¿Recuerda algunos de los acontecimientos que ocurrieron hace diez años? Aunque 2011 no parezca estar tan lejos en el tiempo (ese año hubo bodas reales, Kim Kardashian se divorció y Charlie Sheen tuvo su famosa crisis), en diez años han cambiado muchas cosas. En aquel momento, en casi todos los centros de datos se acababa de empezar a experimentar con la virtualización. Se pensaba que era seguro que solo fueran virtuales unas cuantas cargas de trabajo no esenciales. En la actualidad, en torno a la mitad de los servidores de todo el mundo se han virtualizado. De hecho, se ha ido mucho más allá de la mera virtualización. Prácticamente todos los centros de datos empresariales se han convertido en entornos híbridos en los que se usan recursos informáticos y de almacenamiento físicos y virtuales. La contenedorización y las tecnologías asociadas están empezando a arraigar, y la informática de nube está presente en todos los aspectos de la informática empresarial.
Las ventajas empresariales del centro de datos definido por software son muchas, sobre todo en cuanto a la eficiencia de los recursos y la reducción de los costes. Sin embargo, no se puede negar que también ha aumentado la complejidad, porque se siguen necesitando los mismos recursos informáticos, de almacenamiento, de conmutación y de enrutamiento, pero ahora cualquiera de esos recursos puede ser locales o alojarse en la nube. Puesto que hay que mantener la conectividad, satisfacer las exigencias de rendimiento de la empresa y estar al día con los cambios empresariales y tecnológicos, la gestión del centro de datos actual puede suponer un desafío. Y todo eso incluso antes de hablar del principal desafío para los consejos de administración, los responsables empresariales y los profesionales de TI: la seguridad.
Veamos algunos de los desafíos de seguridad de los centros de datos actuales.
1. No se puede proteger lo que no se entiende
Empezaremos por la visibilidad. En un reciente seminario web con Omdia, los analistas hablaban de lo que denominan el ciclo de vida de las operaciones de ciberseguridad, que resume los pasos necesarios para que las actividades de SecOps sean efectivas. En ese ciclo de vida, igual que en el centro de datos, todo empieza con la visibilidad. Después de todo, no se puede proteger un entorno que no se entiende. La visibilidad del centro de datos requiere información fiable y en tiempo real sobre las cargas de trabajo, los usuarios, los dispositivos y la red. También es necesario saber cuándo cambian las condiciones, aumentan los riesgos o aparecen nuevas amenazas. Especialmente durante la pandemia de COVID, y esperemos que muy pronto después de la pandemia, es probable que se encuentre con una base de usuarios geográficamente dispersos que acceden a los recursos del centro de datos desde ubicaciones remotas, y que esto sea para siempre.
Teniendo esto en cuenta, ¿cuántas organizaciones pueden decir con total certeza que tienen una visibilidad del centro de datos adecuada? Si no es así, en su caso debe preguntarse si está ejecutando su plan de seguridad correctamente. Al final, cuanto menor sea su visibilidad, mayores carencias de seguridad tendrá.
2. No hay ninguna aplicación para eso
Después está la seguridad de las aplicaciones. Podríamos dedicar un blog entero a este tema, pero lo cierto es que necesita controles de seguridad en sus aplicaciones y en torno a ellas. Las aplicaciones locales tradicionales y las aplicaciones SaaS exigen enfoques distintos. Por otra parte, estar siempre al día con los requisitos de políticas de aplicaciones supone un desafío constante. Cada vez son más las aplicaciones con varios componentes, por lo que va a tener que utilizar procesos de DevSecOps para asegurarse de que la seguridad está integrada en las instancias que admiten funciones de aplicaciones contenedorizadas o incluso sin servidor.
