El modelo Security Service Edge
Los planteamientos basados en el modelo Security Service Edge permiten mejorar el nivel de ciberseguridad sin estar vinculados a una red. Lo ideal es que la seguridad sea proporcionada por la nube, que puede rastrear la conexión entre el usuario y la aplicación, independientemente de su ubicación.
Security Service Edge (SSE) es la evolución natural del modelo SASE de Gartner. Al eliminar la "A" de "acceso", se hace obvio que la red ya no se considera parte de la solución de seguridad. Se transforma en un mero elemento que transporta los datos a la plataforma de seguridad y control. Se reconoce así que la seguridad debe actuar con independencia del elemento red para abarcar los escenarios de aplicación emergentes en la nube, la computación de borde, el IoT, la IO o incluso el 5G.
Las soluciones SSE están diseñadas para responder a los retos de seguridad más importantes a los que se enfrentan las organizaciones en esta era de trabajo híbrido, aplicaciones en entornos multi cloud, computación de borde y la digitalización de su tecnología de operaciones (OT).
A medida que las organizaciones incorporan soluciones de software e infraestructura como servicio (SaaS, IaaS), sus datos y aplicaciones se alejan cada vez más de los centros de datos en local. Además, cada vez hay más usuarios nómadas que se conectan a sus aplicaciones y datos en la nube desde cualquier lugar y desde múltiples tipos de dispositivos.
Cada vez es más difícil proteger el acceso a las aplicaciones en la nube para los usuarios que se desplazan, porque las tecnologías tradicionales siguen estando ligadas al uso y al uso del centro de datos, lo que hace que el trayecto entre el usuario y el dispositivo y entre la carga de trabajo y el servicio sea complicado. Esto se suma a un mayor riesgo de amenazas avanzadas o ataques de ransomware.
El enfoque basado en SSE permite ampliar el nivel de ciberseguridad sin estar atado a una red. La seguridad es aportada por la nube, que puede rastrear la conexión entre el usuario y la aplicación, independientemente de su ubicación. El hecho de que todos los servicios de seguridad estén vinculados de manera coherente reduce el riesgo de superficies de ataque.
Con SSE, el equipo de TI tiene una visión completa de todos los flujos de datos, independientemente de los canales elegidos para acceder a las aplicaciones. Gracias a estar basado en la nube, las actualizaciones de seguridad se realizan automáticamente para todos los usuarios, sin el característico desfase que supone la administración manual de TI.
A la hora de seleccionar una solución SSE conviene tener en cuenta estos 7 puntos:
1 - Disponibilidad y resiliencia globales
Cuando las empresas subcontratan a un proveedor de la nube toda la infraestructura de seguridad de todas las operaciones, necesitan una solución que esté disponible en todo el mundo, sea escalable y esté a prueba de fallos. Además, es necesario examinar la base tecnológica en la que se sustenta su funcionamiento para responder a las exigencias de las empresas de hoy.
El usuario debería obtener siempre de forma automática, la conexión con el servicio de seguridad que ofrezca el mejor rendimiento y permitir así el procesamiento de los datos en el borde para evitar la latencia.
2 - Seguridad de confianza cero
Zero Trust es la llave para proporcionar la funcionalidad SSE correcta para cada servicio. Debe ser capaz de controlar la seguridad desde el lugar de origen del tráfico hasta su destino a través de un proceso de control individual basado en políticas de acceso. Con un esquema Zero Trust, cada persona y dispositivo es tratado individualmente y sólo se le otorga acceso a lo que está autorizado. La solución SSE debe controlar el acceso sobre la base de la regla del mínimo privilegio, que concede a cada usuario o dispositivo individual el acceso a las aplicaciones en función de sus derechos de acceso.
Esta microsegmentación de todas las fuentes, que pueden ser usuarios, máquinas IoT o incluso cargas de trabajo, impide la propagación lateral de los ataques en un entorno TIC. Como ya no se ven las aplicaciones y los servicios expuestos a Internet de esta manera, se reduce la superficie de ataque que tienen los ciberdelincuentes y se minimiza el riesgo.
3 - Inspección de TLS completa y escalable
El examen del tráfico de datos cifrados, incluido el de los códigos maliciosos que puedan ocultarse en él, constituye la base de otras características de seguridad de SSE. Conviene escoger una plataforma SSE que pueda proporcionar inspección utilizando el protocolo de seguridad TLS/SSL a una escala global. Al unificar las tecnologías esenciales de protección de datos, una plataforma SSE ofrece una mayor visibilidad y simplicidad en todos los canales de datos.
La función DLP en la nube facilita la búsqueda, clasificación y protección de los datos sensibles (incluidos los datos personales o la propiedad intelectual) para garantizar el cumplimiento de las políticas.
4 - Flexibilidad de cara a futuros escenarios de aplicaciones
Ante las nuevas tendencias de edge computing y 5G, la capacidad de operar aplicaciones de forma segura en el borde y supervisar la comunicación del tráfico de datos, independientemente del mecanismo de transmisión utilizado, juega un papel importante. A medida que avance la disponibilidad del 5G, surgirán aplicaciones que lleven sus datos captados por los sensores al borde a través del estándar wireless para su posterior procesamiento.
Por ello, el modelo SSE debe operar con independencia de la red y soportar la funcionalidad de la computación de borde, que ya se está abriendo camino en las tecnologías operativas o en los entornos del IoT.
5 - Centrarse en la experiencia del usuario
Cuando se trata de seguridad, la experiencia del usuario con las soluciones de seguridad debe situarse siempre en el centro del proceso. Lo ideal es que le sea indiferente la solución de seguridad que protege sus flujos de datos, que no se vea obstaculizado en su trabajo ni tenga que intervenir personalmente, como ocurre con una solución VPN.
El objetivo es garantizar una experiencia de usuario fluida al utilizar SSE. Si las políticas no se adecuan a las necesidades del usuario, estas pueden ser corregidas por el departamento de TI.
6 - Integración en un ecosistema de socios
El ecosistema de socios es importante a la hora de elegir una solución SSE. Ningún proveedor del sector de la seguridad puede prescindir de socios tecnológicos que, por ejemplo, proporcionen integración en la nube, AWS o Azure, o detección de dispositivos finales y SD-WAN.
Las integraciones deben tener lugar dentro de un ecosistema sólido, a través de API, donde los socios aportan conocimientos y experiencia en áreas específicas para trabajar en la orquestación de la automatización. Por ejemplo, el socio de la SD-WAN dirige el tráfico de datos a la plataforma de seguridad y es responsable de la conexión en el marco tradicional de SASE.
7 - No comprar sin hacer las pruebas necesarias
Cualquier organización que quiera probar un servicio de SSE debe hacerlo exhaustivamente. Un proyecto con un número limitado de usuarios o emplazamientos, no da idea del rendimiento del sistema en general. También impide ver cualquier restricción o carencia que, de otro modo, solo aparecería durante la implementación en el backend y podría dilatar el despliegue. Por ello, es recomendable realizar un test TLS: un proceso especialmente importante que revela el rendimiento del sistema.
La administración del servicio debe ser relativamente fácil para el departamento de TI gracias a una interfaz de usuario central. Es necesario también revisar una lista de verificación del rendimiento y la escalabilidad para evaluar todo el enfoque de SSE.
Cualquiera que tenga en cuenta estos siete puntos clave a la hora de elegir una solución de SSE puede estar seguro de que está eligiendo un planteamiento preparado para el futuro y que cumple con los requisitos de un entorno de trabajo en la nube.
Nathan Howe, vicepresidente de tecnologías emergentes de Zscaler
