Categories: Seguridad

Conectar, Controlar y Converger: Los elementos que no pueden faltar en tu estrategia de SASE

Todo ha cambiado radicalmente para los departamentos de Tecnologías de información (TI) en los últimos 5 años. La ventaja de usar aplicaciones en la nube es una realidad, sean aplicaciones del día a día como nuestros procesadores de palabras u hojas de cálculo, nuestros sistema como ERPs y hasta los servicios de videoconferencia y comunicaciones que son actualmente la forma como trabajamos hoy.  A eso hay que añadir el gran impacto en la forma de trabajar a partir de la pandemia, con usuarios trabajando desde casa y el cambio de paradigma en la forma de trabajar en las oficinas con menos personas, y con reuniones híbridas de gente remota y gente presencial.

Estos cambios han sucedido tan rápido que se requiere de una nueva aproximación a cómo las áreas de TI habilitan los nuevos servicios de una forma óptima y simple, pero a la vez eficiente y segura. No hay duda, estamos en la evolución más acelerada de TI que hemos vivido desde que existe TI.

“SASE” por sus siglas en inglés de Secure Access Service Edge, viene a crear un marco de referencia para una arquitectura de soluciones que consiste en componentes de conectividad, control, acceso, seguridad y observabilidad para estos nuevos ambientes de trabajo.

Recordemos que una verdadera solución de SASE debe estar centrada en las aplicaciones y en los usuarios, donde quiera que estos se encuentren. Pero tanto aplicaciones como usuarios están viviendo una transformación del “80-20”, donde el 80% de nuestro tráfico de información solía quedarse dentro de nuestra red corporativa con usuarios y aplicaciones residiendo internamente, a un “20-80” donde ahora sólo el 20% del tráfico entre usuarios y aplicaciones reside en la red interna y ahora el 80% del tráfico de información viaja por Internet, tanto porque los usuarios están trabajando desde casa como porque los servicios y aplicaciones están en nubes públicas.

Como Cisco, vemos que las empresas no están listas, o están solucionando parcialmente algunos de los retos generados por la adopción de servicios en nube, y la migración del usuario de las oficinas a su casa. El problema va más allá de sólo dar acceso remoto a los usuarios, o de ofrecer un firewall o UTM colocado en la nube (que no es lo mismo a ofrecer servicios de seguridad nativos en nube). Exise mucho ruido sobre lo que SASE es, y muchas soluciones parciales no consideran el problema completo, ni la interacción de todos los elementos de SASE.

Es por eso que hablaremos en este artículo sobre la problemática desde diferentes puntos de vista y sobre la aproximación de Cisco hacia SASE de una manera holística.

¿Qué problemas busca resolver SASE?

Es natural preguntarse, ¿y qué viene a resolver SASE a mi organización? Para responder a esto, primero hablemos de los problemas que existen actualmente. Podemos categorizarlos bajo tres perspectivas:

Empecemos con los usuarios finales. Con el trabajo remoto es común que las áreas de TI requieran un mayor control de los dispositivos de los usuarios. Esto suele traducirse a tener más agentes instalados en una laptop o móvil, como por ejemplo el de VPN, filtrado de contenido, verificación de postura, anti-malware, y esto es sólo el comienzo de una plétora de posibles adiciones. El resultado es, el usuario final tiene una experiencia de lentitud y el administrador tiene que probar, implementar y mantener incrementalmente más de estos tipos de agentes.

Ahora bien, la/él responsable de la red y de la conectividad necesita entregar los servicios basados en nube de la manera más eficiente y óptima, sea para un usuario remoto o para los colaboradores trabajando en una oficina. Esto implica tomar el camino más corto hacia la aplicación para tener tiempos de respuesta óptimos y asegurar poder llegar a esas aplicaciones en todo momento.

