La arquitectura de Borde de Servicio de Acceso Seguro (Secure Access Service Edge o SASE) enrola la red y la seguridad en un servicio en la nube, lo que facilita a las empresas el acceso simple y seguro a los recursos corporativos. ¿Qué ocurre? Que está aún en su infancia. Los vendedores y proveedores de servicios venden ofertas que llaman SASE, pero lo que realmente proporcionan, y cómo lo hacen, varía mucho.
SASE es un término acuñado el año pasado por Gartner y combina la WAN definida por software (SD-WAN) con el control de acceso y la seguridad, todo combinado como un servicio en la nube.
Se espera que crezca de forma significativa y rápida. Tanto, que el Grupo Dell’Oro proyecta que tenga una tasa de crecimiento anual compuesta del 116% de 2019 a 2024. Y la crisis de COVID-19 ha acelerado “absolutamente” ese impulso, como admite el analista de Gartner Nat Smith, quien proyecta que el 60% de los clientes de SD-WAN se habrá trasladado a SASE para 2024, en comparación con alrededor del 35% en 2020.
Los beneficios potenciales de dicha tecnología incluyen una gestión más fácil de la red y la seguridad, flexibilidad para ampliar o reducir la escala según las necesidades de la empresa, y menores costos. “SASE es una de esas tecnologías que le da la capacidad de manejar mejor las interrupciones en el futuro”, afirma Smith.
Gartner presenta una larga lista de tecnologías y características que podrían incluirse en un servicio SASE, incluyendo la optimización de la latencia, el enrutamiento, almacenamiento en caché, deduplicación y restricciones geográficas. En el lado de la seguridad, Gartner incluye prevención de pérdida de datos, firewalls de aplicaciones web, detección de amenazas, encriptación y aislamiento de navegadores remotos, entre otras.
No hay un conjunto mínimo de estos elementos que deben ser incluidos para que un servicio sea considerado verdadero SASE, agrega Smith. “Es más un marco de trabajo que una arquitectura”, dice.
Sin embargo, Gartner nombra cinco elementos esenciales de SASE: SD-WAN, firewall-as-a-service (FWaaS), puerta de enlace web segura, agente de seguridad en la nube (CASB), y acceso a la red de confianza cero, también conocido como perímetro definido por software. “Estos cinco segmentos, a medida que continúan evolucionando, colapsan en una sola cosa, y eso se convierte en SASE”, explica el analista.
Hoy en día, las ofertas comercializadas como SASE pueden ser impulsadas por los proveedores de servicios que incluyen mayor o menor riqueza de características, así como por los proveedores de hardware que unen su equipo con los servicios de nube.
Los proveedores de SASE también pueden proporcionar hardware o software de cliente para usuarios finales, aparatos de red para centros de datos empresariales, redes troncales distribuidas y puntos de presencia (PoP), protección DDoS y plataformas CASB.
Hay proveedores de hardware que se mueven en esta dirección, que se califican como vendedores de SASE sin ofrecer las cinco características. “No creo que haya un vendedor claro u obvio que lo esté haciendo mejor que cualquiera de los otros”, señala Smith.
Para los vendedores de hardware, puede haber algunos desafíos significativos, reconoce, especialmente si están haciendo la transición de un modelo de producto basado en el hardware a uno basado en las suscripciones de servicio.
Con las ventas de hardware, por ejemplo, los ingresos vienen en su mayoría al principio de la relación en lugar de en los ciclos de pago mensuales. Esto significa cambios en la forma de compensar al personal de ventas y en la gestión del flujo de caja de la empresa. También habrá interrupciones en la canalización de las asociaciones.
“Los proveedores tendrán muchos desafíos”, como apunta el analista de Gartner. “Se podría pensar que a largo plazo se equilibra, pero es un cambio muy radical para la mayoría de los equipos de ventas”.
Sin embargo, actualmente hay servicios etiquetados como SASE que están en la nube y los que están en las instalaciones. A continuación, y por orden alfabético, se describe lo que algunos proveedores pueden ofrecer:
Akamai
Más conocido por su red global de entrega de contenidos, Akamai tiene 4,000 PoPs en todo el mundo, lo que le permite estar cerca de los usuarios finales y de los centros de datos. Akamai ya ofrecía una puerta de enlace web segura y un acceso a la red de confianza cero. CASB está disponible a través de un socio tercero, dice la empresa, y los clientes tienen que proporcionar su propia FWaaS y SD-WAN. La empresa está trabajando para añadir seguridad a todo el tráfico saliente para protegerse de actividades maliciosas en un par de trimestres.
