La popularización del trabajo híbrido ha complicado notablemente las tareas de los departamentos de TI en relación con la seguridad. Los equipos de los trabajadores ya no están siempre dentro del perímetro de red de la empresa, sino que se suelen conectar a ella en remoto. Además, utilizan los servicios cloud de manera habitual.
Todo esto supone una amenaza para la seguridad, lo que ha hecho que los responsables de mantenerla hayan tenido que repensar todos los sistemas de seguridad que tenían en mente para proteger la red no sólo cuando los equipos conectados están en ella, también cuando se conectan desde fuera, y cuando lo hacen a servicios cloud de la empresa. Es aquí donde entran en juego arquitecturas como SASE, y también servicios de seguridad como SSE (Security Service Edge).
Índice de temas
¿Cuál es la definición de Security Software Edge (SSE)?
Tal como lo define Gartner, que acuñó el término en 2021, el SSE o Security Service Edge (Servicio de seguridad en el edge), se encarga de securizar el acceso a la web, los servicios cloud y las aplicaciones privadas de una empresa.
Entre sus principales capacidades está el control de acceso, la protección de los usuarios frente a amenazas, la seguridad de los datos y su monitorización. También un control del uso aceptable de los servicios, reforzado por la integración basada tanto en red como en API.
SSE es el componente relacionado con la seguridad de la arquitectura SASE
SSE se ofrece y despliega, básicamente, como un servicio basado en la nube, y puede incorporar diversos componentes en local, o basados en agentes. También se le conoce como perímetro de servicio de seguridad, y en realidad no es más que el componente relacionado con la seguridad de la arquitectura SASE.
El SSE puede resultar útil a los equipos de TI de una empresa para administrar la seguridad de la empresa o de su red desde un único punto y proteger tanto los datos como el acceso a la red y a dichos datos. Pero también tiene como función la reducción de la latencia, lo que puede incidir positivamente en la productividad de la plantilla de una empresa.
Se encarga de la unificación de las tecnologías que hacen posible que se pueda acceder, de manera segura, a la nube, a aplicaciones o a la web
Se encarga de la unificación de las tecnologías que hacen posible que se pueda acceder, de manera segura, a la nube, a aplicaciones o a la web. Así, los datos de la empresa y los empleados pueden permanecer seguros, independientemente del punto en el que se encuentren y del uso que se les dé.
¿Cuál es la diferencia entre SASE y SSE?
SASE, un acrónimo acuñado también por Gartner un par de años antes que SSE, en 2019, es una arquitectura caracterizada por la convergencia de varias tecnologías de red y seguridad en una única plataforma cloud, que tiene como misión facilitar la transformación cloud de manera rápida y segura. En su versión más reciente, combina una plataforma de infraestructura WAN en el edge con una plataforma de seguridad convergente. A esta última plataforma se la conoce como SSE.
SSE es la parte de SASE que no está relacionada con la infraestructura de red
Por tanto, SSE es una parte de las dos que forman SASE. En concreto, su componente de seguridad, que se encarga de la unificación de todos los servicios de seguridad. Entre ellos el Acceso de red ‘Zero Trust’ (ZTNA), Secure Web Gateway (SWG) y Cloud Access Security Broker (CASB). Se encarga, como hemos mencionado, de que el acceso a la web, la red, los servicios cloud y las aplicaciones sean seguros. En pocas palabras: SSE es la parte de SASE que no está relacionada con la infraestructura de red.
¿Cuál es la diferencia entre SWG y SSE?
Estas dos soluciones de seguridad de red están diseñadas para proteger tanto a los sistemas de una empresa u organización, como a sus usuarios, de cualquier ciberamenaza que pueda acecharles. Pero tienen notables diferencias entre sí. Para empezar, se complementan a la hora de ofrecer protección.
Una solución SWG (Secure Web Gateway) se crea y activa para proteger a los empleados de una entidad de las amenazas existentes en la web y online. También para reforzar la seguridad de la empresa y las políticas de uso aceptables. Puede inspeccionar el tráfico entrante y saliente de los sitios web para identificar y bloquear contenido malicioso en páginas web, o intentos de acceso a web que no cumplan las políticas de la organización. Puede desplegarse tanto en la nube como en local.
Una solución SWG es únicamente una de las que están integradas en un paquete SSE, cuyo objetivo es ofrecer una arquitectura de seguridad de red en un único pack.
¿Qué es Cisco SSE?
Cisco SSE, al que también se denomina Cisco Secure Access, es un producto de seguridad de Cisco que combina seguridad convergente ofrecida desde la nube, los principios de seguridad ‘Zero trust’ y visibilidad mejorada por Inteligencia Artificial.
Esto hace que Cisco SSE sea capaz de mejorar la capacidad de empresas y organizaciones de ofrecer acceso seguro desde cualquier punto a cualquier lugar. Es decir, acceso seguro de principio a fin, ya sea durante la navegación web o cuando se estén utilizando servicios cloud.
¿Cuáles son los tres componentes principales del servicio de seguridad en el edge?
