Plataforma SASE Diseñada para Instituciones Financieras

Proporcione Conectividad Rápida y Segura a Usuarios Desde Cualquier Lugar con Plataforma SASE Basada en la Contenerización para un Aislamiento Completo de los Datos

Con el aumento del ancho de banda, el tráfico cifrado, los cambios a aplicaciones en la nube como Microsoft 365 y los usuarios que ya no están limitados a los límites de la red tradicional, la capacidad de ofrecer conexiones rápidas, seguras y compatibles a las aplicaciones en la nube es más difícil que nunca.

Una plataforma Secure Access Service Edge, o SASE, garantiza que cualquier conexión que se origine desde un usuario o dispositivo a cualquier destino en la nube sea segura y cumpla con los requisitos de conectividad de la organización. Sin embargo, con las regulaciones financieras y los riesgos de seguridad asociados con las plataformas SaaS entregadas en la nube, aprovechar una plataforma SASE para una conectividad segura puede ser un desafío.

Las soluciones bajo una plataforma SASE que se basa arquitectónicamente en la contenerización permite ofrecer conectividad segura para los usuarios en cualquier lugar mientras mantiene una ruta de datos de red completamente aislada y controlada.

Además, una arquitectura totalmente en contenedores permite implementaciones híbridas naturales donde las características de seguridad de proxy y firewall se pueden entregar dentro de la red privada de una organización, al tiempo que aprovechan del servicio basado en la nube, si es necesario, para usuarios remotos o sucursales.

Mientras que el Tráfico Cifrado Domina la Nube, una Arquitectura de Nube Basada en Contenedores Hace que la Inspección de ese Tráfico sea Más Segura

Según el Informe de Transparencia de Google sobre HTTPS, el 99% de todo el tiempo de navegación es a través de conexiones HTTPS cifradas. Esto requiere que las conexiones sean descifradas por el servicio SASE para inspeccionar el contenido en busca de malware, infecciones y pérdida de datos. Para descifrar, se deben usar archivos de clave privada especiales que permitan inspeccionar el tráfico y esos archivos de clave deben estar disponibles para las puertas de enlace en la nube que realizan la inspección.

Con una arquitectura de nube no contenerizada, las claves de descifrado SSL privadas deben estar disponibles para las puertas de enlace que descifran el tráfico de red, pero esas puertas de enlace están descifrando y procesando el tráfico para cualquier organización que atraviese esa puerta de enlace.

Esto plantea un gran riesgo de seguridad, ya que los datos descifrados ahora se mezclan dentro de los proxies y firewalls en el servicio en la nube.

Para empeorar las cosas, proporciona un punto centralizado donde todas las claves privadas SSL están disponibles, de modo que si una clave se ve comprometida para una organización, todas las claves se ven comprometidas para las otras organizaciones a las que presta servicio la puerta de enlace en la nube.

Esto tiene serias implicaciones para las organizaciones de alta seguridad, como las instituciones financieras.

Arquitectura de Nube SASE Diseñada para Instituciones Financieras con Direcciones IP de Origen Dedicadas para Usuarios Independientemente de su Ubicación

Las instituciones financieras necesitan un conjunto predefinido de funciones de seguridad de red aplicadas a las conexiones de los usuarios antes de acceder a los recursos.

Esto es más fácil de lograr cuando los usuarios están en el sitio o dentro de las instalaciones propiedad y operadas por la compañía.

A medida que los usuarios se mueven fuera del perímetro de la red propiedad y operado por la empresa, la aplicación de las funciones de seguridad de red necesarias a las conexiones de red se vuelve muy desafiante ya que los usuarios están conectados a redes no confiables, como sus hogares o cafeterías, que están fuera del control del personal de TI de las instituciones financieras.

Los administradores de red no tienen la ventaja de configurar firewalls y enrutadores en redes que no controlan.

Sin embargo, la necesidad de aplicar una pila de seguridad de red obligatoria a las conexiones todavía existe.

Para empeorar las cosas, la dirección IP de origen del tráfico que se origina en redes remotas no confiables es aleatoria y anónima, lo que dificulta el acceso a recursos restringidos de aplicaciones en la nube solo a fuentes IP confiables.

La plataforma debe proporcionar una pila de seguridad de red consistente que se aplica a los usuarios, independientemente de su ubicación, incluidas las redes operadas por organizaciones financieras de confianza y las redes remotas no confiables.

Todo el tráfico originado por los usuarios debe de atravesar la plataforma SASE en la nube antes de llegar a su destino final, incluidos los destinos de nube pública y otros destinos como Microsoft 365.

Y debido a que la plataforma SASE se basa en la contenerización, la dirección IP de origen que es visible para el destino siempre está dedicada a la organización financiera. Esto significa que incluso si un usuario está trabajando desde una red remota, como su hogar, cuando el tráfico de red llega a la aplicación, como Microsoft 365, la dirección IP de origen que Microsoft 365 verá es la de la compañía financiera.

