SASE y Zero Trust: diferencias esenciales

Por qué son importantes SASE y Zero Trust

SASE y Zero Trust existen debido a las deficiencias de los métodos tradicionales de seguridad y conectividad. En particular, esas estrategias antiguas no fueron diseñadas para proporcionar conectividad segura entre aplicaciones basadas en la nube y usuarios remotos.

El problema radica principalmente en la evolución y la escala. Las organizaciones solían operar con sus empleados principalmente en la oficina, accediendo a aplicaciones y datos en el centro de datos de la misma. En este caso, era lógico que la conectividad y la seguridad se proporcionaran en el centro de datos, y que los pocos trabajadores que viajaban o trabajaban en otros lugares usaran una VPN que redirigiera su tráfico al centro de datos.

Hoy, sin embargo, en la era de la nube y del trabajo remoto, suele haber más actividad fuera de la oficina que dentro. Los usuarios, los datos, los dispositivos y las aplicaciones pueden estar en cualquier lugar. Intentar integrar a la fuerza los métodos tradicionales de proporcionar seguridad y conectividad en el centro de datos implica redireccionar el tráfico desde todo el mundo a ubicaciones centralizadas. Adherirse a una arquitectura centrada en la red de esta manera aumenta el riesgo cibernético y agrega latencia, lo que perjudica la experiencia del usuario. 

A medida que crece el trabajo remoto y la adopción de la nube, SASE y Zero Trust están transformando las formas en que las organizaciones brindan seguridad y conectividad en entornos descentralizados.

¿Qué es la confianza cero?

Zero Trust es una arquitectura basada en una premisa clave: "nunca confíes, siempre verifica". No otorga confianza a ninguna entidad (es decir, usuario, carga de trabajo o dispositivo conectado) por defecto; en cambio, redirige el tráfico y verifica continuamente cualquier entidad en función del contexto y el riesgo antes de permitir el acceso.

En lugar de conectar entidades a una red confiable para acceder a recursos de TI, la arquitectura Zero Trust conecta las entidades directamente a los recursos, sin extender el acceso a la red a nadie ni a nada. En otras palabras, aplica una microsegmentación altamente granular. Esta comunicación cero se entrega como un servicio, en el borde, desde una nube global diseñada específicamente para ello.

Una arquitectura Zero Trust permite a las organizaciones superar los riesgos de las arquitecturas centradas en la red para:

• Minimizar la superficie de ataque eliminando direcciones IP públicas y conexiones entrantes
• Detenga el compromiso inspeccionando todo el tráfico (incluso TLS/SSL) y hacer cumplir las políticas en tiempo real
• Evite el movimiento lateral de amenazas en la red mediante conectividad directa a la aplicación
• Bloquee la pérdida de datos en cualquier canal de fuga, incluidos la web, SaaS, puntos finales y más.

¿Qué es SASE?

El borde del servicio de acceso seguro (SASE) es un paradigma de red y seguridad que combina la funcionalidad de la red de área amplia definida por software (SD-WAN) conel borde del servicio de seguridad (SSE) para crear una plataforma consolidada de soluciones:

• SD-WAN para conectar ubicaciones globales y enrutar dinámicamente el tráfico de red
• Puerta de enlace web segura (SWG) para filtrar y proteger el tráfico web
• Acceso a red de zero trust (ZTNA) para proteger el acceso a aplicaciones privadas
• Agente de seguridad de acceso a la nube (CASB) para supervisar y controlar el uso de SaaS
• Prevención de pérdida de datos (DLP) para proteger el acceso a datos confidenciales
• Cortafuegos como servicio (FWaaS) para inspeccionar otro tráfico y aplicar la prevención de amenazas

Zero Trust y SASE: similitudes y diferencias

Zero Trust y SASE comparten objetivos como mejorar la seguridad, mejorar las experiencias de los usuarios y reducir la complejidad. En lo que se diferencian es en cómo proporcionan conectividad y mitigan el riesgo. Al desconectar la seguridad y la conectividad del acceso a la red, Zero Trust supera los desafíos vinculados a las arquitecturas centradas en la red y basadas en el perímetro, en las que aún se basan la mayoría de las soluciones SASE.

Esta tabla desglosa algunas de las diferencias clave entre Zero Trust y SASE:

SASE y Zero Trust: dos preguntas cruciales

Hemos analizado cómo se superponen SASE y Zero Trust. Ambos tienen como objetivo ayudar a las organizaciones a adoptar facetas del trabajo moderno, como el trabajo remoto y las aplicaciones en la nube, de manera más efectiva. Ambos consolidan la seguridad y la conectividad entregadas en el borde. Sin embargo, la distinción clave entre SASE y Zero Trust radica en dos cuestiones:

1. Conectividad segura ¿para qué?
2. Conectividad segura ¿a qué?

¿Conectividad segura para qué?
SASE se centra principalmente en proteger el acceso del personal, ya que inicialmente se basó en tres soluciones principales enfocadas en la seguridad de los usuarios: SWG, CASB y ZTNA. Con estas como núcleo de SASE, los desarrollos en el marco se han centrado en el usuario.

