Cuando todavía se podía pensar que las redes empresariales tenían un perímetro claro que había que resguardar, la ciberseguridad se centraba en proteger la infraestructura tecnológica y los datos, que por lo común se alojaban en los data centers propios de las compañías. Esto conducía a un ecosistema compuesto por numerosas herramientas y procesos discretos, todos ellos destinados a detectar a los adversarios y prevenir el daño. Este ecosistema incluía una multitud de controles que abarcaban la seguridad de la red y la infraestructura, la seguridad de las aplicaciones, el control de acceso y los controles de los procesos. Pero esos años ya quedaron atrás ya que, en el mundo actual dominado por la Nube, los retos de la seguridad se modificaron drásticamente.
En la actualidad las aplicaciones emplean proveedores de Nubes públicas o se suscriben como aplicaciones SaaS. Además, los bordes de las redes se ampliaron de manera radical, con plantillas de trabajadores distribuidas, múltiples dispositivos IoT que acceden y cada vez mayor número de proveedores y servicios de terceros con los que interactúa una empresa.
“Hoy día los servicios de las empresas pueden estar alojados en forma interna en un data center, o migrados a un esquema de infraestructura como servicio, pero ofrecido a través de un canal cifrado; también puede haber servicios bajo un modelo de suscripción como Saas o IaaS y otros que están en páginas web tradicionales. Y por otro lado tenemos usuarios que están dentro de la oficina, y otros que pueden encontrarse en cualquier lugar –por ejemplo en su casa, haciendo teletrabajo- y tan vez ni siquiera están utilizando un dispositivo corporativo”, ilustró Roberto Araneda, ingeniero de ventas de Netskope para Latinoamérica en su presentación en el marco del evento virtual POCWeek2021 organizado por Neosecure. Y agregó: “Así que los diferentes tipos de conexiones que puede generar hoy un usuario para algún servicio son bastante variadas. Ante este panorama, si se pretendiese buscar respuestas con los controles de seguridad tradicionales o segregados, resultaría sumamente complejo, y en algunos casos incluso sería imposible responder. Por ello hay que pensar en llevar adelante los controles de una forma mucho más simple”.
Quizás te interese seguir leyendo: Que la transformación digital no lo deje vulnerable
En este contexto las arquitecturas de seguridad de Servicio de Acceso Seguro en el Borde (Secure Access Service Edge o SASE), con los gateways de seguridad web de nueva generación (NG-SWG) en su núcleo, transformarán las funciones de seguridad para abordar plenamente las amenazas en la Nube. “También cambiarán la forma de pensar de los CISO sobre el papel de la seguridad para el negocio”, explicó en un artículo sobre el tema David Fairman, responsable de ciberseguridad de Netskope para la región de Asia Pacífico. Este ejecutivo visualiza a SASE como “el siguiente paso evolutivo lógico para los planes de seguridad de las organizaciones”.
Servicios de seguridad
Ocurre que a medida que aumenta el porcentaje de datos almacenados en la Nube y en las aplicaciones SaaS, los data centers de las empresas se convirtieron en un destino más de los muchos a los que hay que acceder.
En el pasado la seguridad centrada en los centros de datos consistía en proteger los perímetros y regular el tráfico. En cambio, hoy en día la seguridad en la Nube consiste “en comprender a los usuarios y las conexiones, aplicar los niveles de control adecuados y supervisar y regular el tráfico en tiempo real”, puntualizó Fairman.
Ahora que los datos están en todas partes, la red de seguridad y los servicios de seguridad asociados deben seguirlos. Esto requiere de una nueva arquitectura de red que refleje esa dispersión. Y justamente al crear una “Nube de seguridad”, SASE ofrece el diseño arquitectónico más completo para abordar este nuevo mundo.
“Bajo el modelo SASE los puntos de acceso a la red están distribuidos por todo el mundo; los servicios de seguridad también están distribuidos y operan en esos puntos de acceso. Esta Nube de seguridad se convierte en el nuevo punto de control para supervisar el tráfico y proteger a todos. Cada usuario, ya sea un empleado o un tercero, es efectivamente una sucursal más”, señaló Fairman.
En lugar de un conglomerado suelto de dispositivos de hardware y servicios separados, con cada elemento sirviendo un papel independiente en la seguridad de la red, SASE emplea una colección integrada de servicios de seguridad en tiempo real. Es decir que da lugar “a un único conjunto de servicios integrados que trabajan juntos para proteger los datos, los usuarios y las aplicaciones mediante el uso de una plataforma unificada, una sola consola de gestión y un solo motor de políticas”. Esta plataforma está respaldada por sistemas de protección de puntos finales, gestión de identidades y accesos y SIEM.
Sigue leyendo: Identidad digital: ¿Cómo evitar la suplantación?
Tecnología SASE
La arquitectura SASE se compone de dos anillos de tecnologías: “El primero tiene que ver con los métodos de acceso para llevar a los usuarios hacia los controles de seguridad, que es precisamente el segundo anillo de tecnologías que hoy en día se encuentran directamente en la Nube. ¿Qué controles de seguridad se utilizan bajo este esquema? Varios: firewall as a service, CASB, ZTNA (zero trust network access) y Cloud SWG. Además, hay otros secundarios”, detalló Araneda.
Esta arquitectura de seguridad reconoce el contexto y permite comprender lo que el usuario está haciendo en tiempo real. Y cuando está correctamente implementada habilita a inspeccionar y aplicar una política basada en ello. De este modo, en lugar de bloquear todo –como ocurría con el antiguo paradigma de ciberseguridad más rígido, que limitaba al negocio y al usuario final- SASE permite aplicar políticas basadas en el riesgo, que están optimizadas para satisfacer los intereses del negocio.
Acceso seguro en el borde
Para construir esta nueva arquitectura de seguridad uno de los primeros pasos es sustituir los gateways de seguridad web y otros dispositivos que se limitan a controlar el acceso y a observar los patrones de tráfico web en busca de amenazas por otros gateway de seguridad web de nueva generación (NG-SWG). Estos últimos “tienen en cuenta una gama mucho más amplia de funciones de seguridad de red en un sistema unificado que protege los intereses del negocio en la Nube y tiene la protección de datos en su núcleo”. Este cambio proporciona una base más consistente para la creación de capacidades de seguridad digital y hace que el trabajo de gestión del ciberriesgo se simplifique.
Como indicó Fairman, “con esta nueva arquitectura se acelerará el despliegue de una seguridad eficaz basada en políticas y se aplicará una gestión continua del riesgo”. Este cambio hará que la seguridad sea más estratégica para el negocio en su conjunto.
En Neosecure podemos acompañar la evolución de las organizaciones hacia esta nueva arquitectura de ciberseguridad, ya que somos especialistas en soluciones de seguridad de TI y modelos de seguridad cloud y actuamos como partners de Netskope, la plataforma líder en materia de SASE.
Profundiza más sobre estos nuevos paradigmas de seguridad
accediendo a la POC sobre este tema:
