SASE

1. SERVICIO DE SEGURIDAD GESTIONADA

1. COMO HAN EVOLUCIONADO LAS REDES

Vivimos en la era de la transformación digital y de la nube. Los usuarios y las aplicaciones están saliendo del perímetro tradicional de la red, con acceso a un número cada vez mayor de aplicaciones alojadas en la nube pública, ya sean de software como servicio (SaaS), plataformas como servicio (PaaS) o infraestructuras como servicio (IaaS). Las organizaciones se enfrentan al desafío de proteger de manera proactiva a sus usuarios, aplicaciones y datos de las amenazas a la seguridad sin poner en peligro la experiencia del usuario.

El auge de la informática móvil, la informática móvil y remota, presenta nuevos desafíos en materia de redes y seguridad que la conectividad de acceso remoto tradicional no puede abordar porque no se ha diseñado para ello. En los últimos años, los dispositivos móviles se han convertido en la plataforma ideal de los delitos cibernéticos y de las amenazas a la ciberseguridad de las organizaciones. Sin embargo, estas todavía están tratando de encontrar la manera de proteger estos dispositivos móviles, sobre todo porque suelen contener una combinación de datos empresariales y personales, y se utilizan tanto dentro como fuera de la red de la empresa. Estas son algunas de las principales amenazas para la seguridad remota en la actualidad:

• Phishing: en el pasado, los ataques de phishing se perpetraban principalmente por correo electrónico. Hoy en día, tienen lugar en la mayoría de los casos a través de canales móviles, como mensajes de texto, Facebook Messenger, WhatsApp y sitios web falsos que parecen legítimos.

• Malware móvil: todos los sitios web que se visitan o los enlaces que se siguen tienen potencial para infectar los dispositivos móviles con malware, como spyware, ransomware, virus troyanos y adware, entre otros. Este riesgo de infección por malware suele ser más alto en los dispositivos móviles que en los ordenadores de sobremesa o portátiles, porque la mayoría de los usuarios itinerantes no instalan software contra malware en sus teléfonos y tabletas, y ni siquiera son conscientes de esta amenaza.

• Redes WiFi públicas falsas: actualmente, muchos trabajadores itinerantes utilizan redes WiFi públicas en cafeterías, aeropuertos, restaurantes y otros lugares cuando trabajan fuera de la oficina. Los ciberdelincuentes lo saben y, a menudo, aprovechan estas redes para engañar a los usuarios de dispositivos móviles para que se conecten a redes WiFi falsas, lo que puede poner en peligro los datos confidenciales.

• Aplicaciones maliciosas: el mundo está lleno de aplicaciones de software que pueden usarse a través de Internet o descargarse de páginas web (como el App Store de Apple y el Play Store de Google). Muchas de estas aplicaciones son legítimas y pueden usarse con total seguridad, pero también hay miles de ellas que no lo son. Por lo tanto, descargar una aplicación o concederle permiso para que acceda a ciertas funciones de un dispositivo móvil puede exponer a la empresa del usuario a una serie de riesgos de seguridad y privacidad. Algunas aplicaciones incluso recopilan datos sin pedir autorización al usuario.

• Fugas de datos: las fugas de datos se producen cuando estos se transfieren sin autorización o accidentalmente desde dentro de la organización a un tercero o destino externos. Detrás de las fugas de datos puede haber una transferencia involuntaria de datos confidenciales o privados por parte de un empleado a una aplicación en la nube no autorizada o no aprobada, una distribución excesiva de datos confidenciales o privados en aplicaciones para compartir o almacenar datos en la nube pública, o el robo deliberado de datos de empresa por parte de un atacante o un empleado descontento. Los dispositivos móviles, que suelen contener datos empresariales y personales, hacen que sea todavía más fácil difuminar los límites, sea de forma involuntaria o no.

EL IMPACTO SOBRE LAS REDES DE SUCURSALES Y LAS ARQUITECTURAS WAN 

A principios de la década del 2000, las redes de conmutación de etiquetas multiprotocolo (MPLS, por sus siglas en inglés) comenzaron a reemplazar el modo de transferencia asíncrono tradicional (ATM, por sus siglas en inglés) y las arquitecturas WAN radiales de alquiler privado. Durante la década siguiente, MPLS se convirtió en la arquitectura WAN empresarial más habitual. Las redes MPLS facilitaban una conexión de red básica entre las sucursales y las sedes centrales o los centros de datos. Este diseño funcionaba bien porque, en aquel momento, la mayor parte del tráfico de red tenía lugar entre los ordenadores de sobremesa de clientes ubicados en sedes centrales y sucursales y las aplicaciones comerciales alojadas en los servidores del centro de datos local. El volumen de tráfico de Internet era relativamente bajo y normalmente consistía en correos electrónicos y navegación por páginas web estáticas. Todo el tráfico de Internet, incluido el tráfico desde las sucursales, que atravesaba la conexión MPLS hacia las oficinas centrales o las instalaciones de centros de datos, se enviaba a través del cortafuegos perimetral para proteger la seguridad. Se podía inspeccionar todo el tráfico de red y el cortafuegos perimetral podía aplicar una política de seguridad centralizada. Con el aumento del uso de Internet, muchas sucursales comenzaron a experimentar problemas de rendimiento y latencia a medida que el tráfico de Internet se desviaba a través de la conexión MPLS y se inspeccionaba con el cortafuegos perimetral, lo que generaba cuellos de botella. La red MPLS estaba cada vez más congestionada, lo que afectó negativamente al tráfico tanto de Internet como del centro de datos.

