El inescapable cambio de seguridad al límite



A medida que el borde se convierte en el lugar para la mitigación de DDoS, la seguridad de las aplicaciones world wide web y otros controles, SASE es la plataforma de administración para manejarlos todos.

En 2019, Gartner lanzó un papel definiendo Secure Access Services Edge como el marco que implementará la mayoría de las empresas. SASE ofrece una solución elegante para muchos desafíos que enfrentan los CISO en la actualidad, incluido el mantenimiento de la postura de seguridad durante las transformaciones digitales rápidas, los cambios en la ubicación de los trabajadores, la migración hacia una arquitectura de confianza cero y la protección del negocio mientras más procesos se trasladan a DevSecOps.

Mucho antes de que se acuñara el término SASE, los controles de seguridad comenzaron a cambiar para realizar inspecciones más cerca de los usuarios finales. Hace más de una década, fuimos testigos de la migración de la seguridad para las aplicaciones orientadas al cliente desde el centro de datos empresarial al borde para acercar la inspección de seguridad a los usuarios, en lugar de forzar al tráfico a viajar a la ubicación fija donde se implementaron los dispositivos de seguridad. Hoy en día, el perímetro es la ubicación predominante para la mitigación de la denegación de servicio distribuida (DDoS), la seguridad de las aplicaciones website y los controles relacionados para las aplicaciones de cara al público. Esta migración ofrece lecciones a medida que las organizaciones ahora llevan la seguridad de la fuerza laboral al límite.

La arquitectura SASE y los cambios que pronostica tienen mucho sentido, ya que ahora vemos tendencias similares, como la migración de aplicaciones fuera del centro de datos corporativo y la migración de usuarios fuera de la oficina corporativa, que tienen lugar en patrones de consumo de aplicaciones de la fuerza laboral. Estas fuerzas reflejan las que trasladaron la inspección de seguridad centrada en la Internet de los dispositivos de hardware o los complementos a los equilibradores de carga en el centro de datos corporativo, pasando al mismo punto en la arquitectura de seguridad moderna, el borde.

Migración de aplicaciones
Muchos arquitectos de seguridad se sienten atraídos inicialmente por el modelo SASE, ya que les ayuda a aplicar controles de seguridad en la ubicación óptima en su arquitectura que cambia rápidamente. Esa ubicación óptima es el borde de Internet, que estará cerca de cualquier infraestructura como servicio (IaaS) o instalación de coubicación que la empresa utilice hoy o en el futuro. El modelo de implementación de borde proporciona agilidad para organizaciones híbridas de múltiples nubes y se adapta bien a los cambios en el proveedor de IaaS o en nuevas ubicaciones de fusiones y adquisiciones.

La flexibilidad de implementar la inspección de seguridad en el borde significa que, independientemente de los cambios en la ubicación de la computación, la inspección de seguridad se puede realizar en un nodo de borde neighborhood. Esto proporciona un enrutamiento optimizado del tráfico y evita lo que Gartner describe como el «trombonamiento innecesario del tráfico a los motores de inspección enterrados en los centros de datos empresariales». Además, dado que la multicloud es la arquitectura predominante, implementar seguridad en un borde homogéneo tiene más sentido que intentar diseñar controles consistentes utilizando capacidades heterogéneas disponibles en varios proveedores de seguridad en la nube (CSP).

Otro impulsor de SASE es la migración de usuarios fuera de las oficinas corporativas tradicionales. Ha habido una tendencia lenta en los últimos años para habilitar trabajadores remotos, guerreros de la carretera y contratistas remotos. En 2020, esa tendencia lenta pasó a un hiperimpulso con un abandono casi overall de las oficinas corporativas por parte de los empleados obligados a trabajar en casa. Esto alejó a los empleados de los dispositivos de seguridad implementados en la oficina corporativa o el centro de datos empresarial sin embargo, independientemente de dónde se encuentren los empleados, el punto de presencia (POP) de borde más cercano nunca está lejos. Al migrar al borde, los controles de seguridad se pueden implementar de manera eficiente muy cerca del usuario remaining.

