En el primer blog de esta serie, hablamos de cómo SD-WAN y las soluciones de seguridad de próxima generación eran un binomio natural. Y en el segundo, hablamos de la importancia del aprovisionamiento sin contacto (ZTP) en el despliegue de SD-WAN a gran escala. Este artículo examinará un recorrido común de los clientes que vemos en el mercado: de NGFW a SD-WAN al y Servicio Perimetral de Acceso Seguro (SASE).
Aunque hemos mencionado brevemente el SASE en artículos anteriores, no hemos entrado en muchos detalles. SASE representa una convergencia de SD-WAN y seguridad. El término fue definido por Gartner en 2019 y reconoce el cambio en los patrones de tráfico empresarial desde el histórico hub-and-spoke con los recursos privados de las empresas en el núcleo a patrones más complejos de malla completa y malla parcial entre las ubicaciones de la empresa. En particular, gran parte del tráfico empresarial actual fluye desde y hacia aplicaciones de software como servicio (SaaS) alojadas en plataformas de nube pública.
Ampliación de SD-WAN con SASE
SASE amplía SD-WAN incorporando características de seguridad populares, incluyendo:
Secure Web Gateway (SWG): Son proxies que potencian los firewalls de capa 3, inspeccionando y filtrando el tráfico para bloquear el malware y el contenido que viola las políticas de la empresa.
Firewall-as-a-service (FWaaS) de próxima generación que aumenta los firewalls basados en dispositivos con equivalentes virtuales que pueden insertarse en cualquier lugar de la red, ya sea una sucursal o el punto de acceso de un empleado en casa.
Cloud Access Security Broker (CASB) complementa un SWG aplicando un conjunto más amplio de políticas de seguridad de la empresa para las aplicaciones de nube SaaS. Esto incluye la aplicación de políticas de autenticación, uso y pérdida de datos, al tiempo que proporciona datos de registro para el análisis.
Acceso a la red de confianza cero (ZTNA), que agrega controles detallados específicos del usuario y de la aplicación. ZTNA garantiza que el acceso a cada aplicación y servicio back-end esté autenticado, autorizado y cifrado.
ZTNA utiliza atributos como la identidad, la postura del dispositivo, el contexto de acceso y el tipo de activo para determinar el alcance de los privilegios que debe recibir un dispositivo de conexión. El objetivo es proporcionar el acceso más restrictivo, reduciendo la superficie de ataque de la empresa. Hay que tener en cuenta que la lista de características SASE de Gartner incluye muchos más componentes de seguridad, pero nuestra investigación muestra que las características anteriores son las capacidades principales que buscan las empresas.
Empezando por el principio
En nuestras conversaciones con usuarios finales y proveedores de servicios gestionados, hemos observado diferentes caminos para modernizar y asegurar la empresa. Con la atención puesta en la seguridad durante la última década, muchas empresas han desplegado NGFW en todas las oficinas. El router de la sucursal, que antes era omnipresente en todas las sucursales remotas, ha sido sustituido cada vez más por NGFW con capacidades de enrutamiento de capa 3 suficientemente buenas.
Sin embargo, los requisitos de las empresas han evolucionado, exigiendo opciones de ancho de banda más baratas y rápidas (por ejemplo, añadiendo enlaces de banda ancha más baratos a MPLS), una mayor fiabilidad con la gestión de múltiples enlaces y un acceso empresarial más rápido a las aplicaciones SaaS y nubes públicas más populares. SD-WAN cumple todos estos requisitos y ayuda a las empresas a modernizar sus WAN heredadas.
En la medida en que las empresas tienen proveedores de NGFW existentes que están evolucionando sus productos hacia SD-WAN, la actualización del software NGFW es a menudo todo lo que se necesita para embarcarse en la transformación de SD-WAN. Esto es un testimonio de que muchas de las funciones de red fundamentales que necesitan las implementaciones de SD-WAN reflejan las capacidades existentes de NGFW: identificación y categorización de aplicaciones, bloqueo eficaz de los flujos de tráfico, realización de cifrado y descifrado, enrutamiento del tráfico a través de diferentes interfaces. A menudo, los dispositivos NGFW son plataformas rentables y de alto rendimiento para ejecutar aplicaciones SD-WAN.
Con el soporte de ZTP (del que hablamos en nuestro artículo anterior), esta transición de NGFW a SD-WAN debería ser un procedimiento sencillo y rápido. La ventaja potencial de migrar a una configuración SD-WAN con fuertes controles centralizados es la mejora de la capacidad de gestión y la reducción de los gastos generales, junto con el aumento de la coherencia y la visibilidad.
Anticipando el siguiente paso
Como se ha comentado en el primer artículo, una vez que se han puesto los cimientos de SD-WAN, se pueden añadir capacidades de seguridad mejoradas en el camino hacia SASE. No todas las funciones de seguridad de SASE son gratuitas. Muchas de ellas requerirán la creación de un conjunto de políticas para toda la empresa, lo que requiere la identificación de los recursos y activos clave dentro de la empresa y su clasificación, la búsqueda de almacenes de identidades y la determinación de cómo acceder a ellos para la autenticación y la autorización, así como la determinación de un conjunto unificado de almacenes de políticas que representen la verdad básica para las políticas de seguridad y acceso de una organización. Este trabajo previo facilita la identificación de los atributos que se utilizarán como parte de las políticas de ZTNA.
Muchos proveedores de NGFW convertidos en proveedores de SD-WAN están empezando a incorporar conjuntos de características SASE en sus soluciones. Mientras tanto, el enfoque que hemos descrito anteriormente permite a las empresas obtener rápidamente las ventajas de SD-WAN y, al mismo tiempo, sentar las bases para permitir una rápida incorporación de SASE a medida que esas características estén disponibles.
Es posible saltar directamente a una oferta de SASE desde una configuración heredada o sin router, especialmente en una implementación nueva. Sin embargo, muchas empresas comparten que se sienten más cómodas adoptando un enfoque gradual.
Dar el primer paso
En el caso de las empresas que cuentan con un NGFW líder, recomendamos mantener una conversación con sus proveedores para entender las capacidades de SD-WAN de los mismos. Una vez cómodos, se recomienda realizar una prueba piloto con un subconjunto de sitios antes de realizar un despliegue masivo. También se recomienda una conversación simultánea sobre su hoja de ruta hacia SASE y lo que el proveedor pretende para los usuarios que trabajan desde casa.
El viaje desde NGFW a SD-WAN y a SASE probablemente no tomará mil pasos, pero es crítico comenzar con el primero.