En nuestras entradas anteriores de esta serie, hemos dado una breve visión general de las dos tecnologías dominantes para el acceso remoto seguro hoy en día: IPsec y SSL VPNs. Aunque ambas pueden utilizarse para dar soporte a los trabajadores remotos (» o a las sucursales «) y a una plantilla distribuida entre oficinas remotas, es mucho más común utilizar las VPNs IPsec para las sucursales con múltiples usuarios, y las VPNs SSL para los trabajadores remotos individuales.
Debido a una base instalada muy amplia y a los costes asociados a la reeducación de los usuarios finales, es probable que las VPN IPsec y SSL sigan utilizándose en un futuro próximo. Sin embargo, con un panorama de amenazas en evolución y una fuerza de trabajo cada vez más distribuida, junto con la adopción de la nube, es bastante obvio que una estrategia tradicional basada en el perímetro para la seguridad de la red pronto dejará de ser adecuada.
La empresa de análisis del sector Gartner ha propuesto el Secure Access Service Edge (SASE) como el sucesor lógico de las actuales tecnologías de acceso remoto seguro. El paraguas de SASE incluye SD-WAN, pasarelas web seguras, corredores de seguridad de acceso a la nube, acceso a la red de confianza cero (ZTNA) y firewall como servicio (FWaaS) en un grupo de servicios flexible y extensible basado en la nube.
Aunque alcanzar inmediatamente el SASE puede parecer un objetivo inalcanzable, sobre todo teniendo en cuenta las amplias infraestructuras de VPN que muchas empresas ya han desplegado, en realidad se concibe como un proceso, más que como una operación completa de arrancar y reemplazar. Las tecnologías están disponibles hoy en día para empezar y pueden superponerse a las arquitecturas existentes para reforzar la seguridad y prepararse para el futuro. He aquí un par de ejemplos.
SD-WAN y las infraestructuras VPN existentes
Aunque el concepto de red de área amplia definida por software (SD-WAN) existe desde al menos el 2014, la empresa de análisis del sector IDC predice un asombroso crecimiento del mercado de más del 30% entre 2017 y 2023. Según IDC, los factores impulsores incluyen la capacidad de SD-WAN para soportar entornos SaaS y multi-nube, así como su facilidad de gestión y mayor rendimiento.
La SD-WAN puede coexistir fácilmente con las VPNs IPsec y SSL heredadas y permite el uso de múltiples enlaces de banda ancha menos costosos en lugar de los costosos MPLS, al tiempo que proporciona una mayor seguridad, un despliegue sin intervención y una gestión centralizada. Otra ventaja importante es la capacidad de SD-WAN de utilizar enlaces de datos móviles 3G/4G/5G, que pueden proporcionar una conexión continua en caso de un desastre natural que inhabilite las líneas telefónicas.
Con la solución SD-WAN adecuada, se puede iniciar la migración a SASE ahora, al tiempo que se obtiene la capacidad de ver hasta el borde distribuido, comprender qué aplicaciones se están ejecutando y actuar para priorizar y asegurar el tráfico de forma adecuada. Una solución SD-WAN segura ayudará a establecer una base establecida en la seguridad que es ciber-resistente, capaz de soportar oleadas de amenazas. Consulte la documentación sobre SD-WAN de Hillstone para obtener una visión general.
ZTNA refuerza la seguridad de los perímetros
Otro componente de la arquitectura SASE, la ZTNA, es otro paso lógico que hay que dar hoy para aumentar la infraestructura VPN existente y prepararse para el futuro. Hemos escrito ampliamente sobre ZTNA en nuestros blogs anteriores porque creemos que es fundamental para asegurar el perímetro en constante expansión engendrado por la pandemia de COVID y otras fuerzas.
El mantra de la ZTNA es «nunca confíes, siempre verifica», es decir, conceder sólo el nivel preciso de acceso y autorización que necesita un usuario determinado, independientemente de su ubicación física o de red, o de si el dispositivo que solicita el acceso es propiedad de la empresa o del individuo.
Mientras que las VPN IPsec y SSL tienen cada una sus propios niveles de autenticación, ZTNA añade otra capa de seguridad que puede ayudar a garantizar que ningún usuario o dispositivo se considere «de confianza» hasta que esté totalmente autenticado, y que el acceso concedido se limite sólo a los recursos permitidos. Además, ZTNA trasciende la red física para abarcar la nube, el centro de datos, el SaaS y otros activos.
Aunque añadir otra capa de complejidad puede parecer tedioso, esta seguridad en capas es lo que contribuye a una infraestructura de seguridad ciber-resistente. Hoy en día, los ataques son de varias capas y etapas. Los métodos de ataque maliciosos, como el DDoS, se utilizan a menudo como cortina de humo para enmascarar la verdadera amenaza. Creemos que SD-WAN, ZTNA y SASE son el camino a seguir, ya que los equipos de seguridad se enfrentan a un panorama de amenazas que evoluciona rápidamente y a un perímetro de red que se multiplica. Para obtener más información sobre las soluciones de Hillstone y cómo pueden ayudar a la transición a SASE, póngase en contacto con su representante local de Hillstone o distribuidor autorizado hoy mismo.
