Broadcom, un solo fabricante con soluciones para SSE (Secure Services Edge) y SASE (Secure Access Service Edge)

La adopción de servicios y aplicaciones basados en la nube mejora significativamente la productividad de las empresas. El trabajo remoto desde casa o diferentes lugares expande la capacidad de contratar personal incluso desde diferentes ubicaciones nacionales o internacionales. Pero ¿cómo podemos asegurar que las políticas y seguridad que se tiene en la plataforma física de la compañía se extiendan para dar cobertura a las nuevas demandas que usa la computación en la nube? Para esta problemática se pueden adoptar dos frameworks con soluciones de protección para ambientes de nubes; estos frameworks son SSE (Secure Services Edge) y SASE (Secure Access Service Edge).

Para cumplir con el framework de SSE y SASE se debe contar con las siguientes soluciones de seguridad en el entorno corporativo.

1. Secure Web Gateway: Este es un dispositivo o servicio SaaS el cual actual como punto de entrada para acceder a otras redes más conocido como Proxy, este servicio cada vez evoluciona para garantizar los controles de acuerdo con la evolución de las aplicaciones y riesgos asociados a la computación en la nube. Ya se puede conseguir este servicio con protecciones básicas como lo es filtrado de navegación basado en categorías, aplicaciones o URL.
2. SSL Decrypt: La gran mayoría del tráfico en internet hoy en día es un tráfico seguro cifrado por técnicas conocidas como SSL o TLS, para poder analizar el contenido del trafico en las estaciones administradas se debe realizar un descifrado del tráfico, capacidad que ofrece los servicio de Secure Web Gateway
3. DLP: Prevención de Fuga de información, los Sistemas de DLP (Data Loss Prevention) analizan el contenido de cada archivo o correo electrónico que sale por los diferentes canales que tiene los usuarios para enviar información (Correo electrónico, Servicios Web, Unidades de almacenamiento removibles, etc.) y compararlos con las políticas definidas por la compañía y así determinar que la información que sale de la compañía por estos canales no contenga información confidencial o restringida de la compañía.
4. CASB: (Cloud Access Security Broker) La adopción de Servicios SaaS como office365 o Gsuite permite reducir los recursos usados en la plataforma on-premise como servidores colaboración como servicios de correo, servidores de archivos. Con los servicios SaaS podemos trasladar estos servicios a un proveedor de servicio, este servicio también hay que monitorearlo y aplicar controles estos servicios. “CASB” nos permite determinar cómo es usada la información en estos recursos de nube y determinar el grado de exposición de los documentos de la compañía ya cargados a estos repositorios (datos en reposo), adicionalmente ofrecen reglas para detección de información confidencial DLP ya sea en el mismo servicio o integrándose con soluciones especialidades para este fin. También ofrecen reglas para detección de comportamientos anómalos de los usuarios y políticas de bloqueo: acceso a otros portales diferentes a la compañía, carga y descarga de información bloqueo para compartir información.
5. Zero Trust (ZTNA): o como en español se conoce como “confianza cero” este modelo implica dar acceso a los recursos de la compañía a dispositivos administrados o no administrados sin la necesidad de configurar o instalar clientes VPN en los dispositivos que acceden desde redes externas. Este servicio consta de un portal web (Servicio SaaS) el cual usa un conector instalado en la red corporativa el cual sirve como un intermediario para el acceso a los recursos. Este servicio está en la capacidad de ofrecer acceso especifico a los servicios internos de la compañía por medio de un portal de acceso facilitando el acceso y aumenta la seguridad ya que no es necesario abrir puertos de conexión en el firewall
6. Cloud Firewall: Es muy común hoy en día cuando las estaciones Corporativas se conectan a redes diferentes a las redes de la compañía tenga una navegación libre y conexión a puertos de navegación no estándares como los puertos 8080, 8443 entre otros. Ya es común el termino de Cloud Firewall. Con este servicio se puede aplicar políticas de Firewall permitiendo los puertos autorizados y restringiendo los puertos que no deban usar los usuarios
7. Continual Monitoring o Shadow IT: TI de las sombras, el aumento de aplicaciones en la nube y que los usuarios usan habitualmente hace se abra una brecha de seguridad porque no se tienen conocimiento de aquellas aplicaciones que se están usando y mucho menos el riesgo que existe en el uso de estas aplicaciones, a veces hasta un simple aplicativo para convertir un archivo de Word a un archivo PDF puede exponer la información confidencial de la compañía. Existen herramientas las cuales con una base de información basada en los registros de navegación (logs) de los dispositivos perimetrales (Proxy o Firewall) puede ayudar al departamento de TI para determinar cuáles son las aplicaciones que los usuarios están usando, también se puede determinar y realizar un cruce con base de datos de aplicaciones y determinar si las aplicaciones usadas cumplen con los requerimientos mínimos de seguridad o si estos requerimientos pueden ser cubiertos por controles adicionales para así sancionar (permitir) su uso, monitorearlo o simplemente bloquearlo.
8. Web Isolation: es la capacidad Aislamiento del navegador esta capa de seguridad permite crear una distancia entre el navegador del equipo y el sitio WEB que se está visitando, de esta manera proteger el dispositivo ejecutando la página original en el servicio de aislamiento permitiendo que el usuario acceda de una manera segura al sitio sin la necesidad que los códigos presentes en el sitio web afecten al dispositivo
9. SandBox: los fabricantes cada vez incorporan más controles como el control de Amenazas Avanzadas y así poder Emular un ambiente virtual para ejecutar los Archivos descargados o que están adjuntos a un correo electrónico y ejecutarlos en este ambiente para detectar amenazas o código malicioso incrustado en estos archivos y bloquearlos
10. SD-WAN: existe diferentes descripciones de la SD-WAN, la más genérica la pueden encontrar en Wikipedia en la cual define “es una red de área extensa definida por software que utiliza redes definidas por software a través de internet que usa túneles que se cifran cuando se destinan ubicaciones dentro de la empresa”. La SD-WAN ya es bastante usada las empresas están cambiando sus reden WAN o MPLS por este nuevo esquema.

Existen diferentes fabricantes de Software y hardware para cada uno, se recomienda hacer un análisis de cada una de ellas para poder así escoger cual es la mejor para cada una de ellas también se debe analizar la capacidad de integrarse con otros para así cubrir todas las necesidades con el mínimo esfuerzo en la implementación y administración. Broadcom Software con la adquisición de las empresas Symantec y VMWare cubre el esquema completo de SSE con Productos Symantec y SASE con en conjunto con la Solución de VeloCloud de VMWare para SD-WAN. A continuación, los Servicios de SSE y SASE con el Software de Broadcom que cubre con cada uno de estos servicios.