SSE: Security Service Edge

El paso a la nube implica forzosamente que las redes y la seguridad deben reestructurarse para respaldar el acceso de los usuarios, en cualquier momento y lugar, a las aplicaciones internas en CPDs físicos y en la nube, así como a las aplicaciones públicas en la nube.

A medida que aumenta el volumen del tráfico a internet y a la nube, no tiene sentido enviar todo el tráfico a los cortafuegos del CPD. Debe habilitarse en cada ubicación un acceso a internet directo y seguro hacia cada usuario remoto, para implantar una visibilidad y control totales de modo que no afecte a la experiencia de usuario.

Con el cambio al modelo de trabajo híbrido, la seguridad de TI corporativa también debe adaptarse. Para poder trabajar desde cualquier lugar, se necesita una plataforma con la capacidad y la escalabilidad que garantice una seguridad absoluta y una política de cumplimiento en todos los perímetros (usuarios, ubicaciones, aplicaciones, nubes), sin importar dónde estén ubicados.

Los dispositivos de seguridad clásicos son incompatibles con los requisitos empresariales actuales: van ligados a una ubicación, necesitan un mantenimiento constante y no pueden escalar para soportar cargas de trabajo más elevadas. Para soportar este modelo híbrido se requiere una arquitectura de seguridad flexible y adaptable que pueda garantizar la seguridad para todos en cualquier lugar: en la oficina, en casa o de viaje.

Las soluciones basadas en varios fabricantes aumentan el trabajo manual que TI necesita hacer para aplicar parches y mejoras, además de aumentar potencialmente las posibilidades de descuido y error. El modelo de entrega como servicio puede eliminar la necesidad de mejorar la infraestructura de seguridad y mantener la postura de seguridad.

El SSE establece una estructura global que conecta todos los perímetros en una plataforma de seguridad común. Se examina todo el tráfico entre dos perímetros cualesquiera y se aplica el conjunto completo de políticas corporativas para la prevención de amenazas y la protección de datos.

El SSE implementa un acceso de confianza cero, asegurando que los usuarios solo tienen acceso a aplicaciones autorizadas por medio del menor número de privilegios posible. El tráfico de las aplicaciones está en constante supervisión, para detectar anomalías, amenazas, ataques y pérdida de datos sensibles.

El SSE es una solución nativa en la nube, entregada a través de una red troncal global de PoPs. El SSE inspecciona de forma fluida todo el tráfico, se adapta en sentido vertical y horizontal ante el crecimiento de tráfico y minimiza la latencia con cada PoP, situado a menos de 25 ms de cada usuario y ubicación.

SSE libera a TI de la carga de tener que desplegar de forma manual mitigaciones para las amenazas emergentes. La experiencia del SOC del proveedor del SSE asegura que los usuarios finales están siempre protegidos y que se minimiza la superficie de ataque de la empresa.

El proveedor de SSE mejora de forma continua todas las funciones de la nube como parte de un servicio de automantenimiento. Esto reduce la carga de trabajo de TI, por lo que la empresa puede centrarse en sus actividades críticas en lugar de tener que dedicar sus esfuerzos a que todo funcione correctamente.

SPACE («Single-Pass Cloud Engine», motor de única pasada en la nube) de Cato es la base del servicio global, convergente y nativo en la nube de Cato que ofrece procesamiento de paquetes de varios gigabits y cumplimiento de políticas en tiempo real. Estas son algunas de las funciones SPACE actuales para Cato SSE 360: SWG, ZTNA, CASB/DLP, RBI, FWaaS y prevención de amenazas avanzada (IPS y antimalware de nueva generación).

Se trata de una red de distribución geográfica global que cuenta con el apoyo de SLA y que está compuesta por más de 80 PoP interconectados con varias operadoras de primer nivel. Cada PoP ejecuta el conjunto completo de funciones SSE en varios nodos de computación y SPACE, para asegurar que la latencia es mínima y ofrecer optimización de enrutamiento global y un servicio de autorreparación completamente automatizado.

Los usuarios se conectan a Cato a través de clientes ligeros. Pueden acceder de manera segura y optimizada a internet, aplicaciones internas, en on-premises, CPDs físicos y en la nube, y aplicaciones en la nube públicas y globales. El acceso sin cliente a través de un portal de aplicación está disponible para terceros.

Las localizaciones físicas y en la nube conectan con dispositivos de terceros mediante IPSec o con socket SD-WAN de Cato. Los clientes pueden optar por usar los sockets SD-WAN o firewalls actuales que residen en sus redes para así aprovechar las funciones de seguridad exhaustivas de Cato. Los sockets de Cato ofrecen resiliencia de última milla y QoS, y superan apagones totales y parciales gracias a la selección de ruta dinámica basada en aplicaciones y a la mitigación de pérdida de paquetes.

Nuestra aplicación de gestión completa ofrece datos analíticos de red y de seguridad claros, con una configuración de política completa y granular. Entre los servicios gestionados se encuentra el despliegue de sitios, la monitorización inteligente de última milla, la configuración de red, el cambio de política de seguridad y MDR.