3. La única constante es que todo cambia rápidamente
Analicemos ahora el ritmo de los cambios. Aunque suene a tópico, casi todas las organizaciones están experimentando algún tipo de transformación digital, lo que conlleva distintos grados de cambio de la infraestructura de TI. Pero el secreto bien guardado de la transformación digital es que inicia un ritmo de cambio acelerado y permanente: más infraestructura de nube, más SaaS y más contenedorización. Además, durante los próximos diez años, va a tener que lidiar con cosas como el IdC y 5G, y eso significa que habrá un número mucho mayor de dispositivos conectándose con su centro de datos y aportándole datos. Por lo tanto, las tecnologías de seguridad del centro de datos deben centrarse en un enfoque basado en las políticas y la automatización que admita un ritmo de cambio cada vez más rápido.
4. El crecimiento explosivo del tráfico este-oeste es el sueño de todo hacker
Por último, un desafío concreto al que debemos prestar atención es el tráfico este-oeste. A medida que el centro de datos ha evolucionado, ese tráfico este-oeste interno ha aumentado exponencialmente. Los centros de datos reforzados y más eficientes tienen más cargas de trabajo, que generan más tráfico en la red. En la mayoría de las organizaciones, el tráfico este-oeste es ahora mucho mayor que el tráfico norte-sur que entra y sale del centro de datos. El hecho de que el tráfico este-oeste no deje el centro de datos físicamente no significa que pueda fiarse de él.
El
tráfico este-oeste representa una oportunidad
excelente para los atacantes que quieran ocultar el desplazamiento lateral
malicioso, probablemente la mayor preocupación en los entornos de centros de datos modernos. Piense en la situación más
habitual que suele dar lugar a intentos de ataque de desplazamiento lateral: el
robo de credenciales válidas. Cuando un atacante se autentica en una aplicación
del sistema mediante credenciales legítimas,
se necesitan controles en la capa de la red para poder identificar y detener el tráfico malicioso para que no atraviese la
red y, potencialmente, empeore la situación. Visto de este modo, no
hay duda de que el tráfico este-oeste se ha convertido esencialmente en el
nuevo perímetro de la red.
Por lo tanto, se necesita un nuevo tipo de cortafuegos
Se da por sentado que donde haya un perímetro de red se necesita un cortafuegos. Ahora, las empresas necesitan cortafuegos dentro del centro de datos. Sin embargo, los cortafuegos tradicionales no siempre funcionan para el tráfico este-oeste. Veamos por qué.
Primero, se interpone la topología del centro de datos
Sobre todo en un centro de datos predominantemente definido por software, puede no ser factible introducir cortafuegos virtuales entre cada carga de trabajo, ni será eficiente enrutar el tráfico este-oeste hacia las ubicaciones de cortafuegos dedicados. Si se hace esto, se introducen cuellos de botella físicos en un entorno virtual, algo que echa por tierra el objetivo del eficiente y flexible modelo definido por software. Además, pensemos en cómo los cortafuegos controlan el tráfico y los tipos de tráfico en cuestión. En el perímetro, se bloquean principalmente puertos y protocolos concretos, e intervalos de direcciones IP, mientras que con los cortafuegos de nueva generación el tráfico se controla en función de los tipos de aplicaciones y los grupos de usuarios. Aunque esto es correcto, los controles deben ser mucho más granulares en el caso del tráfico este-oeste. Puede haber una sola aplicación, pero distintas funciones de esa aplicación, como un nivel de Internet, otro de funciones de la aplicación y otro de bases de datos. Todos esos niveles requieren controles distintos. El cortafuegos debe poder entender el tráfico y la aplicación y, además, los componentes que la forman y la lógica empresarial que imponen qué comunicación se acepta y cuál no.
También está el tráfico cifrado
Cuando hablamos de tráfico cifrado interno de las cargas de trabajo, descifrar, inspeccionar y volver a cifrar esos paquetes conlleva una sobrecarga masiva que a menudo no es viable. Sin embargo, pasar por alto ese tráfico tampoco es una buena opción, porque nunca se sabe lo que contiene.
Por lo tanto, se necesitan funciones de cortafuegos este-oeste, lo que no significa que se deban aceptar las limitaciones tradicionales de los cortafuegos físicos y virtuales. Existe otra posibilidad. Se trata del concepto de los perímetros virtuales o, más concretamente, de la microsegmentación.