Aruba
Aruba se centra en el hardware para el borde de la red, incluyendo el acceso al borde, pero está trabajando para ampliar su oferta SASE. Carece de PoPs y de seguridad como servicio, según Paul Kaspian, gerente senior de la empresa de Marketing de Productos y Soluciones de Seguridad. Por eso se asocia con Zscaler, y con otros incluyendo McAfee, Semantic, Check Point y otros actores para la seguridad en la nube.
Barracuda Networks
Un portavoz de Barracuda reconoce que la compañía ofrece la mayoría de los componentes necesarios para SASE, empezando por SD-WAN, e incluyendo servicios de seguridad de red tales como FWaaS, IPS, análisis de malware, filtrado de contenidos, protección avanzada contra amenazas, protección DDoS y acceso a redes de confianza cero. La única pieza que falta, según reconocen desde la compañía, es el CASB. Allí, los clientes tienen que llevar el suyo propio.
Cato
Cato es un vendedor destacado en el libro blanco de SASE de Gartner y afirma contar con más de 600 clientes de esta arquitectura. Dice que su negocio fue construido para ser nativo de la nube desde el principio. El servicio en la nube de Cato incluye FWaaS, CASB, puerta de enlace web segura, y acceso a la red de confianza cero. Su Cato Socket, una característica de Cato Cloud, puede proporcionar servicios SD-WAN.
Cisco
Durante la primavera de 2020, Cisco unió su WAN, seguridad y servicios de computación en un solo paquete SASE nativo de la nube. Gartner lo llamó “una sólida hoja de ruta para entregar las crecientes capacidades de seguridad de forma integrada, conduciendo hacia una arquitectura SASE”. Ese paquete es una combinación de Cisco SD-WAN y los servicios de Cisco Umbrella más Cloudlock CASB, así como la seguridad de confianza cero a través de su adquisición de Duo Security.
Forcepoint
Forcepoint ofrece la pila de seguridad completa de SASE como un servicio y tiene más de 160 PoPs en todo el mundo, de acuerdo con Ravi Srinivasan, Vicepresidente de Soluciones y Marketing de Plataformas de la compañía. Puede proporcionar SD-WAN, pero también se asocia con los servicios de red ya implementados de los clientes.
Fortinet
Gartner dice que el SASE de Fortinet incluye todos los elementos de SASE, incluyendo SD-WAN (Fortinet Secure SD-WAN), FWaaS (FortiGuard Security Services for FortiGate Next-Generation Firewalls), corredor de seguridad de acceso a la nube (FortiCASB), puerta de enlace web segura (Fortigate SWG) y seguridad de confianza cero a través de su adquisición de OPAQ Networks en julio de 2020.
Masergy
Los servicios de Masergy están disponibles tanto en la nube como en la plataforma on-premise, y admite que su plataforma Managed SD-WAN Secure ofrece la mayor parte de la pila de seguridad básica de SASE, incluyendo FWaaS, CASB, y una puerta de enlace web segura. La compañía asegura que está construyendo su propia capacidad de acceso a la red de confianza cero. Masergy ofrece optimización de seguridad basada en inteligencia artificial y aprendizaje automático.
Netskope
Netskope afirma que su negocio ha crecido más del 80% año tras año gracias a su tecnología SASE y que cumple con los requisitos de Gartner SASE para CASB (Netskope CASB), puerta de enlace web segura (Netskope Nxt Gen SWG), y acceso a la red de confianza cero (Netskope Private Access). No tiene FWaaS, pero puede proporcionar SD-WAN mediante socios como Aryaka, VMware VelocCoud, Silver Peak (Aruba) y Versa Networks.
Palo Alto Networks
Palo Alto Networks está construyendo parte de su experiencia en SASE a través de adquisiciones, como la compra de CloudGenix, que tiene experiencia en SD-WAN. Otras características de SASE ya son parte del Prisma Access de Palo Alto que incluye FWaaS, CASB, y acceso a la red de confianza cero. Palo Alto se está asociando con Google Cloud o AWS para la infraestructura de nube necesaria.
VMware
VMware está utilizando sus servicios existentes para las cinco capacidades principales que SASE debe tener, según Gartner, y las está agrupando como Vmware SASE Platform. Los elementos son SD-WAN (VMware SD-WAN), acceso de confianza cero (VMware Secure Access), CASB y puerta de enlace web segura (VMware Cloud Web Security), y FWaaS (NSX Firewall as a Service).
Zscaler
Zscaler ya estaba bien posicionado para convertirse en proveedor de SASE con su red de confianza cero, según Smith, de Gartner. Puede proporcionar incluyendo FWaaS (Zscaler Cloud Firewall), puerta de enlace web segura (Zscaler Internet Access), acceso a la red de confianza cero (Zscaler Private Access), y CASB (Zscaler Cloud Access Security Broker). Le falta la SD-WAN, pero la proporciona a través de socios, ofreciendo “integración con un solo clic” y “incorporación y gestión integrada”.
