SASE Journey

Primero definamos SASE. Si no es una sigla complicada, no es sistemas. SASE es un concepto de seguridad y networking que busca asegurar el acceso a los activos informáticos desde cualquier sitio y sin importar si estos están en el datacenter, en el cloud o muchos clouds.

El uso cada vez más frecuente de SaaS, la conexión directa a internet de las sucursales y el teletrabajo ya establecido hacen que debamos repensar muchas de nuestras herramientas de seguridad. SASE es un marco en el que se encuentran herramientas de seguridad y redes con enfoque de acceso sin distinción si estas son nube u on-premises.

Me gusta hablar de SASE como un checklist. Un roadmap en el que podemos comparar nuestras herramientas y funciones de seguridad y redes actuales con las que propone SASE. Algunas de las funciones/herramientas que se mencionan regularmente son: SD-WAN, WAN Optimization, VPN, Content Delivery, Secure Web Gateway, Cloud Access Security Broker, Zerto Trust Network Access y Firewall-as-a-Service.

Analicemos algunos de ellos:

SD-WAN

Acercar la salida a internet y simplificar la gestión de grandes redes distribuidas ya es parte de todo proyecto de Network Transformation. SASE lo proyecta como una de sus bases y dependiendo de la bibliografía trata a los usuarios en trabajo remoto como una extensión más de SD-WAN. La optimización de la WAN y las funciones de Content Delivery y/o caching tienen mucho qué ver con SD-WAN, la primera siendo una función más de la solución (en algunos casos), y el acceso a contenidos puede verse como una branch más de acuerdo a la topología.

VPN de acceso remoto

Las VPNs de acceso remoto están con nosotros desde hace mucho tiempo, cuando el trabajo empezó a salir de las oficinas físicas necesitamos establecer túneles seguros para el acceso a la infraestructura. Esto era sencillo cuando accedíamos a un datacenter o en el peor de los casos, varios datacenters. Hoy es un poco más complejo, lo escribía párrafos arriba, la explosión del uso de SaaS, el cloud o la mayor pesadilla, el multicloud y el teletrabajo como forma normalizada de trabajo hicieron que necesitemos revisar nuestras herramientas de acceso remoto.

Entre los nuevos paradigmas de acceso remoto existen diferentes soluciones que van desde VPN-Less hasta CASB (Cloud Access Security Broker) que por lo general son ambientes intermedios donde reforzamos nuestras políticas de autenticación, autorización y accounting. Este ambiente puede estar en alguna nube o un datacenter y provee visibilidad y gestión de los accesos a los recursos necesarios. Las políticas de Zero Trust Network Access pueden estar aquí, pero no debemos olvidar el on-premises.

Secure Web Gateway

El reto de los proxies o forward proxies en la era SASE es sacar las políticas y permisos de navegación a internet fuera de la oficina. Algunos de los acercamientos fueron “cachear” las políticas de proxy de la oficina para cuando se sale de la oficina, su problema es que si hay cambios cuando se está fuera de la oficina estos no se actualizan hasta volver o hasta conectarse a una VPN de acceso remoto. Otra forma fue que centralizar toda las políticas de navegación y las consultas de los browser deben pasar siempre por el datacenter, sea por VPNs o por publicar el proxy.

Hoy en día el modelo más cercano a SASE es usar un Secure Web Gateway basado en nube, por lo que las políticas son exactamente las mismas para la oficina como fuera de ellas. Y en otros casos una combinación de SWG on-premises y nube para cuando los usuarios se conectan desde fuera.

Firewall as a Service

O Firewall basados en Nube. ¿Hasta aquí estamos de acuerdo en que todos los caminos llevan a esto? Si usamos firewalls para proteger a nuestros servidores y usuarios en los datacenters y en muchos casos también en las sucursales ¿por qué no usar firewalls para proteger a los usuarios que trabajan desde cualquier lado? Las políticas de firewalling: accesos, bloqueos, capa 3, capa 4, capa 7; deben ser omnipresentes. El Firewall basado en Nube es otro elemento que debe estar entre los usuarios y los activos informáticos. El FWaaS persigue a los usuarios a donde sea que ellos vayan. En lo personal, creo que es en el FWaaS donde se conglomerarán todas las anteriores funciones cuando SASE sea regularmente implementado, pero esto es solo futurología.

Este es mi análisis de SASE y sus funciones más populares. Como propongo, si SASE fuera un checklist ¿cuántas de sus funciones tenemos en roadmap?

Este es un artículo original del blog. Si le gustó o le parece útil le agradecería mucho compartirlo.

Abrazo!