El perímetro virtual: concepto antiguo, enfoque nuevo
Microsegmentación es el uso de software y políticas para implementar una segmentación granular de la red que llegue hasta el nivel de las aplicaciones y de las cargas de trabajo. No es que sea un concepto totalmente nuevo, pero muchas organizaciones todavía no lo han adoptado. Si bien la microsegmentación hace posibles muchas de las funciones de un cortafuegos tradicional, el cortafuegos se aplica a una función dentro de una instancia virtual. Dicho de otro modo, los controles de seguridad están integrados en el nivel de las cargas de trabajo. Se trata de un avance fundamental de los cortafuegos del centro de datos. En el futuro, los cortafuegos serán cada vez más una función de una aplicación, una carga de trabajo o un contenedor y dejarán de ser dispositivos físicos y virtuales con una finalidad concreta.
Seguridad del centro de datos: aumentar la sencillez y la eficiencia
En casi todas las empresas, la ciberseguridad es una prioridad, pero la seguridad debe ser un impulsor empresarial. Los responsables de seguridad que llevan mucho tiempo en el sector saben que los directivos no quieren verse en una situación de seguridad insuficiente, pero tampoco quieren que sus empresas se vean entorpecidas por arquitecturas de seguridad que ralentizan a las personas, los procesos, la tecnología y la innovación.
Lo verdaderamente interesante de los microservicios y los cortafuegos basados en funciones es que facilitan mucho la integración flexible de la seguridad en los procesos empresariales, incluso cuando esos procesos se adaptan y cambian rápidamente. Fíjese en el modelo de cortafuegos virtual de la parte izquierda de la imagen siguiente, en el que el único enfoque viable es introducir instancias de cortafuegos virtuales entre diferentes cargas de trabajo y grupos de cargas de trabajo. No sorprende que los proveedores de cortafuegos afirmen que para que la segmentación sea correcta se necesitan muchos cortafuegos, pero ese modelo es difícil de implementar y gestionar. No es eficiente, no suele ser rentable y, no hay duda alguna, no facilita la agilidad empresarial.
En la parte derecha de la imagen anterior, fíjese en un modelo con microsegmentación con el que se dispone de las mismas funciones de cortafuegos, pero se integran en cada carga de trabajo. Cada función una tiene la política correspondiente que indica la configuración del cortafuegos y de otros ajustes de seguridad de la red, de forma que tan pronto como se crea una carga de trabajo, la política de seguridad ya está implementada.
Desde un punto de vista empresarial, la integración de la seguridad directamente en los recursos esenciales del centro de datos tiene un gran valor. Con esta clase de microsegmentación basada en políticas, se puede tener los controles de seguridad específicos que necesita cada carga de trabajo en cuanto se implementa. Se puede prevenir las amenazas de desplazamiento lateral, restringir el tráfico de las aplicaciones y conseguir todas las ventajas del acceso de confianza cero También se pueden añadir otras funciones de seguridad que ofrecen los cortafuegos, como IDS/IPS, análisis del tráfico de la red y aplicación de parches virtual.
En resumen, los cortafuegos no van a desaparecer
No deje que nadie le diga que los
cortafuegos van a desaparecer, especialmente en el centro de datos. Los
controles que ofrece un cortafuegos siguen siendo necesarios. Sin embargo, cada
vez más instancias de cortafuegos independientes tradicionales van a dejar paso
al uso de cortafuegos como función. Ha llegado el momento de empezar a
investigar cómo funcionan
estas tecnologías y las ventajas que pueden proporcionar a su organización.
Le sugiero que estudie este tema más a fondo, y que descubra
cómo
hacer que la tecnología funcione en su entorno, en el seminario web a la carta «¿Hacia dónde van los cortafuegos del centro de datos?». En él descubrirá experiencias
reales del camino de VMware hacia este nuevo enfoque de la seguridad del centro
de datos. Las explica su director de ingeniería de soluciones y diseño de
infraestructura de TI esencial, que conoce muy bien estas situaciones de la
transformación del centro de datos. Deje
que él le convenza.