SASE es mejor que las VPNs (escalabilidad & elasticidad)

In julio 26, 2020

SASE es mejor que las VPNs porque puede multiplicar rápidamente el acceso remoto seguro (escalabilidad & elasticidad), sin importar en dónde se ubique, ni el tipo del dispositivo a conectar.

Un modelo de servicio de acceso remoto seguro puede hacer crecer rápidamente la capacidad de los trabajadores remotos sin necesidad de que las empresas desplieguen su propio equipo de VPN.

La capacidad de la VPN es limitada…

Un trabajador a domicilio utiliza una conexión VPN que crea un túnel seguro que le lleva directamente al centro de datos. Esto puede estar bien cuando la compañía espera que entre el 10% y el 20% de sus empleados trabajen remotamente en un momento dado, pero ahora los números pueden acercarse al 50% o 70%. Esto crea contención por los recursos y una pobre experiencia de VPN para todos. Lo que es más, los trabajadores están enviando un montón de tráfico de Internet al centro de datos junto con el tráfico destinado a las aplicaciones en las instalaciones , como en el caso de Microsoft Office 365. Este es el panorama que se ve todos los días en las grandes organizaciones empresariales.

Varias empresas recientemente que dicen que necesitan ampliar su capacidad de VPN pero la arquitectura de red heredada les está frenando. Cisco, Palo Alto y otros ofrecen licencias gratuitas de clientes VPN, pero las empresas todavía necesitan ampliar/crecer los aparatos de terminales VPN y es difícil ampliar rápidamente la capacidad en este entorno. Ya se trate de un coronavirus o de algún otro catalizador que ponga en tensión el entorno heredado de la red, recomendamos que las empresas diversifiquen y trasladen partes de su arquitectura de red a la nube. Esto les dará mucha más flexibilidad y escalabilidad para proporcionar servicios de seguridad y acceso remoto a su fuerza de trabajo a largo plazo.

 

SASE permite la flexibilidad y la capacidad (elasticidad y escalabilidad) a la carta

El marco de servicio de acceso seguro (SASE, pronunciado «sassy») provee un modelo para la re-arquitectura de la red de la empresa. SASE es el nombre que Gartner le dio a una combinación de capacidades SD-WAN con un número de servicios de seguridad que se entregan principalmente a través de un modelo basado en la nube.

Gartner define el servicio de acceso seguro en la periferia como una opción que apoya las necesidades de acceso de las empresas digitales combinando las funciones SD-WAN con los servicios de seguridad de la red, como el gateway web seguro (SWG), el agente de seguridad de acceso a la nube (CASB) y el cortafuegos basado en la nube (NG-WAF). En resumen, una oferta SASE ayuda a simplificar la gestión de la red al ofrecer un control basado en políticas altamente personalizable que se puede adaptar según la identidad del usuario, el contexto de la sesión y las necesidades de las aplicaciones en cuanto a rendimiento y seguridad, y se ofrece desde la nube.

El concepto de servicio de acceso seguro en la periferia, se pude explicar con un ejemplo geográfico. «Supongamos que un empleado está usando una VPN hacia su red corporativa desde su casa en el área de Nueva York, y el centro de datos se encuentra en Chicago. Normalmente todo el tráfico se dirigiría a Chicago, pero si está accediendo a contenido de Internet, sería óptimo salir de ese tráfico a través de una puerta de enlace web local segura, donde está el usuario. Es mejor ir a un sitio en Nueva York donde la VPN termina en un cortafuegos local, y allí hay una puerta de enlace web segura para que el tráfico de Internet pueda ser descargado allí, en lugar de transportarlo a Chicago. Este sitio en Nueva York provee lo que se llama «Service Edge».

Continuando con la explicación: «Una versión virtualizada del cortafuegos de una empresa se encuentra en el centro. La VPN termina en el concentrador de VPN en el centro local y entonces el tráfico se enruta apropiadamente. Ese tráfico que va a Internet, sale a través de una puerta de enlace web segura y ese tráfico que está destinado a una aplicación en el centro de datos va a través de una red privada dentro de los parámetros de seguridad definidos previamente. Esto es esencialmente otro túnel de vuelta al centro de datos. Y ese es un gran caso de uso para todo este concepto de SASE, que es levantar algunos de los componentes de seguridad básicos y moverlos a la nube».

Con la palabra nube, la gente tiende a pensar en AWS o Azure o la plataforma de nubes de Google, pero la nube tiene una definición más amplia. Nube es Software como un servicio, como Salesforce y ServiceNow. Si eres una empresa, la nube es un centro de datos Equinix. La nube es todo lo que no eres tú, y se entrega como un servicio.

