La solución SSE de Microsoft Global Secure Access se lanzó el pasado julio. El producto ha despertado mucho interés, y no es de extrañar, ya que la arquitectura Zero Trust, SASE y las tecnologías SSE han estado generando interés durante bastante tiempo en las organizaciones. Además, las amenazas de ciberseguridad en constante evolución han llevado a los departamentos de TI a buscar soluciones para mejorar su seguridad.
Escribí sobre Global Secure Access por primera vez la pasada primavera en nuestro blog. Se puede leer
¿Qué es Global Secure Access?
Global Secure Access es la solución SSE (Security Service Edge) de Microsoft. En el servicio, el tráfico de red de las estaciones de trabajo (y/o redes) se dirige para servicios específicamente definidos a través del servicio Secure Edge de Microsoft, desde donde el tráfico se dirige y autoriza mediante el control de acceso condicional a servicios definidos. Los beneficios provienen de que en el servicio se puede configurar, por ejemplo, que todo el tráfico pase a través de la red perimetral SSE proporcionada por Microsoft y bloquear el acceso desde otras redes. Además, con el control de acceso condicional se puede realizar una autenticación sólida y establecer diferentes requisitos para que el dispositivo final pueda establecer la conexión. Esto aporta una protección adicional significativa a las identidades y prácticamente protege casi automáticamente contra ataques de ciberseguridad en los que se han obtenido las credenciales de Microsoft 365 del usuario mediante phishing.
Global Secure Access aprovecha los principios Zero Trust, como el uso de privilegios mínimos, verificación explícita y asunción de violación. La gestión y configuración del servicio se realiza en el portal de administración de Microsoft Entra. Global Secure Access requiere una aplicación instalada en el dispositivo final para funcionar. Las características del servicio también se pueden implementar a nivel de red, en cuyo caso no se necesita necesariamente la aplicación instalable en los dispositivos finales. El software cliente está disponible para dispositivos Windows
Microsoft Entra Private & Internet Access
Global Secure Access consta de las funcionalidades Microsoft Entra Private e Internet Access. Con Entra Private Access se gestiona el control de acceso dirigido a redes internas y, correspondientemente, con Entra Internet Access los servicios públicamente disponibles de la organización, como diferentes servicios SaaS, por ejemplo el servicio Microsoft 365.
Microsoft Entra Private Access permite a los usuarios conectarse a aplicaciones ubicadas en las redes internas de la organización desde dispositivos y redes. El servicio puede reemplazar las soluciones VPN tradicionales con control de acceso condicional, inicio de sesión único y la red perimetral SSE de Microsoft. Las configuraciones de control de acceso se pueden implementar de manera muy segmentada hasta el nivel de IP y protocolo.
Microsoft Entra Internet Access es un servicio que permite asegurar el control de acceso a diferentes aplicaciones de internet y SaaS de la organización, así como recursos mediante una solución Secure Web Gateway (SWG). El servicio combina el control de acceso condicional, filtrado de contenido web, protección contra amenazas de ciberseguridad y gestión de seguridad de red en el portal de administración centralizado de Microsoft Entra. El servicio también permite realizar filtrado de contenido web basado en contexto, que bloquea sitios inapropiados, maliciosos o inseguros para los usuarios.
El servicio Microsoft Entra Internet Access for Microsoft 365 Service permite asegurar el control de acceso al servicio Microsoft 365. Microsoft ha puesto esta característica disponible sin adquisiciones de licencias separadas. Sin embargo, se requiere como base Entra ID P1 para que sea posible el uso del servicio.
Licenciamiento
Las funcionalidades de Global Secure Access requieren como base Microsoft Entra ID P1, que está incluido, por ejemplo, en Microsoft Business Premium y licencias E3.
Microsoft Entra Suite cubre todas las características de Global Secure. Su precio de lista es de ~11,20 euros por usuario/mes. Para clientes de Entra ID P2/Microsoft 365 E5 está disponible un precio especial.
El precio de lista de la licencia Microsoft Entra Private Access es de ~5,70 euros por usuario/mes.
El precio de lista de la licencia Microsoft Entra Internet Access es de ~5,70 euros por usuario/mes.
Microsoft Entra Internet Access for Microsoft 365 Services está disponible sin adquisiciones de licencias separadas, siempre que la organización tenga en uso Microsoft Entra ID P1.
Resumen
La característica Microsoft Entra Private Access de Global Secure Access es una excelente opción para la organización cuando se considera un reemplazo para las soluciones VPN actuales. Con ella se obtiene un control de acceso muy precisamente segmentado a los servicios de red interna, lo que ayuda a reducir significativamente la superficie de ataque. Típicamente en una solución VPN tradicional la red interna está abierta de manera demasiado amplia y, en el peor de los casos, combinada con configuraciones de autenticación débiles, causa amenazas de ciberseguridad significativas.
En nuestro uso de prueba, las características de Global Secure Access han funcionado principalmente sin problemas, y la configuración de los servicios no es muy compleja. El lado de Microsoft Entra Internet Access aún necesita, en mi opinión, funcionalidades y mejoras en ciertas funciones, pero el servicio Private Access, por su parte, ya está bastante preparado para uso en producción. ¡Recomiendo encarecidamente probarlo!
¿Se interesó en saber más sobre cuál sería exactamente la mejor manera para su organización de comenzar a implementar un entorno de trabajo más seguro y funcional de la mejor manera posible? Póngase en contacto a continuación y hablemos más.