Por otro lado, la/él responsable de red sabe que los cambios hacia nuevas aplicaciones en nube cada vez son más frecuentes y rápidos. Por tanto, debe tener una forma sencilla y fácil para adaptar la conectividad a estos movimientos. Ya no es viable tardar meses para hacer un cambio en todas las sucursales cuando queremos que los usuarios que trabajan en ellas vayan directamente a Internet para acceder a un nuevo servicio de nube. Un cambio como estos requiere ser ágil y poder aplicarse en cuestión de minutos.

Por último, la/él responsable de red debe de poder identificar cuando hay un problema en la ruta del usuario a la aplicación. ¿Es problema de su propia red? ¿Es problema del enlace a Internet? ¿El problema está en la nube? ¿Cómo saberlo cuando Internet y la nube son ambientes en los cuales no tiene control?. ¿Como poder saber cuándo hay algo mal en un camino que no es mío y actuar al respecto?

Respecto a ciberseguridad, es claro que el área responsable de ésta tiene la necesidad de adquirir múltiples tecnologías para brindar defensa en profundidad. Hasta ayer, esto significaba agregar una pila de cajas a un centro de datos y si es era necesario, también en cada una de las n sucursales de la organización. Implementaciones que toman meses si nos referimos a una organización grande, aunque las organizaciones pequeñas no se eximen de este sufrir. Más hardware que monitorear, mantener y cuando el momento llegue, renovar para cubrir las necesidades de desempeño y funcionalidad siempre cambiantes. El seguir añadiendo cajas para resolver un problema termina creando otros de escalabilidad, gestión y agilidad en innovación.

¿Cómo Cisco SASE aborda estos problemas?

En seguridad y conectividad, proveer lo básico ya no es suficiente dado que esto trae problemas como los que platicamos arriba. En un mundo donde el core del negocio son las aplicaciones, la experiencia de conectividad de los usuarios es crítica. Las ciberamenazas han dejado de ser algo rudimentario desde hace años atrás y continúan cambiando dinámicamente, aumentando en su sofisticación. No podemos depender de lo que funcionó antes o de lo que es “apenas bueno”. Aún más, no podemos seguir sacrificando la simplicidad de operación y agilidad hacia el negocio.

Cisco SASE se basa en traer valor en torno a 3 acciones: Conectar, Controlar y Converger. Veamos qué beneficios trae cada uno:

Conectar.

Cisco ha evolucionado la forma de conectar sucursales con nubes híbridas proporcionando a las empresas la visibilidad de lo que sucede en cada punto del camino, optimizando la conectividad a servicios en nubes públicas y proporcionando a la/él responsable de la red una forma ágil para hacer cualquier cambio a cualquier política de acceso usando los enlaces que se prefiera de MPLS, de acceso directo a Internet o utilizando una red celular.

Cisco SD-WAN brinda esa inteligencia desde un sólo punto. No importa qué enlaces tenga la empresa, o si se hizo una adopción de acceso directo a Internet para optimizar el acceso a nube, la/él administrador de la red puede controlar cómo quiere que las sucursales se comuniquen con sus aplicaciones de la mejor manera, y con elementos de alta disponibilidad ante alguna falla. Puede también generar políticas de conectividad que se ajustan en minutos a miles de sitios en todo el mundo, lo que antes podía tomar meses. La red se ajusta rápidamente a lo que la aplicación y las sucursales requieran.

Cisco también puede usar la visibilidad de ThousandEyes, tecnología que permite identificar cuando algo en el camino entre el usuario y la aplicación anda mal, o los tiempos de respuesta no son los mejores.  ThousandEyes puede identificar cuando el problema está en la red de nuestra sucursal, o en la red casera del colaborador remoto, o en el enlace utilizado, o en algún punto de nuestro proveedor de Internet, o en la nube donde está la aplicación. Se acabó estar adivinando por qué mi aplicación “está lenta” o no está respondiendo.

Controlar.