La arquitectura Zero Trust, por otro lado, tiene como objetivo proteger el acceso a todo el ecosistema de TI de una organización. Puede proteger cualquier entidad en todas las fuerzas de trabajo (usuarios, contratistas y socios B2B), nubes (cargas de trabajo en diferentes nubes públicas) y sucursales (incluidas IoT/OT dispositivos dentro de ellos) a medida que acceden a cualquier destino. Por lo tanto, si bien Zero Trust puede satisfacer las demandas de SASE, lo opuesto puede no ser cierto.

¿Conectividad segura a qué?
SASE generalmente conecta a los usuarios a la red para que accedan a las aplicaciones que también están conectadas a ella. Si bien puede ofrecer esta conectividad mediante SD-WAN, esto sigue siendo equivalente a una arquitectura centrada en la red que opera sobre la base de ubicaciones de confianza, lo cual contradice Zero Trust.

Además, la mayoría de las soluciones SD-WAN de las ofertas de SASE dependen de firewalls en cada ubicación para garantizar la seguridad, lo que tampoco está en línea con el principio Zero Trust. Incluso ZTNA, nominalmente una solución de Zero Trust, a menudo funciona conectando a los usuarios a una red enrutable para ampliar el acceso a aplicaciones privadas.

La mayoría de las ofertas de SASE, a pesar de su posicionamiento como marcos modernos, heredan las deficiencias de las arquitecturas tradicionales centradas en la red:

• Amplían la superficie de ataque al exponer direcciones IP públicas, que son vulnerables a ser descubiertas por ciberdelincuentes y permiten conexiones de red entrantes.
• No logran detener los riesgos y dependen de firewalls (como dispositivos virtuales o de hardware) que tienen dificultades para inspeccionar y proteger el tráfico cifrado debido a limitaciones de escalabilidad.
• Permiten el movimiento lateral de amenazas al otorgar a los usuarios un amplio acceso a la red en lugar de limitar el acceso a aplicaciones específicas.
• Requieren un enrutamiento complejo entre sitios a medida que las redes crecen en las fuerzas de trabajo, las sucursales y las nubes, lo que crea desafíos administrativos y de gestión.

En resumen, confiar en la SD-WAN tradicional y otras herramientas orientadas a la red como parte de una implementación de SASE entra en conflicto con el principio Zero Trust de acceso de cualquier persona con privilegios mínimos. Las organizaciones que desean implementar SASE que satisfaga las demandas Zero Trust, necesitan una forma diferente de SD-WAN: Zero Trust SD-WAN.

Zero Trust SD-WAN y Zero Trust SASE

Zero Trust SD-WAN es el tejido conectivo fundamental que permite que una implementación de SASE se alinee completamente con la arquitectura Zero Trust. Supera las debilidades orientadas a la red de las SD-WAN y SASE tradicionales al extender el acceso con menos privilegios a usuarios, dispositivos y cargas de trabajo en sucursales, centros de datos y nubes. Y proporciona conectividad directa al recurso solicitado, en lugar de la red donde reside el recurso.

Ventajas de la combinación de SASE y Zero Trust

La incorporación de Zero Trust SD-WAN en un marco SASE completo logra un verdadero SASE Zero Trust, lo que ofrece:

• Mayor seguridad: la verificación continua y la eliminación de la confianza implícita reducen el riesgo cibernético en las fuerzas de trabajo, las sucursales y las nubes.
• Productividad superior: la conectividad Zero Trust directa a la nube proporciona acceso rápido y seguro y experiencias fluidas para usuarios distribuidos.
• Ahorro de costes: la consolidación de herramientas de seguridad y redes en una plataforma Zero Trust nativa de la nube reduce la complejidad, los costes de tecnología y los gastos generales.

Construya un futuro seguro con Zscaler Zero Trust SASE

Zscaler SASE impulsado por IA está diseñado desde cero para brindar seguridad, rendimiento y escalabilidad. Con más de 160 centros de datos globales que procesan más de 500 000 millones de transacciones diariamente y al interactuar con cientos de socios en los principales intercambios de Internet en todo el mundo, Zscaler ofrece Zero Trust inigualable en todas partes.

• Arquitectura que prioriza la nube: consolide y simplifique la TI para acelerar la adopción de la nube, mejorar las experiencias de los usuarios y estandarizar en todas las ubicaciones.
• Inspección TLS/SSL completamente en línea: brinde protección integral contra amenazas y prevención de pérdida de datos para el 100 % del tráfico con una arquitectura de proxy impulsada por IA.
• Optimización del rendimiento: optimice el enrutamiento del tráfico a través del emparejamiento global con los principales proveedores de aplicaciones y servicios para garantizar experiencias de usuario superiores.
• Comunicaciones Zero Trust: conecte de forma segura a su fuerza laboral, sucursales y nubes sin confianza implícita y sin tener que incorporar entidades a su red.
• Superficie Zero Trust: Haga que las direcciones IP y su red sean invisibles para Internet y para los usuarios no autorizados. Los actores de amenazas no pueden atacar lo que no pueden ver.