SASE y ZTNA: Capacidades de acceso a la red de confianza cero de SASE
La GuΓa de mercado de Gartner para el acceso a redes de confianza cero (ZTNA, por sus siglas en inglΓ©s) prevΓ© que, para 2023, el 60 % de las empresas eliminarΓ‘ gradualmente las VPN y utilizarΓ‘n en su lugar ZTNA. El principal impulsor de la adopciΓ³n de la ZTNA es la forma cambiante de los perΓmetros de las redes empresariales. Hay que tener en cuenta las cargas de trabajo en la nube, el trabajo desde casa, los dispositivos mΓ³viles y los activos de red locales, y las soluciones puntuales, como los dispositivos VPN, no son la herramienta adecuada para el trabajo.
A alto nivel, podemos resumir la ventaja de la ZTNA sobre la VPN con una sola palabra: granularidad. El acceso a la red de confianza cero permite a las empresas restringir el acceso a un nivel que las VPN y otros enfoques de Β«castillo y murallaΒ» para la seguridad de la red simplemente no alcanzan.
Este control a nivel granular es tambiΓ©n la razΓ³n por la que el acceso a la red de confianza cero complementa el enfoque del acceso a la red basado en la identidad que SASE (perΓmetro de servicio de acceso seguro) demanda. Con el acceso a la red de confianza cero integrado en una plataforma de red nativa de la nube, SASE es capaz de conectar los recursos de las empresas modernas -usuarios de dispositivos mΓ³viles, sitios, aplicaciones en la nube y centros de datos en la nube- con el grado justo de acceso. Pero, ΒΏcΓ³mo se unen exactamente ZTNA y SASE para cumplir esta promesa? Echemos un vistazo…
ΒΏQuΓ© es el acceso a la red de confianza cero?
El acceso a la red de confianza cero, tambiΓ©n conocido como perΓmetro definido por software (SDP), es un enfoque moderno para asegurar el acceso a aplicaciones y servicios tanto en la nube como en las instalaciones. El funcionamiento de la ZTNA es sencillo: negar a todos y a todo el acceso al recurso a menos que estΓ© explΓcitamente permitido. Este enfoque permite una seguridad general mΓ‘s estricta de la red y una microsegmentaciΓ³n que puede limitar el movimiento lateral en caso de que se produzca una brecha.
En la actualidad, con las soluciones de puntos de seguridad de red antiguas, una vez que un usuario supera un dispositivo de seguridad, obtiene implΓcitamente acceso de red a todo lo que se encuentre en la misma subred. Esto aumenta intrΓnsecamente el riesgo y la superficie de ataque. ZTNA da la vuelta a ese paradigma. Con ZTNA, el personal de informΓ‘tica debe permitir explΓcitamente el acceso a los recursos de la red y puede aplicar restricciones hasta el nivel de las aplicaciones.
SASE y confianza cero
ZTNA es una pequeΓ±a parte de SASE. SASE restringe el acceso de todos los bordes (sitios, usuarios mΓ³viles y recursos en la nube) de acuerdo con los principios de ZTNA. En otras palabras, las capacidades NGFW y SWG de SASE son la forma en que SASE restringe el acceso; ZTNA es el grado en que los perΓmetros de SASE tienen restringido el acceso.
SASE agrupa el acceso a la red de confianza cero, NGFW y otros servicios de seguridad junto con servicios de red como SD-WAN, optimizaciΓ³n WAN y agregaciΓ³n de ancho de banda en una plataforma nativa en la nube. Esto significa que las empresas que aprovechan la arquitectura SASE reciben las ventajas del acceso a la red de confianza cero, ademΓ‘s de un conjunto completo de soluciones de red y seguridad que es a la vez sencillo de gestionar y altamente incrementable.
Las ventajas de SASE y del acceso a la red de confianza cero
El primer beneficio de SASE y del acceso a la red de confianza cero es que un enfoque de la seguridad basado en la negaciΓ³n por defecto de la identidad mejora enormemente la postura de en torno a la seguridad. Incluso si un usuario malintencionado compromete un activo de la red, ZTNA puede limitar el daΓ±o causado. AdemΓ‘s, los servicios de seguridad SASE pueden establecer una referencia del comportamiento normal de la red, lo que permite un enfoque mΓ‘s proactivo de la seguridad de la red en general y de la detecciΓ³n de amenazas en particular. Con una referencia sΓ³lida, el comportamiento malicioso es mΓ‘s fΓ‘cil de detectar, contener y prevenir.