Esto tiene grandes ventajas para las organizaciones financieras que conectan a los usuarios con socios de confianza, proveedores y plataformas de TI desde ubicaciones fuera del perímetro de la red tradicional.

En primer lugar, cuando un usuario se conecta a un servicio de aplicaciones en la nube como Microsoft 365, la empresa puede garantizar que se han aplicado las directivas de seguridad de red que su organización ha implementado.

Esto se debe a que la dirección IP de origen solo es utilizada por los usuarios de esa empresa específica como proxy de puertas de enlace en contenedores y tráfico NAT sin mezclar datos y con la capacidad de preservar la IP de origen independientemente de la ubicación del usuario.

Esto es diferente a un modelo no contenerizado donde las direcciones IP de origen se comparten entre cualquier cliente que aproveche el servicio de seguridad en la nube.

Aunque puede existir una política de seguridad, no se puede garantizar que sea la política de seguridad de red asignada específicamente por la institución financiera.

Además, las direcciones IP dedicadas y adhesivas proporcionadas por el servicio SASE permiten a la empresa aplicar restricciones de inicio de sesión a las aplicaciones en la nube, lo que hace que las aplicaciones originalmente accesibles al público sean privadas. Por ejemplo, una aplicación de nube pública como Microsoft 365 se puede bloquear solo para las direcciones IP de origen que pertenecen a la empresa proporcionada por el servicio SASE.

Solo los usuarios conectados a través del servicio, y específicamente conectados a través de la cuenta de la agencia, podrán conectarse a la aplicación en la nube.

Alternativamente, con una arquitectura no contenerizada, cualquier usuario que aproveche el servicio SASE en la nube, independientemente de la organización a la que pertenezca, puede conectarse a la aplicación en la nube si se utilizan restricciones de inicio de sesión de IP.

Esto se debe a que las direcciones IP aprovechadas dentro del servicio SASE entre organizaciones se comparten y, aunque puede bloquear la aplicación en la nube en los rangos que pertenecen al servicio SASE en la nube, no puede garantizar que el usuario que accede a la puerta principal de la aplicación sea un empleado de la empresa.

Cualquier usuario que se ejecute a través del servicio SASE, perteneciente a cualquier cuenta del servicio SASE, puede acceder a la aplicación, ya que todo el espacio IP del servicio SASE tendría que usarse para bloquear la puerta principal de la aplicación en la nube.

Esto también plantea desafíos para garantizar que las políticas vigentes para conexiones de red seguras y compatibles con las aplicaciones en la nube.

Arquitectura SASE en Contenedores que es Naturalmente Híbrida para una Nube Privada Fácil de Implementar

Una arquitectura en contenedores permite que las puertas de enlace en la nube en contenedores se extiendan a su forma física para que puedan ejecutarse dentro de la propia red de la empresa. Esto incluye ejecutar las puertas de enlace dentro de una oficina o centro de datos.

Las puertas de enlace en contenedores se ejecutan en una infraestructura física que se encuentra dentro de la organización y tienen la capacidad de enviar tráfico proxy y firewall directamente dentro del perímetro de la organización sin enviar ese tráfico a través de las puertas de enlace en la nube que se ejecutan dentro del servicio.

Esto es muy diferente a los servicios SASE alternativos que no se basan en la contenerización y no tienen la capacidad de extenderse naturalmente a la forma de nube privada.

Cuando las puertas de enlace en contenedores se deben de ejecutar en sitio, dentro de la red de la empresa, están vinculadas a la huella global de la nube en contenedores. Esto significa que el tráfico de usuarios remotos no tiene que volver al centro de datos de la empresa sin dejar de tener las mismas políticas de seguridad de red y los mismos intervalos de direcciones IP de origen que se utilizan dentro de las puertas de enlace privadas que se ejecutan en el centro de datos de la empresa.

Las implementaciones pueden ser tantas puertas de enlace de nube privada y puertas de enlace en la nube como sea necesario e incluso pueden cambiar con el tiempo. Esto proporciona la flexibilidad para pasar de un modelo de dispositivo de nube privada local a un modelo SASE completo a lo largo del tiempo y con facilidad, al tiempo que obtiene los beneficios de proteger a los trabajadores remotos de inmediato hoy.

Plataforma SASE Premier para Zero Trust y Seguridad Cloud

Dé el siguiente paso para cambiar a la plataforma de seguridad más grande del mundo creada para el futuro.

Regístrese para obtener una demostración para ver cómo iboss Cloud Platform cierra las brechas de seguridad de la red, reduce los costos y ayuda a capacitar a su fuerza de trabajo remota.