
Durante años, bastaba con enrutar el tráfico a través de un proxy en la nube. Luego, el trabajo se trasladó al navegador, la IA entró en el flujo de trabajo y los modelos de inspección no pudieron seguir el ritmo.
Los flujos de trabajo empresariales ahora se ejecutan en aplicaciones SaaS, navegadores y un ecosistema creciente de herramientas de inteligencia artificial generativa, extensiones de navegador no aprobadas y agentes autónomos. Los empleados pegan periódicamente propiedad intelectual en LLM públicos para optimizar el código, mientras que los agentes automatizados consultan documentos internos y mueven datos entre sistemas a la velocidad de la máquina. El desafío no fue que SASE fallara, sino que las interacciones de datos se trasladaron a la capa de presentación, para lo cual la arquitectura no fue diseñada alrededor de una red de área. Este cambio de paradigma estructural se detalla en la Guía de arquitectura Modern SASE.
Por qué es difícil la aplicación tradicional
El SASE tradicional se basa en el retorno del tráfico a un proxy en la nube para su descifrado, inspección y aplicación de políticas. Sin embargo, los protocolos de Internet modernos, específicamente TLS 1.3, HTTP/3 y la fijación de certificados, están diseñados para bloquear explícitamente este tipo de interceptación de intermediario.
Cuando un proxy en la nube intenta forzar el descifrado en una sesión TLS 1.3 mediante la fijación de certificados, las aplicaciones cliente normalmente interrumpen la conexión. Para evitar el tiempo de inactividad de los servicios críticos para el negocio, los equipos de red deben crear excepciones de omisión. Esto causa problemas estructurales. Las organizaciones terminan manteniendo grandes listas de exclusión y reduciendo silenciosamente su perímetro de seguridad, una aplicación a la vez, solo para mantener la funcionalidad de sus herramientas.
Más allá de la brecha de seguridad, este modelo genera penalizaciones importantes para el desempeño de los empleados. Forzar las sesiones a través de rutas de inspección distantes en la nube introduce un “impuesto de desvío” debido a retrasos en las aplicaciones y abandonos de las videollamadas. Cuando la infraestructura de seguridad se ralentiza o hace que las herramientas críticas sean inestables, los usuarios buscan activamente soluciones alternativas para mantenerse productivos, ampliando la superficie de ataque de aquello que TI está tratando de proteger.
La IA y el “momento de la intención”
Con la IA y los flujos de trabajo de los agentes, esta brecha arquitectónica ya no se puede ignorar. Los servidores proxy de red tradicionales reconocen conexiones HTTPS cifradas válidas con proveedores de LLM. No es posible verificar la intención de la carga útil, como un agente de IA autónomo que utiliza llamadas a la herramienta Model Context Protocol (MCP) para recuperar su propio código o documentación interna.
Cuando los datos llegan al punto de inspección de la red, la interacción ya se ha producido. El momento de la intención ha pasado. Esto deja a los equipos de seguridad con un dilema binario: bloquear la IA por completo y atraer a los usuarios a la TI en la sombra, o permitir la IA sin restricciones y aceptar la opacidad total de los datos. La Guía para la arquitectura SASE moderna detalla el marco de evaluación para este propósito.
cambios arquitectónicos
La gestión de la IA y el SaaS moderno requiere aplicación en el dispositivo, el navegador y los puntos de interacción del terminal. Cuando se requiere seguridad o enrutamiento a nivel de red, el tráfico debe dirigirse dinámicamente a la infraestructura de borde disponible más cercana, eliminando saltos redundantes y desvíos que degradan el rendimiento.
Evaluar las políticas en la última milla cambia por completo el modelo de aplicación.
Protección de datos contextuales: copiar, pegar y solicitar contenido se inspecciona localmente antes de que los datos abandonen el dispositivo. Alineación de protocolos nativos: los protocolos de cifrado modernos funcionan de forma nativa sin flujos de trabajo de descifrado intrusivos. Rendimiento de ruta directa: hasta el 90 % del tráfico confiable toma una ruta directa a su destino, lo que elimina los «impuestos de desvío» del proxy y restaura la velocidad de las aplicaciones nativas para los usuarios finales.
Este cambio está impulsando la adopción de una arquitectura de «paquete perfecto», un modelo que evalúa el contexto en el punto final antes del enrutamiento e invoca la inspección de la nube solo cuando la sesión requiere validación adicional.
aprender más
La aplicación centrada en la red no le brinda control sobre lo que sucede dentro de las pestañas de su aplicación o los flujos de trabajo de IA. Para ver cómo las arquitecturas modernas cierran la brecha de visibilidad del proxy y al mismo tiempo restauran el rendimiento de las aplicaciones nativas, descargue The Perfect Packet: A Guide to Modern SASE Architecture.
Source link
