el - fecha de última edición por
Hilda Arteaga
- Introducción
- Preguntas de la sesión
- P: ¿SASE tiene como ingrediente SD-WAN?
- P: ¿SD-WAN es un check list, o cuáles son los componenetes de SASE?
- P: ¿Dónde entrarían los proveedores de servicio de internet que también ofrecen algunos productos de seguridad?
- P: En las 3 respuestas mencionadas, Cisco tiene productos de SASE ¿qué comentarios se pueden mencionar?
- P: ¿Cloudlock como solución de CASB desaparece? ¿O queda embebida en Umbrella?
- P: ¿A qué se refieren con Gartner y SASE?
- P: ¿Cuánto se podría cobrar por las instalaciones de los programas?
- P: ¿Qué latencia se debe agregar para usar full proxy y firewall en la nube?
- P: ¿Existe una licencia gratuita de Umbrella para uso personal?
- P: ¿Qué tan madura es la solcuión de Umbrella en cuanto a Firewall y en cuanto a CASB?
- P: ¿Actualmente Cisco Umbrella ya aplica esas políticas de seguridad?
- P: Por ejemplo ¿es posible tener una política de Firewall diferente para cada usuario remoto?
- P: Con este servicio de FW en Umbrella ¿se pueden reemplazar los típicos FW perimetrales, FTD Por ejemplo?
- P: ¿Para tener la funcionalidad de Firewall es con algún tipo de licencia adicional o diferente?
- P: En una matriz donde tengo firewall FTD robusto ¿cómo es la arquitectura de conexión WAN, porque si los enlaces WAN van hacia el Firewall, cómo se gestionan los enlaces WAN desde el ISR para el tema de SDWAN?
- P: ¿Puedes hablar un poco de cómo se adapta lo que estas conversando con la automatización y la tendencia a menor trabajo manual?
- P: El problema que veo con Umbrella es la latencia que hay o había por estar lejos de LATAM ¿ya estará habilitado o habilitaran pronto un DC de Umbrella en LATAM?
- P: ¿Cómo se controlarían las políticas de seguridad en la nube para que sean aplicadas a todos los usuarios (vengan de una LAN, VPN, internet) que consulten servicios en la nube? ¿Hay que agregar nuevos equipos de Cisco en la nube?
- P: Para habilitar esas funcionalidades en Umbrella ¿es necesario contar con un equipo físico en el sitio del cliente?
- P: ¿Cómo lo tiene la competencia, un solo producto de ellos hace SASE?
- P: ¿Qué licencias requieren los firewalls, ISR, MX para ese nivel de integración de túneles?
- Información Relacionada
Este evento tuvo lugar el 16 de Diciembre a las 10:00hrs CDT (utc -6)
Introducción
En este evento el experto en seguridad habla de la solución Secure Access Service Edge (SASE) de Cisco y del conjunto creciente de funciones de seguridad que ofrece desde un servicio nativo de la nube, así como de la oferta unificada de SD-WAN y seguridad que proporciona en la nube. Conozca las nuevas funciones del Secure Web Gateway de Cisco Umbrella, el firewall entregado en la nube, la capacidad de CASB y la integración con SecureX. Estas funcionalidades se combinan para obtener visibilidad, protección y el control de su tráfico de Internet al tiempo que simplifican la implementación y la administración de la seguridad.
Gustavo Medina trabaja actualmente como Cybersecurity Technical Solutions Architect. Cuenta con más de 11 años de experiencia en tecnologías empresariales de ciberseguridad desde que se unió a Cisco en el 2009 y ha trabajado en distintas ubicaciones como: Heredia, Costa Rica; Carolina del Norte, Estados Unidos y Ciudad de México, México. Se especializa en toda la gama de tecnologías de seguridad y a lo largo de su carrera se ha enfocado en distintas tareas como: diseño y consultoría de estrategias de seguridad para clientes empresariales, escalaciones técnicas, la habilitación de Partners a nuevas tecnologías, la revisión de exámenes de oficiales de las certificaciones de Cisco, la creación de contenido técnico para cisco.com y la ponencia de temas en eventos de Cisco Live. Gustavo cuenta diversas certificaciones como, CCNA, Devnet, CCSI, CCNP y un CCIE en Seguridad (# 51487).Puede descargar los slides en formato PFD aquí y el video de la sesión aquí.
