimiento deficiente. El ancho de banda se resiente por el lento enlace MPLS de vuelta a la oficina corporativa, así como por la congestionada conexión a Internet de la empresa. Además, los saltos de red adicionales y el aumento de la contención de la red provocan una alta latencia, que se ha visto drásticamente amplificada en los últimos meses, ya que la cantidad de tráfico remoto que se retroenvía a través de la red corporativa se ha disparado mucho más allá de las expectativas de diseño originales. Estos factores ni siquiera tienen en cuenta el impacto potencial de las interrupciones del servicio provocadas por la introducción de un único punto de fallo en la arquitectura de red.
Además de un rendimiento deficiente, existe un coste financiero tangiblemente mayor asociado a este enfoque. Las líneas MPLS múltiples que conectan las sucursales al centro de datos corporativo son considerablemente más caras que la conectividad pública a Internet. Además, para acomodar el enrutamiento de TODO el tráfico de los usuarios, las organizaciones necesitan aumentar drásticamente la inversión en la capacidad de su red central y de la infraestructura del perímetro de seguridad, así como el ancho de banda de la tubería compartida de Internet.
Así que nos vemos en la necesidad de encontrar una respuesta a largo plazo a los retos de velocidad, latencia y coste. Estas consideraciones son las que han llevado a muchos arquitectos de redes a proceder a desplegar SD-WAN.
Enfoque 2a: IR DIRECTO A LA NUBE CON SD-WAN
El primer paso para ofrecer una arquitectura preparada para la nube es eliminar el cuello de botella en el que se incurre al obligar a enrutar todo el tráfico a través de las lentas líneas MPLS hasta la red central y luego de vuelta a la nube. La tecnología SD-WAN puede ayudar en este sentido. Al desplegar equipos SD-WAN en el extremo de la red de la sucursal, se pueden crear políticas de tráfico optimizadas que dirijan el tráfico directamente a los recursos web y de la nube mediante conexiones a Internet rápidas y asequibles, al tiempo que se utiliza la misma conexión a Internet para enviar únicamente el tráfico con destino al centro de datos directamente de vuelta a la red corporativa a través de un conjunto dinámico de túneles VPN. La optimización de la WAN y la QoS, así como otras funciones de red periférica y de seguridad, como el filtrado de cortafuegos, que son más adecuadas para ser realizadas en el extremo de la red, ofrecen la experiencia de usuario más rápida y fiable, al tiempo que minimizan la carga de tráfico en la red central.
Al emplear SD-WAN, los arquitectos de redes pueden conseguir un ahorro sustancial de costes al eliminar los costosos enlaces MPLS de vuelta al centro de datos corporativo. Además, los usuarios no se ven limitados por el ancho de banda mucho más lento de esas líneas MPLS.
Sin embargo, este modelo presenta importantes inconvenientes. Aunque las soluciones SD-WAN cuentan con una serie de sólidas capacidades de control de flujo que pueden distribuirse a cada sitio remoto -incluidos cortafuegos, protección DNS y ofuscación de datos-, no tienen las mismas capacidades sólidas de protección de datos y amenazas que las organizaciones han incorporado a la seguridad del perímetro de su red. Por lo tanto, los arquitectos siguen necesitando redirigir todo el tráfico a través de Internet de vuelta al centro de datos, ¡incluso si ese tráfico está destinado en última instancia a salir de nuevo a Internet! Así que, aunque la velocidad y la rentabilidad de esta conexión han mejorado mucho en comparación con el modelo antiguo, la necesidad de seguir retrotransmitiendo el tráfico presenta los mismos retos de latencia y congestión.
Enfoque 2b: Skyhigh Security Service Edge
Así pues, si las rutas de tráfico tienen que volver al centro de datos corporativo para que las organizaciones mantengan la visibilidad y el control de la seguridad, pero la mayoría de los recursos a los que acceden los usuarios están en la nube, ¿no tendría sentido situar los controles de seguridad en la nube una ruta de tráfico más directa y segura? Entre en Skyhigh Security Service Edge.
Skyhigh Security's Next-Gen Secure Web Gateway proporciona un borde seguro hiperescalar, nativo de la nube, rápido como el rayo y fiable al 99,999%. Mediante la convergencia de las tecnologías SWG, CASB y DLP y Remote Browser Isolation , Skyhigh SSE garantiza que los usuarios y las oficinas remotas disfruten de los niveles más sofisticados de protección frente a amenazas, datos y aplicaciones en la nube, así como de capacidades únicas de gestión proactiva de riesgos que incluso superan lo que es posible en un marco de seguridad tradicional en las instalaciones.