Los tres principales componentes que tiene el servicio de seguridad en el borde (SSE, Service Security) son Zero Trust Network Access (ZTNA),Cloud Access Security Broker (CASB) y Secure Web Gateway (SWG). Cada uno tiene sus particularidades, y en conjunto, sumándolas, componen la solución completa de seguridad SSE.
El Acceso de Red Zero Trust (ZTNA) ofrece acceso seguro a aplicaciones internas a un usuario. Lo hace con base en su contexto de acceso concreto, adoptando el principio conocido como de menor privilegio. Este componente de SSE se centra en la identidad y gestión de acceso (IAM), y emplea diversas funciones. Entre ellas la autenticación en varios factores (MFA) y el acceso simple a cuenta (SSO). Para que la configuración del SSE sea lo más eficaz posible, ZTNA debe ofrecer despliegue con y sin agente.
En cuanto al Broker de seguridad de acceso a la nube (CASB), ofrece protección de datos y frente a las amenazas en la nube. Lo hace a través del refuerzo de políticas, que le permite proteger a cualquier dispositivo en cualquier momento y lugar. Para conseguir la mejor configuración del SSE es aconsejable utilizar una arquitectura CASB multimodo de última generación, ya que las de este tipo son capaces de adaptarse de manera dinámica con modos basados en agentes, sin ellos y en API.
Por último, el SWG o Gateway Web Seguro ofrece protección frente al malware, además de reforzar las políticas de la empresa que lo utilice. Concede controles de aplicaciones y emplea filtros de inspección de contenido para proteger el tráfico que inicia un usuario, y además evita que se filtren datos. Los más eficaces son los que brindan protección en tiempo real.
Ventajas de SSE sobre la seguridad de red tradicional
SSE plantea diversas ventajas con respecto a las opciones de seguridad de red tradicionales.
La primera es que permite ofrecer servicios de seguridad de forma unificada, con respecto a las opciones de seguridad de red tradicionales, lo que elimina las brechas de seguridad entre distintos productos.
La segunda, que da la oportunidad de ofrecer ciberseguridad sin necesidad de vincularla a una red, ya que se despliega desde una plataforma cloud que sigue al usuario desde donde se conecta hasta la aplicación a la que accede. Todo sin que importe dónde se encuentre el usuario.
Además, SSE mejora la visibilidad de los equipos TI sobre los usuarios, sin importar su ubicación. También de los datos, independientemente de los canales a los que accedan los usuarios.
Otra de sus ventajas es que con SSE se aplican las actualizaciones de seguridad de manera automática, sin esperar a que algún administrador los haga de manera manual. Así se mejora la seguridad de los sistemas y las aplicaciones.
Para un funcionamiento óptimo y dar el mayor nivel de seguridad, SSE tiene quepermitir el acceso de los usuarios a las aplicaciones con el mínimo nivel de privilegios posible
SSE, para un funcionamiento óptimo y dar el mayor nivel de seguridad posible, tiene que permitir el acceso de los usuarios a las aplicaciones con el mínimo nivel de privilegios posible. Por eso permite que ningún usuario sea de fiar, y el acceso tiene que otorgarse según la identidad y las políticas establecidas. Es decir, proporciona acceso de ‘confianza cero’, más restrictivo que los sistemas de seguridad de red tradicionales.
Con SSE, además, las aplicaciones no se exponen a Internet, y no se pueden descubrir desde fuera si no se cuenta con acceso a ellas. De esta manera, SSE consigue reducir mejor la superficie de ataque que otras soluciones.
Aparte de proteger, SSE también mejora la experiencia de usuario, por la naturaleza de su arquitectura: es distribuida. Gracias a esto se optimiza el rendimiento y se reduce la latencia, ya que la inspección de los contenidos se realiza en el punto en el que el usuario se conecta a la nube de SSE. Como resultado, no es necesario utilizar VPN para navegar con más protección.
Por último, el hecho de tener, gracias a SSE, todos los servicios de seguridad principales unificados, reduce los costes, y rebaja además el nivel de complejidad de la protección de la red y las aplicaciones.
Principales casos de uso de SSE
Entre los principales casos de uso de SSE está el acceso seguro a servicios y aplicaciones en el cloud, y también la seguridad en la navegación web. Esto se debe al control de políticas que realiza, y que sirve para reducir los riesgos cuando un usuario accede a contenidos, tanto dentro como fuera de la red de la empresa.
Otro de los casos de uso de SSE está en la detección y reducción de amenazas recibidas a través de Internet en general, y los servicios cloud y la web en particular. Las plataformas SSE cuentan con funciones avanzadas de prevención de amenazas, como los firewalls en la nube, como servicio. También es clave para conseguir detectar y bloquear amenazas ofrecer un control de acceso adaptable, que regule el nivel de acceso que debe tener el dispositivo del usuario que lo estén empleando para acceder a un servicio.
Sobre todo, a partir de la implantación del trabajo híbrido y remoto, SSE también es conveniente para proteger tanto la conexión como la seguridad de los trabajadorescuando realicen sus tareas a distancia. De esta manera, podrán contar con acceso remoto a servicios cloud y a aplicaciones de la empresa sin los riesgos que plantean las VPN.
