Al coronavirus se le están atribuyendo unas cuantas culpas que no le corresponden; pero en el paquete viene algún mérito inmerecido. Suele decirse que con la pandemia afloraron nuevos temores a sufrir ciberataques; puede que sea así, pero lo indudable es que han aparecido nuevos modos de vender ciberseguridad. De tiempo atrás se conocía la necesidad de renovar unas estrategias basadas en proteger los dispositivos o en controlar el acceso; como no podían ser completamente eficaces, las brechas eran inaceptables para quienes habían invertido su dinero en soluciones poco fiables. Así fue como los gurús del marketing resucitaron una “filosofía” esbozada en la década anterior, llamada Zero Trust.
¿Un truco palabrista? No, por favor. Lo que se propugna es, por así decir, la necesidad de poner en duda cualquier intento de acceso a una red, venga de donde venga. Zero Trust asume que los usuarios (y los datos) puede estar en cualquier lugar, desde una oficina a un hogar y por supuesto también en la nube. Y que todos, los que están dentro del perímetro y los que han quedado fuera, son susceptibles de ser atacados y/o de actuar como cómplices involuntarios de un ataque. Por tanto, la confianza nula viene a ser, en realidad, desconfianza por defecto.
A efectos prácticos, corresponde al responsable de seguridad tomar el control efectivo sobre los datos de una organización, de manera que cuando un ataque ponga en evidencia una brecha, se pueda determinar con precisión – diríase que casi en tiempo real – cuándo se ha accedido a esos datos y si han sido manipulados, como suele ocurrir.
Hasta cierto punto, Zero Trust no deja de ser un manual de autoayuda. No está relacionado con un producto en particular, por lo que a todos conviene cobijarse bajo su sombra, con la salvedad de que implicará evaluación y revisión constantes, dos complicaciones. En esas andaba la industria de la ciberseguridad cuando alguien alumbró SASE (Secure Access Service Edge). Alguien con nombre propio, la consultora Gartner que acuñó la expresión a finales de 2019.
Sí, fue antes de la pandemia, pero esta ha pasado a ser una referencia inevitable: se ha impuesto el teletrabajo y con él se han multiplicado los accesos y sus peligros inherentes. Si a esto se añade la irrupción de 5G y el auge de IoT, el menú está servido: edge computing será pronto una potente realidad y las redes de área local habrá entrado en una fase decadente.
Así fue que organizaciones de distinta naturaleza y dimensión empezaron a asumir que ponerse bajo el manto de Zero Trust sería una fórmula idónea para enfrentarse a los ciberataques que vendrían. De hecho, ha pasado a ser lo normal para los CISO (chief information security officer) cada día más ocupados.
Puede parecer que SASE es la concreción de Zero Trust. Si al asegurar la red se está pendiente de cada dato que circula por ella, ¿para que adoptar una estrategia que tiene mucho de abstracción? La realidad es que no son excluyentes, que pueden trabajar conjuntamente al converger un acceso de mínimo privilegio (Zero Trust) con una arquitectura (SASE) que simplifica la forma de asegurar los recursos de la red.
Lo que sí puede parecer es que SASE pone en crisis las SD-WAN. Esto no es previsible, al menos a corto plazo. Piénsese en SASE no tanto como tecnología única cuanto como una conjunción de las tecnologías de red y de seguridad existentes, un desfiladero único que permite inspeccionar el tráfico y los datos que lo atraviesan. El desafío que se plantea es integrar todo para poder comprobar su rendimiento, identificar las brechas y los cuellos de botella.
O sea que SASE ha llegado para quedarse. En una configuración tipo, la red remite el tráfico, a un nodo central, previo paso por diferentes dispositivos de seguridad para, a continuación, mover los datos hacia su destino final que tiende a ser un servicio cloud. En este segundo paso, los datos siguen el mismo camino que para llegar al nodo central, lo que es una ineficiencia.
Empresas con solera en el mercado de la ciberseguridad, como Cisco, Fortinet y VMware, tienen clara su apuesta por SASE para ofrecerlo como añadido a algunas de sus soluciones. Pero cada una tiene un enfoque diferente.