Tan importante como las capacidades avanzadas de seguridad es el hecho de que Skyhigh SSE está construido sobre una base rápida, fiable y escalable. Gracias a una red global de Punto de Presencia (POP) y a unas relaciones de peering únicas, Skyhigh SSE puede extender un borde seguro a hiperescala allí donde los usuarios lo necesiten. A pesar de un aumento del tráfico del 240% durante la primavera de 2020, Skyhigh Security pudo mantener una disponibilidad del 99,999% y cumplió todos los requisitos de latencia estipulados en nuestros acuerdos de nivel de servicio. Las organizaciones pudieron contar con nuestra infraestructura en los momentos más difíciles, y podrán seguir haciéndolo en el futuro.
Suscribiéndose a una conexión pública a Internet asequible en la sucursal y conectándose a Skyhigh SSE, los clientes pueden conseguir muchas de las ventajas deseadas. Sus amplias capacidades de protección de datos, amenazas y aplicaciones en la nube satisfacen con creces los requisitos de seguridad. Y para la mayor parte del tráfico de usuarios destinado a la web o a la nube, la conexión directa a Internet garantiza un acceso rápido y de baja latencia.
Sin embargo, si no despliegan SD-WAN junto con Skyhigh SSE, las organizaciones seguirán necesitando esos enlaces MPLS lentos y caros para mantener la conectividad con sus aplicaciones y recursos de centros de datos heredados. Por lo tanto, los clientes no podrán obtener ahorros de costes y esas conexiones a los recursos del centro de datos sufrirán los mismos retos de velocidad y latencia. Y ahí es donde llegamos por fin a la arquitectura de seguridad en la nube ideal, uniendo Skyhigh SSE con SD-WAN.
Enfoque 3: Skyhigh Security SSE + SD-WAN = SASE
Al reunir Skyhigh SSE con SD-WAN en una solución perfectamente integrada, las organizaciones pueden ofrecer SASE y construir una arquitectura de seguridad de red adecuada para la era de la nube. Skyhigh Security hace posible que los clientes puedan converger fácilmente Skyhigh SSE con prácticamente cualquier solución SD-WAN a través de un sólido soporte nativo para la conectividad SD-WAN, aprovechando los protocolos estándar de la industria Dynamic IPSec y GRE. A través de esta integración, los clientes se benefician de la gama completa de capacidades esenciales de SASE, con SD-WAN proporcionando la funcionalidad de red integrada y SSE proporcionando las capacidades de seguridad. Skyhigh Security ha apoyado a sus socios de canal en la entrega con éxito de proyectos SWG conjuntos SD-WAN-nube con muchos de los principales proveedores de SD-WAN del mercado, y ha forjado estrechas alianzas con los líderes de la industria a través de su programa de socios de integración.
Entonces, ¿cómo satisface una solución combinada UCE-SD-WAN los cuatro requisitos arquitectónicos? La seguridad se aborda claramente mediante las capacidades de protección de amenazas, datos y aplicaciones en la nube de Skyhigh Security, así como las capacidades de cortafuegos distribuido que ofrece SD-WAN. Al utilizar una única conexión rápida a Internet, SD-WAN es capaz de dirigir el tráfico de forma inteligente y eficaz directamente a los recursos de la nube o de vuelta al centro de datos corporativo. Con Skyhigh SSE proporcionando seguridad directamente en la nube, SD-WAN puede reenviar el tráfico web y en la nube directamente, sin ninguna latencia excesiva. El ahorro de costes procede de la eliminación de las costosas líneas MPLS y, dado que la mayor parte del tráfico ya no necesita retroceder a través del centro de datos corporativo, se pueden conseguir ahorros adicionales reduciendo el ancho de banda de la red central y la capacidad de la infraestructura.
Construya hoy mismo una arquitectura de seguridad de red preparada para la nube
La transformación digital representa la próxima gran revolución tecnológica, y la capacidad de las organizaciones para pasar a la nube y dotar a sus plantillas distribuidas de un acceso rápido, seguro, sencillo y fiable determinará probablemente su éxito en la nueva era. SASE representa la mejor forma de conseguir una arquitectura directa a la nube que no comprometa la visibilidad y el control de la seguridad, el rendimiento, la complejidad o el coste. Al integrar perfectamente nuestra solución Skyhigh SSE con SD-WAN, nunca ha sido tan fácil para las organizaciones ofrecer SASE a las oficinas remotas. Como resultado, los usuarios se beneficiarán de una mayor productividad, el personal de TI disfrutará de una mayor eficacia operativa y las empresas disfrutarán de un ahorro de costes excepcional como resultado de una infraestructura consolidada y un tráfico de red optimizado.
Volver a Blogs