Preguntas de la sesión
P: ¿SASE tiene como ingrediente SD-WAN?
R: Sí, SD-WAN es parte de SASE, es uno de sus componentes.
P: ¿SD-WAN es un check list, o cuáles son los componenetes de SASE?
R: No es un checklist; SDWAN, CASB, Cloud Firewall, Malware Analytics, SSL Decryption, entre otros son componnetes que SASE maneja.
P: ¿Dónde entrarían los proveedores de servicio de internet que también ofrecen algunos productos de seguridad?
R: En la implementación de SDWAN, administración de Umbrella, y políticas entre otros. Por ejemplo, diversos proveedores utilizan Umbrella para servicios de SOC, IR, entre otros.
P: En las 3 respuestas mencionadas, Cisco tiene productos de SASE ¿qué comentarios se pueden mencionar?
R: Cisco tiene la solución completa de SASE (los servicios de RED (onprem, cloud) + Servicios de seguridad cloud). Puedes tener las soluciones también por separado, por estrategia o Roadmap para llegar a SASE.
P: ¿Cloudlock como solución de CASB desaparece? ¿O queda embebida en Umbrella?
R: Umbrella SIG incorpora las funcionalidades de Cloudlock y más.
P: ¿A qué se refieren con Gartner y SASE?
R: SASE al final no es un estándar es como una recomendación de Gartner que en base a la evolución del Mercado y la forma de conectarnos menciona que soluciones deberían de implementarse y a ese conjunto de Apps y Funcionalidades le llamo SASE
Pero como Gartner lo recomendó, ahora los fabricantes quieren cumplir con esa recomendación aquí el libro de Cisco de SDWAN para Dummies (como asistente de la sesión se los recomiendo) https://umbrella.cisco.com/info/secure-access-service-edge-sase-for-dummies-ebook
P: ¿Cuánto se podría cobrar por las instalaciones de los programas?
R: El costo del despliegue lo determina el proveedor, a menos que se adquiera un servicio de implementación de Cisco.
Además, es un concepto en la nube, las políticas están centralizadas, es decir; una sola política incluye todos los componentes de seguridad. Entonces, los despliegues se requieren solo para situaciones/funcionalidades específicas. Por ejemplo, en el caso de Umbrella se tiene que hacer una instalación de un Agente, AnyConnect para los usuarios remotos.
P: ¿Qué latencia se debe agregar para usar full proxy y firewall en la nube?
R: Dependerá de varios factores, pero, por ejemplo; en cuanto a navegación web, por debajo de los 300ms.
P: ¿Existe una licencia gratuita de Umbrella para uso personal?
R: No es una licencia, porque no tienes acceso al dashboard, pero si puedes hacer uso de los DNS de Umbrella, que son estos: 208.67.222.222 - 208.67.220.220
P: ¿Qué tan madura es la solcuión de Umbrella en cuanto a Firewall y en cuanto a CASB?
R: Ha ido evolucionando conforme a las necesidades de tener visibilidad y control ante los cambios. Una gran ventaja es que, en lugar de tener distintas soluciones para los distintos problemas, se engloban las cosas bajo una misma alternativa. Así que ha ido madurando conforme los requerimientos.
P: ¿Actualmente Cisco Umbrella ya aplica esas políticas de seguridad?
R: Los componentes que menciona Gustavo, sí pueden están integrados en una sola policía (y Umbrella). Una sola política, todos los componentes de seguridad.
P: Por ejemplo ¿es posible tener una política de Firewall diferente para cada usuario remoto?
R: Es posible, las políticas de firewall se aplican a nivel de capa 3,4 y 7.
P: Con este servicio de FW en Umbrella ¿se pueden reemplazar los típicos FW perimetrales, FTD Por ejemplo?
R: Depende mucho de la arquitectura, el diseño y las necesidades del cliente.
Un caso de uso común son las sucursales remotas que tienen la necesidad de salida directa a internet. En este caso, se pueden implementar las políticas de firewall en la nube sin necesidad de invertir en un Edge costoso o más grande de lo necesario. Si se necesita más hay que considerar FTD u otras opciones más robustas, pero eso depende de cada caso.