MΓ‘s allΓ‘ de las ventajas en materia de seguridad, el acoplamiento de SASE y ZTNA resuelve otra serie de problemas que las soluciones puntuales plantean a las empresas modernas: la proliferaciΓ³n de dispositivos y la complejidad de la red. Con las soluciones puntuales de VPN, las empresas se ven obligadas a desplegar dispositivos adicionales para funcionalidades como SD-WAN y NGFW. Esto significa que el opex y el capex crecen con cada emplazamiento adicional que necesita un dispositivo. TambiΓ©n significa que las integraciones entre dispositivos, usuarios mΓ³viles y servicios en la nube aumentan enormemente la complejidad de la red.
SASE y ZTNA abstraen estos problemas proporcionando una soluciΓ³n nativa en la nube que funciona para todos los perΓmetros de la red. Esto significa que los servicios en la nube, los usuarios mΓ³viles, el IoT, las sucursales y las redes corporativas reciben el mismo nivel de seguridad sin aumentar drΓ‘sticamente la complejidad o el coste de la implantaciΓ³n.
En resumen, en comparaciΓ³n con las soluciones puntuales tradicionales, el acceso a la red de confianza cero con SASE es:
- MΓ‘s fΓ‘cil de incrementar. La proliferaciΓ³n de dispositivos dificulta la gestiΓ³n de las soluciones puntuales de VPN a medida que crece la red. SASE aporta a la seguridad de la red la incrementabilidad de una plataforma multiinquilino nativa de la nube.
- MΓ‘s granular. Con las soluciones puntuales tradicionales, las empresas pueden aplicar polΓticas que restrinjan el acceso en funciΓ³n de las direcciones IP. SASE y el acceso a la red de confianza cero permiten el control de acceso y la visibilidad de la red hasta el nivel de aplicaciones e identidades especΓficas.
- MΓ‘s seguro. Las soluciones puntuales eran suficientemente buenas en la Γ©poca en la que el paradigma de Β«castillo y murallaΒ» proporcionaba suficiente seguridad a la red. Sin embargo, las redes modernas tienen topologΓas que simplemente no encajan en este paradigma. Al garantizar que se tienen en cuenta todos los perΓmetros de la red (por ejemplo, habilitando el acceso mΓ³vil sin clientes) y utilizando soluciones de seguridad creadas especΓficamente para las topologΓas de red modernas, SASE y ZTNA pueden aumentar drΓ‘sticamente la postura en torno a la seguridad.
- MΓ‘s rΓ‘pido y fiable. A menudo, los dispositivos VPN se convierten en cuellos de botella que ralentizan una WAN y repercuten negativamente en el rendimiento. Esto se debe a que los dispositivos individuales tienen limitaciones de CPU y de recursos. Con un enfoque nativo de la nube, SASE abstrae estas limitaciones de recursos y mejora aΓΊn mΓ‘s el rendimiento de la WAN al ofrecer tambiΓ©n la optimizaciΓ³n de la WAN como parte del tejido de red subyacente.
La primera verdadera plataforma SASE con acceso a la red de confianza cero
El mercado del SASE aΓΊn estΓ‘ madurando y muchos vendedores de SASE no llegan a cumplir la verdadera promesa del SASE. Por esta razΓ³n, es importante aprender quΓ© no es SASE. AdemΓ‘s de ser etiquetada como proveedora de muestras para SASE en el Hype Cycle 2019 de Gartner para redes empresariales, Cato Networks es tambiΓ©n la primera plataforma SASE verdadera del mundo.
La plataforma SASE de Cato se construyΓ³ desde cero pensando en las redes empresariales modernas. La plataforma combina funciones de seguridad como el acceso a la red de confianza cero, SWG, NGFW e IPS con servicios de red como SD-WAN y optimizaciΓ³n WAN, asΓ como una red troncal privada global con un SLA (contrato de nivel de servicio) de tiempo de actividad del 99,999 %. Como resultado de lo anterior, Cato es el ΓΊnico proveedor actualmente capaz de cumplir la verdadera promesa de SASE desde una perspectiva de rendimiento, seguridad y escalabilidad.
Si desea ver la plataforma Cato SASE en acciΓ³n, inscrΓbase para obtener una demostraciΓ³n o contacte con nosotros hoy. Para profundizar mΓ‘s en lo que es SASE, consulte el libro electrΓ³nicoβThe Network for the Digital Business Starts with the Secure Access Service Edge (SASE)β.
