Explicando las diferencias entre SSE vs SASE y VPN

Hubo un tiempo en el que las VPN o redes privadas virtuales tenían sentido como una forma para que los usuarios remotos accedieran a los recursos corporativos. Durante mucho tiempo, las aplicaciones y servicios que necesitaban los usuarios remotos se encontraban detrás de redes privadas o centros de datos. Una VPN actuaría como un punto de conectividad o extremo de cabecera hacia esos recursos ubicados en la red privada. Sin embargo, las organizaciones actuales son muy diferentes, con cada vez más servicios basados en SaaS y en la nube que se acceden directamente desde internet en lugar de redes privadas.

Un informe reciente de Netskope encontró que la empresa promedio tiene alrededor de 1000 aplicaciones SaaS. Estas aplicaciones están altamente distribuidas y diseñadas para ser accedidas directamente por el usuario según su ubicación geográfica. De repente, hacer que el tráfico del usuario regrese a una ubicación central ya no tenía sentido. La SAP y el punto central de terminación introducían mayor latencia, tiempos de ida y vuelta más largos y cuellos de botella que debían abordarse, mientras que reducían el rendimiento y aumentaban el costo debido a los requisitos de equipo necesarios para mantenerse al día con la demanda.

Esta explosión de servicios basados en SaaS y en la nube significó que un punto de red y seguridad central ya no era viable, incluso antes del COVID, las organizaciones modernas ya se estaban moviendo hacia una fuerza laboral cada vez más remota. Los usuarios y aplicaciones están altamente distribuidos y, para obtener la mejor experiencia de usuario, los usuarios deben acceder a estas aplicaciones SaaS directamente mientras mantienen sus políticas y controles de seguridad desde cualquier lugar donde se conecten.

Secure Access Service Edge o SASE intentó resolver este problema al proporcionar servicios de seguridad y red en ubicaciones distribuidas de PoP. Los proveedores de SASE tienen una presencia global muy amplia con ubicaciones de PoP alojadas en varias regiones. Luego se asociarían con proveedores de red de nivel 1 como AT&T o Verizon para tener acceso directo preferido a casi cualquier punto en Internet al que necesiten llegar. Los usuarios se conectan a su ubicación de PoP más cercana, que los enruta hacia la aplicación SaaS o recurso privado según a dónde se dirige su tráfico. La seguridad se aplica en el lugar desde donde el usuario se conecta, en lugar de Europa por la mañana y California por la tarde.

Los componentes y casos de uso de SASE, que se pueden categorizar en estos cuatro requisitos principales:

1. Secure Web Gateway (SWG) que conecta y asegura a los empleados remotos a sus servicios SASE, de nube o de internet. Según Gardner, también debe incluir como mínimo filtrado de URL, detección y bloqueo de códigos maliciosos, identificación y control de aplicaciones, y casi siempre incluirá algún tipo de servicio de firewall.
2. Cloud Access Security Brokers (CASB) proporciona un control de acceso y seguridad granular a las aplicaciones SaaS como Office 365 y Salesforce.
3. Zero Trust Network Access (ZTNA) conecta a los usuarios a recursos privados en una red corporativa o centro de datos.
4. SD-WAN. Este era un dispositivo de extremo de WAN que conectaba ubicaciones corporativas como una sucursal o sede a un proveedor de WAN público o privado y tomaba decisiones de enrutamiento inteligentes basadas en múltiples rutas hacia el destino. Para los proveedores de SD-WAN sin seguridad incorporada como Silver Peak o VeloCloud, la integración significaba que podían descargar esos servicios al pop de SASE más cercano para su inspección.

SASE en sí no es una tecnología, sino más bien un paquete de cuatro servicios diferentes que se unieron bajo una o como máximo dos soluciones de proveedores para proporcionar un único lugar para controlar el acceso y las políticas en los cuatro de estos servicios. Gardner predice que para 2025, más del 60% de las empresas tendrán estrategias y un cronograma para migrar a SASE. Y aunque este es un mercado en auge, la visión consolidada e integración de la seguridad y la red en una única o doble solución de proveedor ha dejado mucho que desear.

Como acabamos de revisar, SASE está compuesto por cuatro tecnologías: Secure Web Gateway, CASB, ZTNA y SD-WAN. Para lograr la visión de SASE, los proveedores de seguridad como ZScaler y Netscope tuvieron que asociarse con los proveedores de SD-WAN como Velo Cloud o VipTela. En términos prácticos, la integración entre los proveedores de seguridad y de red no solo ha demostrado ser muy difícil, sino que también ha brindado a los usuarios pocas opciones al elegir lo mejor de cada uno. Si desea los servicios de seguridad de ZScaler pero los servicios de networking de VibTella, es posible que no tenga toda la integración que realmente necesita para lograr la visión de SASE. Y en un mundo post-COVID, es posible que ni siquiera necesite SD-WAN en primer lugar. Es por eso que se formó una nueva categoría por completo que define los servicios de seguridad de SASE sin los requisitos de networking.

Security Service Edge o SSE fue anunciado por Gardner en 2021 e incluye solo aquellos componentes de seguridad de SASE, es decir, Secure Web Gateway, CASB y ZTNA. La diferencia entre SASE y SSE es que SASE no incluye los componentes de red de SD-WAN o los servicios opcionales como LAN inalámbrica. En otras palabras, la networking se ha eliminado por completo. Al igual que SASE, SSE también incluye los componentes opcionales de seguridad de DLP, Sandbox, NAC o control de acceso a la red y algunos otros. Sin embargo, su objetivo se centra solo en los aspectos de seguridad sin ninguno de los requisitos de networking. Esto hace que SSE sea una solución ideal para organizaciones que no necesitan SD-WAN o que quieren elegir un enfoque lo mejor de cada uno al elegir un proveedor de seguridad y SD-WAN.

En última instancia, SSE es un componente de SASE, pero sin SD-WAN y, dependiendo de su organización, ambos tienen como objetivo resolver el problema de proporcionar seguridad y acceso a la red para trabajar desde cualquier lugar (WFA) sin ninguna restricción o limitación del punto de terminación central que se presenta en una VPN. La decisión de elegir SASE o SSE realmente depende de si tiene requisitos de conectividad local. En este mundo post-COVID, donde las organizaciones comienzan lentamente a volver a la oficina o tienen un enfoque híbrido, SASE proporciona una manera para que las oficinas impongan una seguridad consistente en cualquier lugar donde se encuentren los usuarios, ya sea que trabajen desde cualquier lugar o de regreso en la oficina. Para organizaciones que son 100% remotas o que no necesitan SD-WAN, SSE puede ser la solución adecuada para usted.