Cisco presenta una oferta a la carta para SD-WAN y la seguridad cloud, una manera de reconocer que las empresas se encuentran en estadios distintos de su transformación. Su oferta SASE complementa la plataforma Viptela SD-WAN, que conecta a cualquier usuario con cualquier aplicación: las empresas pueden desplegar la tecnología de Viptela – adquirida por Cisco en 2017 como una SD-WAN independiente y agregar otras características SASE más tarde. Con Umbrella y Duo – adquisiciones más recientes – la compañía asegura el acceso a internet y las aplicaciones en la nube en toda la red corporativa, incluyendo las sucursales y los usuarios itinerantes.
VMware, enconado adversario de Cisco, también orienta en parte su estrategia de ciberseguridad hacia SASE. Su solución nativa de la nube combina las puertas de enlace a SD-WAN con la herramienta de acceso seguro y el cortafuegos de nueva generación. Una de las ventajas que pone de relieve la documentación de la compañía es que todos los servicios de red y seguridad pueden entregarse de forma intrínseca o secuencial a los bordes de las sucursales, los usuarios móviles, los campus y dispositivos IoT.
La idea sobre la que se sustenta la solución SASE de VMware es la de hacer que los clientes adopten una estrategia de nube en toda la organización, la escalen a nuevos modelos operativos, migren cargas a la nube de la manera más sencilla y accedan a aplicaciones y recursos multicloud con entera confianza. Según la documentación de esta compañía, su arquitectura permite construir y escalar una nueva WAN para apoyar la estrategia de transformación digital, con agilidad y simplicidad. Pase el que sigue.
La lista de empresas tecnológicas que creen ver en SASE un maná, no se reduce a las citadas. La estrategia de Fortinet pasa por garantizar la seguridad de los usuarios remotos fuera de la red, resolviendo los retos de la escalabilidad e infraestructura de las fuerzas de trabajo remotas y móviles [más oportuna no podría ser]. Aprovecha el firewall y la pasarela web segura de la marca.
Esta oferta, comercialmente FortiSASE, se presenta como un servicio de seguridad en la nube, altamente escalable, que permite un acceso seguro y flexible en cualquier momento y desde cualquier lugar. La gran diferencia con otras propuestas es que FortiSASE se entrega en la arquitectura de la nube ´multinquilino` elástica propia de Fortinet, lo que significa que no depende de ningún proveedor cloud externo.
Otro de los actores en este escenario es Palo Alto Networks, empresa que tradicionalmente ha sido conocida por su firewall y que pretende librarse del sambenito con su plataforma Prisma Access, que interpreta el concepto SASE como dar prioridad a la nube para conectar y proteger a los usuarios móviles y las sucursales y tiendas de las amenazas sobrevenidas. Además, proporciona servicios integrales de seguridad que incluyen la prevención avanzada, el filtrado web y la prevención de robo de credenciales, así como – qué menos – un firewall de nueva generación.
Quizá sea Zscaler la empresa de este sector que con más naturalidad se ha fijado como estrategia seguir el paso marcado por SASE con un servicio que ha construido desde cero pensando en el rendimiento y la escalabilidad. Su mensaje principal es que ayuda a acelerar la adopción de la nube mediante la eliminación de fricciones entre la red y la seguridad. La plataforma Zscaler optimiza el enrutamiento del tráfico con una segmentación nativa de las aplicaciones: se ocupa de conectar un usuario autenticado con una aplicación autorizada sin llevar al usuario a la red. Zscaler parte de una premisa: los ciberdelincuentes no pueden atacar aquello que no pueden ver, por lo que la arquitectura oculta las identidades de origen evitando así exponer la red corporativa a los peligros que anidan en Internet.
Gartner, de la que se puede decir con propiedad que acuñó el concepto, reconoce que lo más difícil para las empresas será aceptar que las prácticas de ciberseguridad que han aplicado en el pasado han dejar de ser óptimas para los entornos digitales de la actualidad. Esta es la sentencia con la que liquida la discusión: “el desplazamiento hacia SASE puede ser más rápido o más gradual, pero hará más evidente la obsolescencia de los modelos vigentes de seguridad en las redes”. Nadie ha dicho lo contrario.