Controlar es el componente de seguridad de SASE y lo proporciona Cisco Umbrella. Existen capacidades de seguridad que han existido desde hace muchos años, que eran implementadas con hardware en un data center o sucursal y o que ahora SASE las provee desde la nube. Ejemplos de esto es firewall y seguridad web, entre algunas otras.  Sin embargo, esto es sólo el punto de comienzo. El valor principal de la seguridad con SASE es la habilidad de incluir mecanismos de protección que antes no podíamos agregar fácilmente. Un ejemplo es Remote Browser Isolation (RBI) la cual aborda el problema de amenazas cuando un usuario navega en el Internet, vector de ataque bastante popular, por medio de virtualizar el entorno de navegación del usuario a través de la nube, evitando que el dispositivo del usuario final sea comprometido.

Otra capacidad de suma importancia es Zero Trust. En el sentido tradicional, los perímetros ya no existen. Los usuarios, sus dispositivos y la aplicación, ya sea on-prem o en nube, deben de incorporar la manera de evaluar constantemente el entorno para decidir si se debe permitir o denegar de manera dinámica y nó solo basándose en la autenticación tradicional, que suele ser insuficiente para evitar brechas de seguridad. Cisco SASE provee la capacidad de agregar Zero Trust a los usuarios y aplicaciones de una organización.

Converger.

Para que una solución de SASE permita conectar y controlar de la forma más simple y ágil a usuarios remotos y a sucursales, la integración y automatización de los diferentes elementos es clave. De no ser así, las áreas de TI quedarán con piezas aisladas entre ellas que son difíciles de operar y de implementar, o que no pueden adaptarse rápidamente a cualquier cambio.

Cisco SASE ofrece una unión nativa de la integración de los elementos de SD-WAN con la Seguridad en Nube que ofrece Umbrella, adaptándose a cualquier cambio. Integrar Umbrella con los servicios de red de SD-WAN es muy fácil de implementar, y es en cuestión de minutos!

Adicionalmente cualquier modificación en las políticas de red y seguridad que se requiera implementar en todos los sitios, se hace de manera centralizada o incluso automatizada simple y rápidamente. A través de APIs y la integración de los elementos de Cisco SASE, la red y la seguridad se adecúan a las necesidades de aplicaciones y usuarios conforme se requiera.

Para los equipos de seguridad de TI y SOC, el tener un único punto de visibilidad de amenazas y respuesta automatizada es crítico para decrementar el tiempo de contención de una brecha. SecureX es la plataforma que está incluida con Cisco Umbrella, y es capaz de proveer estas capacidades incluso integrando productos de seguridad adicionales.

En pocas palabras…

Si seguimos operando los elementos de red y los elementos de seguridad informática bajo los mismos paradigmas de hace cinco años, las áreas de tecnologías de información pueden convertirse en un obstáculo para la agilidad de la transformación digital de los negocios.

Cisco SASE contempla los diferentes ángulos y elementos que habilitan la conectividad más óptima con el control necesario en la nueva realidad de trabajo. No hay otra solución tan completa y unificada e integrada como Cisco SASE, pues Cisco ha trabajado en la convergencia de estos elementos desde antes de la existencia del término SASE y posee diferentes modelos de consumo para que las empresas puedan adquirir de la manera más cómoda los elementos de SASE.

Cisco SASE al tener la arquitectura más completa, puede ayudar a las empresas a adoptar e integrar los diferentes elementos de seguridad y de red a los ya existentes. No importa qué elementos de SASE ya existan en una empresa, Cisco puede trabajar con las empresas para analizar esos elementos, determinar en qué punto del camino a SASE se encuentran y proponer una arquitectura que complemente la arquitectura de SASE que haga más sentido para cada empresa.

Cisco SASE: Evolucionando la conectividad, protegiendo al negocio

Para más detalle sobre Cisco SASE, participe en nuestro evento virtual Cisco SASE que se llevará a cabo el próximo 14 de Julio en donde junto con Gartner hablaremos a detalle de lo que podemos hacer en conjunto en esta evolución de TI.

¡Registrese aqui!

Quiero expresar mi agradecimiento a Ramon Vinals por su colaboración en la realización de este blog, ¡GRACIAS!

Share