La rápida adopción de aplicaciones SaaS basadas en la nube aumentó exponencialmente este problema, lo que puso punto y final al uso de las conexiones MPLS. Las organizaciones comenzaron a proporcionar a sus sucursales conexiones de acceso directo a Internet (DIA, por sus siglas en inglés), como la banda ancha, a través de proveedores de servicios de Internet (ISP, por sus siglas en inglés) locales para eliminar parte de esta congestión.

Añadir conexiones DIA en las sucursales alivió algunos de los problemas de congestión de la red, pero presentó nuevos desafíos. Entre los problemas que afectaban a la red figuraban los siguientes:

• Complejidad del enrutamiento: los enrutadores deben configurarse para enviar tráfico a través del enlace de red apropiado (por ejemplo, el tráfico del centro de datos a través del enlace MPLS y el tráfico de Internet a través del enlace DIA). En la mayoría de los casos, la solución más simple es configurar rutas estáticas, que solamente ofrecen una resiliencia limitada.

• Uso ineficaz del ancho de banda: en ciertos casos, es posible configurar un equilibrio de carga básico de tipo round robin (repartiendo las peticiones de Internet entre los servidores disponibles de forma cíclica), pero normalmente no se dispone de algoritmos más avanzados que tengan en cuenta la distancia, el coste, la carga de trabajo u otros factores ponderados. Como resultado, es posible que haya ocasiones en las que el enlace DIA esté congestionado, pero el enlace MPLS (que de otro modo podría usarse para desviar el tráfico de Internet a través de la conexión a Internet de la sede central o el centro de datos) esté relativamente inactivo.

• Complejidad de la gestión: en muchos casos, el ISP local proporciona un enrutador básico para el enlace DIA y no ofrece al cliente acceso para su gestión. Incluso si el cliente dispone de este acceso, es posible que los enrutadores del ISP no sean del mismo tipo que los enrutadores MPLS. Esto significa que existen diferentes interfaces de gestión, sistemas operativos y herramientas de administración remota, a lo que se suman las distintas ubicaciones remotas, ISP y modelos de enrutadores que se deben gestionar.

En cuanto a la seguridad, entre los problemas que plantea esta arquitectura WAN evolucionada se incluyen los siguientes:

• Pérdida de visibilidad y control: puesto que la mayoría del tráfico de red que atraviesa la conexión DIA en oficinas remotas está destinada a Internet y la nube, los equipos de seguridad de la empresa ya no pueden ver el tráfico ni aplicar políticas de seguridad desde un cortafuegos perimetral del centro de datos centralizado, lo que aumenta el riesgo significativamente.

• Falta de integración e interoperabilidad: para abordar la pérdida de visibilidad y control, muchas organizaciones implementan cortafuegos, sistemas de prevención de intrusiones (IPS, por sus siglas en inglés), filtros de contenido web, herramientas de prevención de pérdida de datos (DLP, por sus siglas en inglés) y otras soluciones de seguridad específicas en sus oficinas remotas. Estas soluciones suelen proceder de distintos proveedores con funciones de integración limitadas o nulas. Esto hace que sea más difícil para los equipos de seguridad correlacionar eventos e implementar una estrategia de seguridad empresarial cohesionada.

• Complejidad de la gestión: el hecho de que convivan varias soluciones de seguridad de distintos proveedores significa que existen diferentes interfaces de gestión, sistemas operativos y herramientas de administración remota, a lo que se suman las distintas ubicaciones remotas que se deben gestionar. Este problema de complejidad de la gestión se intensifica en lo que respecta a la seguridad (en comparación con la red), debido al volumen y los tipos de información de seguridad que deben analizarse diariamente desde todas estas herramientas.

LA VISIÓN DE SASE

Para abordar el cambio en los requisitos de redes y de seguridad, se necesita una nueva arquitectura. Gartner describe el modelo conocido como servidor perimetral de acceso seguro o SASE (pronunciado «sasi»). Una solución SASE combina los servicios de redes y seguridad en una solución unificada, basada en la nube (véase la figura 1-1) y que incluye lo siguiente:

...