La arquitectura Zero Trust y las tecnologías SASE y SSE han sido temas candentes durante los últimos años. Ahora Microsoft también está introduciendo su propia solución SSE al mercado. Pero, ¿de qué se trata realmente?
SASE (Secure Access Service Edge)
SASE (Secure Access Service Edge) es una solución integral de seguridad gestionada en la nube que, siguiendo la arquitectura Zero Trust, conecta de forma segura usuarios, sistemas, puntos finales y redes remotas con las aplicaciones y recursos utilizados por la organización. Los dispositivos finales de los empleados y las conexiones a los servicios están protegidos y limitados únicamente a los servicios que necesitan, independientemente de dónde trabajen. SASE proporciona técnicamente la posibilidad de una arquitectura Zero Trust, donde ninguna red se considera confiable, ni siquiera la red interna de la empresa, como se ha considerado tradicionalmente en la arquitectura de red tradicional.
En la arquitectura de red tradicional de las organizaciones, es muy común que el control de acceso se implemente mediante una solución VPN, que permite a los usuarios acceder a los servicios en la red interna de la organización. A menudo, en estas soluciones, las organizaciones no han realizado ninguna segmentación de la red interna. A través de la conexión VPN, se abre el acceso a toda la red interna. La seguridad está en riesgo si un actor criminal ha logrado infiltrarse en la solución VPN o si se accede con un dispositivo final infectado sin saberlo. Además, la seguridad de la solución VPN a menudo ya no cumple con los requisitos actuales.
Las soluciones SASE también pueden generar ahorros. Las soluciones SD-WAN basadas en software que forman parte de ellas pueden reemplazar, entre otras cosas, las conexiones de red MPLS ofrecidas por los operadores de red. La tecnología MPLS se ha utilizado tradicionalmente para conectar diferentes ubicaciones de las organizaciones en términos de telecomunicaciones. Las soluciones SD-WAN suelen ser significativamente más económicas que las soluciones MPLS, abriendo también el campo de operadores a una mejor competencia.
SASE en resumen
Control de acceso basado en información de usuario y dispositivo: El usuario tiene acceso, tanto en términos de permisos como técnicamente, solo a los servicios que necesita, siguiendo la arquitectura Zero Trust
Gestión centralizada basada en la nube: Todas las partes de la red de la organización están protegidas bajo el mismo «paraguas».
Los usuarios están protegidos según un modelo uniforme, independientemente de su ubicación.
SSE (Security Service Edge): SSE (Security Service Edge) es una de las partes de SASE que puede implementar conexiones seguras desde dispositivos finales a servicios internos de la organización, ya sea que estén en servicios en la nube o en infraestructura local. Sin embargo, no está diseñado para conectar redes seguras entre diferentes ubicaciones.
Microsoft SSE (Security Service Edge)
El servicio SSE (Security Service Edge) de Microsoft se llama Global Secure Access. En el servicio, el tráfico de red de las estaciones de trabajo se dirige, para servicios específicamente definidos, a través del servicio Secure Edge de Microsoft, desde donde el tráfico se dirige y autoriza mediante gestión de acceso condicional a los servicios definidos. El uso del servicio requiere prácticamente la instalación de la aplicación cliente Global Secure Access en las estaciones de trabajo. El servicio también se puede implementar a nivel de red, pero sin la aplicación cliente no es posible autorizar, por ejemplo, el control de acceso a los servicios de la red interna de la organización.
Actualmente, el servicio aún está en estado de Vista Previa Pública y la información de precios aún no está disponible. El servicio se puede poner en piloto con una licencia Entra ID Plan 1, que viene incluida, por ejemplo, con el paquete de licencia Microsoft365 Business Premium. Los sistemas operativos compatibles para la aplicación cliente Global Secure Access son Windows 10/11 y Android. El soporte para sistemas operativos MacOS e IOS está actualmente en estado de Vista Previa Privada, es decir, aún no está disponible públicamente.
El servicio Microsoft Global Secure Access consta de las siguientes áreas:
- Restricción de control de acceso a servicios Microsoft365 basada en información de usuario, red y dispositivo
- Control de acceso seguro a servicios de red interna, ya sea que estén en la infraestructura local de la organización o en plataformas en la nube, sin abrir puertos de comunicación en el firewall desde la red externa hacia la red interna
- Características de filtrado de tráfico de Internet
- Bloqueos de acceso basados en contenido o dirección de red
Resumen
Global Secure Access, junto con la gestión de acceso condicional, proporciona la capacidad de restringir granularmente el control de acceso al servicio Microsoft365, a los servicios en redes internas y, cuando sea necesario, en términos de contenido y tráfico de Internet, siguiendo la arquitectura Zero Trust. Esto proporciona una protección significativa adicional para evitar que actores criminales accedan a los servicios de la organización, por ejemplo, en situaciones donde las credenciales de los usuarios han sido comprometidas.
Sin embargo, es importante señalar que Global Secure Access aún tiene deficiencias, como se puede esperar de un servicio en estado de Vista Previa Pública, pero el servicio ya parece muy prometedor en esta etapa. Sin embargo, no es una solución SASE integral, por lo que en este caso vale la pena considerar, por ejemplo, la familia de productos Cisco Meraki, que también se encuentra en nuestra cartera de servicios.
¿Le interesa saber más y descubrir cuál sería la manera correcta para que su organización implemente un entorno de trabajo más seguro y funcional de la mejor manera posible? ¡Contáctenos y hablemos más!