Además de todos estos casos de uso, SSE también se puede emplear para localizar, identificar y proteger datos confidenciales. Sin que para conseguirlo sea relevante el punto en el que se encuentren.
Mejores soluciones SSE
Las mejores soluciones SSE están diseñadas para proteger los endpoints, los usuarios y los datos que hay en los extremos de una red. Esto quiere decir que, fundamentalmente, se utilizan para proteger cualquier dispositivo que esté en funcionamiento en el exterior de un centro de datos. Estos dispositivos, y la información y datos que contienen, son los que tienen más peligro de sufrir filtraciones y robo de datos por malware, brechas de seguridad y pérdida de datos.
Las soluciones SSE se encargan de evitar estos y otros riesgos a nivel de empresa, además de asegurar el acceso a aplicaciones y servidores, y de ofrecer acceso seguro a Internet y aplicaciones remotas.
Entre las mejores soluciones SSE hay varias de los principales fabricantes de sistemas de seguridad. Son las siguientes: Nord Security NordLayer, TwinGate, Cisco Umbrella Cloud Security Service, Forcepoint ONE, Skyhigh Security Service Edge, Netskope Security Service Edge, Palo Alto Network Prisma Access, Proofpoint Cloud Security, Cloudflare One y Zscaler SASE.
¿Cómo implementar y administrar SASE?
Se puede implementar y administrar SASE tanto en las instalaciones de una empresa como en puntos remotos como en la nube. En definitiva, se puede hacer en el lugar que se necesita, para contar con un nivel de autenticación de usuario, y con una aplicación de políticas de seguridad sólidas. Una vez puesto en marcha, ofrece seguridad en el punto en el que se llevan a cabo las transacciones.
Lo primero que hay que hacer para implementar SASE es definir el edge y a qué solución de seguridad migrar, porque en algunos casos todavía será necesario prestar servicios en local, pero se tiende cada vez más a pasar a soluciones de SASE con servicios en el edge o extremo. Sus límites serán los que marquen las herramientas que se necesitarán.
A continuación, es imprescindible concretar las funciones esenciales de seguridad a implementar, tanto para la red como servicio, como para la seguridad de la red como servicio. Para ello hay que tener en cuenta diversas variables, como la presencia o no en la empresa de entornos amenazados por ataques o vulnerabilidades recientes, como los relacionados con JavaScript.
Con esto ya claro, es necesario analizar las brechas de seguridad que pueda haber. De esta manera se podrán concretar los puntos que están protegidos, y aquellos en los que será necesario hacer un refuerzo para evitar problemas. En este análisis es aconsejable observar e identificar las funciones esenciales para la organización. Tras localizarlas, es imprescindible analizar el nivel de madurez y eficacia de los sistemas de seguridad y redes de la empresa, para detectar tanto las herramientas que es necesario implementar como las que están presentes y en funcionamiento, pero no están optimizadas.
Para seguir hay que planificar las etapas de transición a SASE, porque es poco probable que la transición se lleve a cabo de una sola vez. Es habitual que se realice por fases, a medida que vayan dejándose de utilizar las soluciones que se habían estado empleando hasta ahora.
Por supuesto, por fases o de una sola vez, se deben tener en cuenta todas las etapas anteriores. Varios expertos recomiendan que la implantación de soluciones ZTNA sea la fase que se tome como punto de partida para implementar SASE. La siguiente debería ser la puesta en marcha de un gateway web seguro (SWG) y un agente de acceso a la nube seguro (CASB).
Tras su implementación, de cara a su gestión hay que tener en cuenta que el despliegue de SASE facilita la gestión de la seguridad y la red ya que permite gestionar, controlar y supervisar todos los aspectos de red desde un único sistema. Esto se debe a que las soluciones SASE sustituyen a varias independientes, que hay que administrar una por una.
Con SASE, se puede gestionar la seguridad desde una sola interfaz de administración, en la que también se pueden ajustar las políticas para las conexiones permitidas y rechazadas. Además, para que la administración resulte todavía más sencilla, en muchas ocasiones se diseñan para que la experiencia del administrador a utilizarla sea la mejor posible.
Desafíos que aborda la SSE
Entre los principales desafíos que aborda la SSE está la simplificación de la administración y gestión de los controles de seguridad, ya que ayuda a rebajar costes y complejidad, así como a adoptar y desplegar políticas en local, la nube y en remoto.
Otro de los retos a los que se tendrá que enfrentar es a la sustitución de las VPN para que los trabajadores en remoto puedan acceder a las aplicaciones privadas de manera segura. Este cambio se hace porque las empresas necesitan una solución más segura para proteger el acceso a sus datos y aplicaciones, y SSE, gracias a su componente ZTNA, puede ofrecerlo.
También tiene entre sus desafíos la prevención del malware y ransomware avanzados, con el objetivo de proteger a los usuarios que navegan por la web. Por eso las soluciones SASE tienen que ser capaces de detectar los ataques, y de bloquearlos.
No hay que olvidar que las soluciones SSE tienen que ofrecer visibilidad y control sobre las aplicaciones de software como servicio (SaaS), y que además deben proteger los datos, sobre todo los sensibles, independientemente de su ubicación.