P: ¿Para tener la funcionalidad de Firewall es con algún tipo de licencia adicional o diferente?
R: Es con la misma licencia de Umbrella SIG. Lo único que hay que hacer es establecer el túnel IPSec y si tienen Umbrella DNS o la versión que tengan, puede escalar a SIG como un add-on solamente.
P: En una matriz donde tengo firewall FTD robusto ¿cómo es la arquitectura de conexión WAN, porque si los enlaces WAN van hacia el Firewall, cómo se gestionan los enlaces WAN desde el ISR para el tema de SDWAN?
R: En ese caso, el cliente necesita una solución de seguridad más robusta y quieren implementar FTD en los branches. Entonces lo que se hace es que el FTD funciona como firewall detrás del Edge de Viptela y toda la configuración de WAN o SD-WAN se maneja en los Viptela; incluyendo segmentación, granularidad y levantamiento de túneles. Entonces detrás de Viptela se maneja el FTD para tener una inspección más avanzada del tráfico.
P: ¿Puedes hablar un poco de cómo se adapta lo que estas conversando con la automatización y la tendencia a menor trabajo manual?
R: Hoy día todas las funcionalidades de las herramientas que tenemos están conectadas a APIs que permiten la automatización de tareas. Hay diversas posibilidades de acuerdo con la necesidad. También en la parte de respuesta de incidentes podemos considerar SecureX para automatizar tareas, por ejemplo, incidentes y las acciones que deben realizarse cuando sucedan, desde enviar alertas y bloquear cosas hasta abrir casos. Una ventaja es que, en Cisco, los APIs disponibles y su compatibilidad permiten a la automatización no solamente con otras soluciones sino también con otros vendors/proveedores.
P: El problema que veo con Umbrella es la latencia que hay o había por estar lejos de LATAM ¿ya estará habilitado o habilitaran pronto un DC de Umbrella en LATAM?
R: Sí, hay que seleccionar un Datacenter: https://docs.umbrella.com/umbrella-user-guide/docs/swg-datacenters
P: ¿Cómo se controlarían las políticas de seguridad en la nube para que sean aplicadas a todos los usuarios (vengan de una LAN, VPN, internet) que consulten servicios en la nube? ¿Hay que agregar nuevos equipos de Cisco en la nube?
R: Esa integración se determina a partir de la definición de políticas. Se pueden aplicar a distintos identity de distintas formas de acuerdo con lo que se busca, así como a usuarios específicos. Puede ser por medio de una solución SD-WAN o manualmente mediante el levantamiento de un túnel como se ha mostrado en la demo de la sesión.
Por ejemplo, se puede hacer mediante un túnel que se puede levantar manualmente como se hizo en la demo, o si se tiene SD-WAN se puede hacer de una manera más sencilla hacía Umbrella. También se puede hacer a usuarios remotos si se cuenta con el cliente de Anyconnect, el cliente lo enviaría a Umbrella y no requiere ningún hardware. Aunque si se desea hacer desde un hardware específico, este si debe lograr hacer un túnel hacía Ummbrella.
P: Para habilitar esas funcionalidades en Umbrella ¿es necesario contar con un equipo físico en el sitio del cliente?
R: No, Umbrella es una solución cloud, así que no es necesario implementar o adquirir hardware.
P: ¿Cómo lo tiene la competencia, un solo producto de ellos hace SASE?
R: Es un tema de lata tendencia en le mercado y muchos le manejan o le quieren manejar. Aunque muchos competidores lo manejan como SASE no cuentan con todos los componentes, ellos deben ir con otros fabricantes para poder agregar componentes y muchos casos se agrega hardware lo cual sale del concepto de SASE en sí.
Ahora bien, Cisco SASE es en sí la convergencia de la funcionalidad de red con seguridad y en ambos es un Cisco es líder y puede entregar todo en uno por si mismo.
P: ¿Qué licencias requieren los firewalls, ISR, MX para ese nivel de integración de túneles?
R: En la siguiente lista puedes encontrar la lista de dispositivos compatibles, así como las indicaciones: https://docs.umbrella.com/umbrella-user-guide/docs/tunnels
Información Relacionada
