En 2019, se comenzó a difundir en varios círculos de la industria, la terminología Secure Access Service Edge – SASE (Servicio de Acceso Seguro en el Borde), esbozando una nueva estructura arquitectónica diseñada para enfrentar los desafíos de las empresas modernas distribuidas. A medida que las empresas adoptan cada vez más SD-WAN para optimizar el desempeño de la red y emergen nuevas amenazas fuera del perímetro de seguridad definido, la complejidad de administrar estos sistemas de manera cohesiva crea todo un conjunto de nuevos desafíos de gestión de TI y de seguridad.
SASE representa la convergencia de diversas tecnologías establecidas que apuntan a fusionar capacidades abarcativas de SD-WAN y funciones de seguridad de red en un abordaje unificado – uno que, en última instancia, será más adecuado para tratar las necesidades de las aplicaciones y de las cargas de trabajo de las empresas del futuro. Si bien SASE es más una filosofía y una orientación que una lista de verificación de funcionalidades y capacidades, generalmente puede caracterizarse como compuesta por cinco tecnologías clave de red y de seguridad:
SD-WAN
Firewall as a Service (FWaaS)
Cloud Access Security Broker (CASB)
Secure Web Gateway, y
Zero Trust Network Access (ZTNA)
En este nuevo paradigma, existe la expectativa de que las aplicaciones y los datos que los profesionales necesitan para mantenerse productivos estén siempre disponibles, optimizados para las necesidades de desempeño y protegidos, independientemente de dónde puedan estar conectándose.
Esencialmente, la idea de SASE consiste en ofrecer servicios seguros de red en cualquier lugar desde donde pueda conectarse un usuario. Y esta solución convergente idealmente debería optimizar y ampliar el desempeño de las aplicaciones que se distribuyen entre usuarios individuales, instalaciones, borde y los entornos de nube pública/privada.
SASE fue diseñada teniendo en mente al usuario final y comienza con la idea de confianza cero. Mientras que el usuario pueda verificar su identificación y el dispositivo de conexión no importa dónde se encuentre ubicado físicamente. En este tipo de entorno, un usuario confiable solo se puede conectar con los recursos específicos a los que están intentando acceder y nada más, algo que a menudo es habilitado por un perímetro definido por software (SDP).
Según Jon Paul McLeary, de Cirion Technologies, a diferencia de las soluciones VPN tradicionales, que centralizan todos estos puntos de inspección, un abordaje SASE distribuye todos estos puntos de control a lo largo de diversas regiones, mejorando la eficiencia de los recursos de la red y reduciendo la latencia encontrada en un modelo ‘hub and spoke’ convencional.
En definitiva, esto ayuda a abordar la complejidad de administrar estos componentes como soluciones de punto separadas, cada una de las cuales requiere del dominio de su propio conjunto de herramientas. SASE ofrece un conjunto de herramientas basado en la nube, común y centralizado que mejora la visibilidad y el control de estos sistemas, que luego pueden administrarse y orquestarse en la nube con la definición de políticas distribuidas en el borde de la red.