¿Qué es el Edge?
Con SASE, Gartner introdujo el punto ideal en una arquitectura para implementar la inspección de seguridad a través de un conjunto integrado de herramientas. El perímetro tiene una arquitectura muy diferente a la de la nube, ya que la mayoría de los CSP solo tienen un par de docenas de POP. Para asegurar las ganancias máximas de rendimiento, agilidad y escalabilidad, una plataforma de borde debe tener cientos o incluso miles de POP implementados en muchas geografías y dentro de muchos proveedores de servicios de World-wide-web.

Además, la plataforma de borde debería alcanzar altos niveles de tiempo de actividad. El borde representa la superficie de ataque expuesta para DDoS la Guía de arquitectura NIST Zero Belief anima a las organizaciones a evaluar la resiliencia a DDoS como parte de su diseño. Esto brinda la oportunidad de cambiar a una postura proactiva y sólida frente a DDoS, donde los ataques no solo se mitigan, sino que la plataforma aprende de cada ataque y está mejor preparada para el siguiente.

Una plataforma de borde realmente debería construirse con una arquitectura abierta que permita configuraciones y paneles a través de un portal. Las plataformas Edge también deben admitir los flujos de trabajo de DevSecOps al extender las API bidireccionales entre la plataforma SASE y otras herramientas de DevSecOps para impulsar cambios de configuración y comunicar eventos interesantes a una herramienta SIEM o ChatOps.

Esta migración de borde no solo ha proporcionado beneficios de seguridad, sino que también ha abordado las transformaciones de red descritas en SASE. Una implementación de borde elimina el tradicional equilibrio entre seguridad y rendimiento al mejorar el rendimiento de la aplicación al mismo tiempo que se repelen los ataques. Esta topología presenta el raro escenario de seguridad en el que puede tener su pastel y comérselo también. El excelente rendimiento de las aplicaciones es essential para impulsar el uso productivo de las aplicaciones corporativas Los usuarios corporativos no solo comparan la experiencia del usuario de las aplicaciones empresariales con otras aplicaciones empresariales, sino que también comparan las aplicaciones corporativas con la experiencia del usuario al navegar por un sitio de redes sociales, un motor de búsqueda o una aplicación de comercio ultrarrápida.

Las arquitecturas de borde se han construido tradicionalmente utilizando enfoques basados ​​en proxy. Esto los hace muy adecuados para muchos de los casos de uso mencionados en SASE. El acceso a la crimson de confianza cero es a menudo el primer componente de la fuerza laboral que se aborda en el camino hacia una arquitectura SASE. Un proxy con reconocimiento de identidad basado en el borde es una forma muy eficiente de realizar la transición a un enfoque de confianza cero para acceder a las aplicaciones corporativas. Además, las funciones como las puertas de enlace world-wide-web seguras basadas en el borde se benefician del enfoque basado en proxy que se observa en las implementaciones del borde. Dado que SASE traslada gran parte de la inspección a la capa de aplicación, será necesario descifrar TLS. Afortunadamente, las arquitecturas de borde existentes tienen una infraestructura KMI robusta que permite descifrar y volver a cifrar de forma segura el tráfico una vez que se ha inspeccionado.

La industria de la seguridad continúa cambiando hacia modelos de borde, y los pronósticos de Gartner para la adopción de SASE solo acelerarán esta tendencia. 2020 ha presentado una serie de desafíos para los equipos de seguridad y TI, pero las decisiones tecnológicas tomadas por muchas organizaciones durante estos tiempos difíciles han dado como resultado un progreso sólido hacia la adopción de un modelo SASE. Esas inversiones pagarán dividendos durante los próximos años.

En sus 15 años en Akamai, Patrick Sullivan ha ocupado varios puestos de liderazgo, incluido el liderazgo del equipo de Arquitecto de seguridad empresarial. Sullivan y su equipo trabajan con los clientes cuando son atacados y diseñan arquitecturas de seguridad para protegerlos de … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original