¿Qué es SASE (Secure Access Service Edge)?
SASE (Secure Access Service Edge, o borde de servicio de acceso seguro) es un modelo que une, en un único servicio de nube, la red y la seguridad que antes eran cajas separadas: la conexión, el filtro de contenido, el firewall y el control de acceso pasan a entregarse juntos, cerca del usuario, dondequiera que esté. En vez de llevar todo el tráfico de vuelta a un data center central, SASE aplica la política de seguridad en el borde de nube más cercano.
Cómo funciona SASE
SASE parte de una constatación simple: si el trabajo y los datos se fueron a la nube, la seguridad también debería estar en la nube, junto al usuario, y no atada a un edificio. Combina la red inteligente con un conjunto de defensas, todas entregadas como servicio y comandadas por identidad, no por ubicación.
Conecta al punto de nube más cercano
En vez de mandar todo el tráfico de vuelta al data center de la empresa, la red inteligente (SD-WAN) lleva al usuario directo al punto de presencia de nube más cercano, lo que reduce la latencia.
Identifica quién y qué
Antes de habilitar cualquier acceso, SASE verifica la identidad del usuario y del dispositivo y evalúa el contexto (de dónde viene, en qué estado está). La decisión es por identidad, no por estar 'dentro de la red'.
Aplica las defensas en conjunto
En el mismo punto, aplica filtro web, control de acceso a la nube, firewall como servicio y acceso por confianza cero, sin depender de varias cajas separadas con políticas propias.
Gestiona todo en un panel único
La red y la seguridad pasan a configurarse y verse en un solo lugar, lo que elimina los huecos que surgen en las uniones entre productos de proveedores distintos.
Fuente: la definición de Gartner, que acuñó el término SASE en 2019, y la Cyber Encyclopedia de N-able (los cinco componentes: SD-WAN, filtro web, control de acceso a la nube, firewall como servicio y confianza cero).
El problema que SASE resuelve
- El trabajo y los datos se fueron a la nube, pero la seguridad quedó atada al data center. Llevar todo el tráfico de vuelta a un punto central para después habilitarlo crea lentitud y costo.
- Cada función era una caja separada, con su propia política: firewall aquí, filtro web allá, acceso remoto en otro lado. En las uniones entre ellas viven los huecos que nadie ve.
- El usuario fuera de la oficina no pasaba por el perímetro. El modelo antiguo protegía bien a quien estaba dentro del edificio, y mal a quien trabajaba desde casa o desde un cliente.
- Mantener varias appliances de proveedores distintos es caro e inconsistente. Cada una pide actualización, especialista y regla propia, y la suma rara vez conversa entre sí.
Los componentes de SASE
- SD-WAN (red inteligente) Enruta el tráfico por el mejor camino entre sedes y lleva al usuario directo al punto de nube más cercano, sin el desvío por el data center central.
- Filtro web seguro (SWG) Inspecciona la navegación y bloquea sitios y descargas maliciosas antes de que lleguen al usuario, en el mismo punto de nube.
- Control de acceso a la nube (CASB) Da visibilidad y control sobre lo que va hacia los servicios de nube y las aplicaciones de software como servicio, incluido el uso no autorizado.
- Firewall como servicio (FWaaS) Entrega la función de firewall por la nube, sin un equipo físico en el borde, y escala junto con la empresa.
- Acceso por confianza cero (ZTNA) Habilita el acceso aplicación por aplicación, con verificación en cada acceso, en vez del acceso amplio a la red que da una VPN.
Por qué el modelo antiguo de red no se sostiene
La arquitectura tradicional fue diseñada para una empresa que vivía dentro de un edificio, con un data center en el centro y todo el tráfico pasando por ahí. Con la nube y el trabajo distribuido, ese diseño se volvió un cuello de botella: lento, caro y lleno de uniones por donde entran los ataques. No es casualidad que la explotación de dispositivos de borde y de VPN saltara al 22% de las intrusiones por vulnerabilidad (Verizon DBIR 2025), justamente el modelo de cajas dispersas que SASE reemplaza. El mercado leyó la dirección: en la proyección de Gartner, para 2026 cerca del 60% de las nuevas compras de red inteligente (SD-WAN) formarían parte de un SASE de proveedor único, ante el 15% en 2022, y para 2030 más del 80% de las empresas adoptarían plataformas SASE. Lo que está en juego es reducir la superficie de ataque y el costo de operar decenas de cajas, mientras una filtración de datos todavía cuesta, en promedio, $ 4,44 millones (IBM 2025).
Cómo evaluar SASE sin caer en el hype
SASE es una arquitectura, no un producto de estante, y cada proveedor llama SASE a su paquete. Algunos puntos separan la decisión sólida del rótulo de marketing:
- Empiece por el dolor, no por la siglaSASE resuelve problemas concretos: acceso remoto demasiado amplio, sucursales lentas, nube sin control. Defina cuál es el suyo antes de comprar una arquitectura entera.
- Prefiera menos proveedoresEl valor de SASE está en unir red y seguridad sin uniones. Un paquete de proveedor único, o de pocos, entrega eso; juntar diez productos y llamarlo SASE recrea el mismo problema que debería resolver.
- Exija confianza cero de verdadEl acceso por confianza cero es el corazón del modelo. Desconfíe de un 'SASE' que, en el fondo, es la misma VPN de acceso amplio con un nombre nuevo.
- Migre por fasesNo hace falta cambiar todo de una vez. Empiece por el punto de mayor dolor (el acceso remoto o una sucursal), pruebe el valor y avance, sin apagar lo que todavía funciona.
- Cuente con quién lo opereUna arquitectura de nube entregada como servicio todavía necesita configurarse, monitorearse y ajustarse. El valor se realiza en la operación continua, no en la suscripción.
En la práctica
¿Cuántas cajas y consolas distintas usa hoy su empresa para firewall, filtro web, VPN y acceso a la nube? Cada unión entre ellas es un lugar donde una política desaparece y un ataque entra. Es esa acumulación la que SASE intenta deshacer.
Cómo trata Zamak la red y el acceso
Zamak Technologies trata la red y la seguridad como un conjunto, no como cajas sueltas: acceso por confianza cero, filtrado de contenido, perímetro operado y visibilidad sobre la nube, al lado de su equipo. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde la red y el acceso siguen fragmentados. Forma parte de la Ciberseguridad del Método Zamak, sobre la Operación de TI que mantiene todo funcionando.