TEKNE: FORMAS DE UNIR LOS PUNTOS, SD–WAN Y SASE

El orden y la conexión de las ideas son lo mismo que el orden y la conexión de las cosas. —Spinoza

La conectividad y la evolución de las redes siguen siendo el motor que obliga a los grandes cambios tecnológicos y el cambio de paradigmas, así como como las necesidades de seguridad y disponibilidad de los servicios en un mundo más conectado, interdependiente y dominado por los datos en movimiento y la experiencia de usuario. Y sobre todo en estos tiempos de pandemia donde la los puntos finales son omnipresentes y pueblan las redes privadas y públicas. Y hay distintas formas de conectar elementos como sitios, servicios, aplicaciones, endpoints, usuarios… y como en todo hay varias formas abordar el problema.

SD-WAN y SASE son dos de los modelos más populares de redes definidas por software, es decir, tecnologías diseñadas para conectar puntos finales geográficamente dispares mediante redes cuyas funciones de transporte e incluso seguridad son variadas por el poder del software que las determinan. Este texto aborda sus fundamentos, similitudes y diferencias.

 SD–WAN, una los puntos

SD-WAN es un ejemplo, modelo y aplicación de las redes definidas por software (SDN), una de las más exitosas, aplica SDN a las conexiones de red que cubren un área geográfica amplia, permitiendo conectar redes empresariales en una amplia área geográfica sin estar restringidas por la distancia entre sus nodos. Se basa en la superposición de una red virtualizada (es decir, una red que se abstrae de su hardware) a través de la cual hace la segmentación o creación de redes virtuales dentro de esta red virtualizada para conectar y administrar sitios remotos (sucursales) que tienen soluciones de conectividad (y seguridad) en cada punto.  

Pero por difícil que sea para los especialistas de nicho SD-WAN no nació con un enfoque en la seguridad, su diseño está enfocado en la red, sin embargo sus cualidades le permiten incorporar funciones de seguridad orientadas al transporte y la conexión segura, así provee cifrado de extremo a extremo en toda la red; por ello la seguridad en SD-WAN puede brindarse como una función secundaria o adicional mediante elementos externos.

En SD-WAN el tráfico es inspeccionado por una solución de seguridad a la vez, una tras otra, de punto en punto, suscitando un encadenamiento de servicios basados en amenazas (hay una inspección para amenazas de SSL, otra para código malicioso, etc.). Cada solución (función de seguridad) en un punto abre el tráfico, lo inspecciona, lo cierra y lo reenvía al siguiente punto; donde se hace lo mismo… hasta que el tráfico llega a su destino.

Si bien SD-WAN se puede adaptar para conectar la nube sobre todo la pública, ya que la privada se podría entender como un sitio más, no está “pensado o construido” para ese fin, es más una capacidad del modelo que uno de sus cimientos, puesto que su meta es conectar sucursales mediante una red privada virtual sobrepuesta. Su arquitectura “favorita” está orientada a sucursales pero puede incorporar la nube o estar basada en la nube sólo como con una red troncal. Esto permite hacer un cambio gradual, una migración parcial, de la WAN tradicional a SD–WAN, su coexistencia es posible y está comprobada,

Simplificando: SD-WAN es una red de área amplia basada en una red sobrepuesta virtualizada (definida por software) que permite la abstracción del hardware, de la propi red, que consigue la virtualización de la WAN, la administración de tráfico y la gestión centralizada basada en políticas.

SASE, la nube al centro

SASE (Secure Access Service Edge), por su lado, es una arquitectura distribuida de red que combina capacidades WAN con funciones de seguridad casi exclusivas de la nube, tales como: puertas de enlace seguras (SWG), Firewall como servicio (FWaaS), agentes de seguridad de acceso a la nube (CASB) y acceso a red basados en el paradigma zero trust (ZTNA); estas funciones están contenidas en una pila (servicios) de software nativo de la nube ejecutándose de manera versátil… ya que no utiliza soluciones puntuales (soluciones o funciones de seguridad basados en tipos de amenaza). 

De este modo, SASE se enfoca en conectar puntos finales individuales como sucursales, dispositivos, endpoints, dentro del borde del servicio, es decir, los usuarios y los equipos de una red están conectados a un servicio centralizado basado en la nube, ya que este borde consiste en una red de puntos de presencia distribuidos (PoP) donde se ejecuta dicha pila de software SASE que no sólo se encarga de la conexión sino de la seguridad. 

En SASE el tráfico se abre una vez y es inspeccionado de forma paralela por múltiples motores de políticas de forma simultánea, ya que las funciones de seguridad de las soluciones puntuales se integran en esa pila de servicios de software. Con SASE los servicios de seguridad y las funciones de red se ejecutan en la nube o en un agente de seguridad en el dispositivo del usuario final.

De este modo, SASE coloca la nube en el centro de la red y su enfoque se centra en la seguridad integrada mediante un acceso seguro, los privilegios de ingreso se aplican mediante políticas basadas en la identidad de usuarios o dispositivos (parte del enfoque zero trust). SASE permite tener funciones de seguridad integradas que se adaptan no sólo al riesgo de cada empresa, sino a su objetivo de negocio. 

SASE busca proporcionar acceso seguro a recursos distribuidos (en sucursales, centros de datos privados y en la nube). Mediante la pila de software toma de decisiones sobre la seguridad y la red, las cuales están integradas; esto es: las soluciones SASE cuentan con soluciones de seguridad que residen en el dispositivo de un usuario como un agente de seguridad o como una pila de software ejecutándose en la nube. Puede verse como una variación de SaaS lo cual implica es más fácil de integrar y escalar que otras tecnologías de seguridad, ya que se hace a nivel aplicativo.

Los puntos unidos

SD–WAN y SASE persiguen la interconexión con enfoques diferentes: uno centrado en los sitios mismos, otro centrado en la nube y esto determina su relación con la complejidad, la operación y la seguridad, es reconfortante y hasta tranquilizador que la evolución de las redes está siendo marcada por la ciberseguridad no sólo del medio como antes sino de los activos más importantes la información, los servicios y los usuarios per se. La evolución está garantizada y la convergencia de los enfoque dominarán la escena en el futuro, por lo que las empresas y, sobre todo, los especialistas en redes y ciberseguridad deberán distinguir entre una moda literalmente de paso y soluciones a largo duraderas, sobre todo a la hora de invertir.

Enrique López T.