 

El servicio de periferia es un elemento poderoso.

Un servicio de periferia se considera un centro de aplicaciones, o AppHub. Otras empresas los llaman centros de comunicación, centros de nubes, o simplemente Puntos de Presencia (PoPs). Independientemente del nombre, el concepto es el mismo.

Estos concentradores consisten en bastidores de equipos de conmutación y enrutamiento que se despliegan típicamente en centros de coubicación independientes del operador. Luego estos centros de datos están interconectados con circuitos de alta capacidad y baja latencia que crean una red central de alto rendimiento. SD-WAN, VPN y pilas de seguridad son típicamente desplegadas en los centros. En el borde de esta red, una empresa puede conectar directamente sus propios centros de datos, sucursales, usuarios remotos y móviles, e incluso socios de terceros. Los principales proveedores de SASE han construido concentradores, o PoP, en todo el mundo para que las organizaciones y sus trabajadores puedan conectarse al concentrador más cercano para obtener los servicios de comunicación y seguridad que necesitan. Cada empresa elige qué servicios quiere utilizar.

Al considerar cómo desplegar la seguridad como un servicio virtual,  no necesariamente quieres poner toda la seguridad en AWS porque entonces resultaría muy útil para AWS, pero no funcionará para GCP o Azure, y ciertamente no te ayudará para tus aplicaciones SaaS. Así que tener este entorno de concentrador que se encuentra entre las nubes de aplicaciones – Salesforce, Office 365, Workday, etc. – y las ubicaciones de los usuarios y de la empresa es la ubicación perfecta para poner estos servicios de seguridad. Y como los hubs son esencialmente una infraestructura como servicio, no tiene que moverse a una plataforma propietaria basada en la nube.

La infraestructura de SASE está esencialmente en la red, por lo que es bastante fácil para los nuevos clientes adoptarla. No es complicado. Sólo se tiene que encontrar un lugar, en alguna parte del mundo, y cruzarnos con la infraestructura de una empresa para ofrecer conectividad privada. Pero todo es muy parecido a una nube. Se necesita la agilidad de la nube y la velocidad de la nube para permitir que las empresas puedan actuar rápidamente.

 

SASE tiene capacidad de VPN preconstruida

El modelo SASE permite a las compañías expandir sus plataformas VPN fácilmente porque la capacidad está totalmente pre-construida. Una vez que el servicio se activa, la compañía está bien posicionada para apoyar a miles de nuevos trabajadores a domicilio.

Con respecto a un marco de tiempo realista para las empresas que son nuevas en el enfoque SASE, antes de que puedan esperar estar en funcionamiento con la capacidad ampliada de VPN, es cuestión de días o semanas. Depende de su plataforma de seguridad porque aprovechamos las funciones de la red virtualizada en el lado de la seguridad, por lo que todo el concepto de adquisición y envío de equipos desaparece. Cada proveedor puede hacer el despliegue de manera diferente.

Contrasta este enfoque con el modelo heredado de instalar nuevo hardware en un centro de datos para proporcionar más capacidad. Para cuando la compañía encarga el hardware, lo envía al centro de datos y luego lo instala y configura, pueden pasar dos o tres meses.

Otro beneficio del marco de trabajo de SASE es que el tráfico viaja a través de una red central privada en lugar de la Internet pública. Internet no debería convertirse en su nueva WAN – ciertamente no para negocios y plataformas de misión crítica. Se necesita una especie de red especializada similar a MPLS para las aplicaciones en la nube, que es lo que hace una plataforma SASE. El tráfico se saca de Internet en el perímetro seguro, se pone en una red privada segura y se enruta directamente al centro de datos de la plataforma SaaS o IaaS apropiada.

Disponer de una red básica privada es especialmente importante en este momento porque la Internet pública está sometida a una gran presión debido a los cambios en las pautas de tráfico y contenido ahora que tantas personas se quedan en casa o trabajan desde ella. La tensión es tan grande que el Comisario Europeo de Mercado Interior y Servicios ha pedido a empresas como Facebook y Netflix que estrangulen sus servicios para consumir menos ancho de banda. No quieres que tu tráfico corporativo compita por el ancho de banda contra Netflix y todos estos diferentes servicios de videoconferencia.

Si su organización está luchando por aumentar la capacidad de trabajo desde casa con rapidez, considere cómo podría ayudarle un servicio SASE.

 

Artículo original:https://www.networkworld.com/article/3534501/sase-might-be-better-than-vpns-for-quickly-ramping-up-remote-access.html

 

 

 

Related Articles

Leave A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Información