cherezoff - stock.adobe.com
Asegurando la SD-WAN: El próximo desafío de las redes de conexión
Cada vez que una empresa evalúa si debe probar o no las redes WAN definidas por software (SD-WAN), la seguridad es una parte esencial a considerar.
Los argumentos para implementar una red de área amplia definida por software (SD-WAN) son cada vez más conocidos a medida que la tecnología continúa convirtiéndose en parte de la cultura popular empresarial, incluso si sigue habiendo una gran cantidad desconcertante de configuraciones de red que llevan el nombre.
Pero quizás la pregunta esencial que surge cuando una empresa está haciendo la transición de la conectividad tradicional de sucursal y centro de datos, utilizando los circuitos de conmutación de etiquetas multiprotocolo (MPLS), y hacia el acceso directo a Internet y las tecnologías SD-WAN es cómo navegar los riesgos de seguridad. Existe una necesidad de visibilidad, en particular, de todas las dependencias de servicios repartidas por internet.
Alexander Anoufriev es CISO de la plataforma de nube de inteligencia de red ThousandEyes. Dijo que la adopción de SD-WAN se ve con frecuencia como una forma fácil de eliminar la imprevisibilidad inherente del tránsito de internet porque utiliza métricas, como la latencia general, para ejecutar políticas definidas.
"Pero si bien estas métricas le dan a SD-WAN un cierto nivel de "conciencia de internet "y le permiten tomar decisiones basadas en el rendimiento de la ruta, es importante recordar que una SD-WAN no controla el internet", Anoufriev. "Si algo sale mal, SD-WAN no puede decirle cuál es el problema o quién es el responsable.
"No puede decirle si un upstream ISP descarta paquetes, o si un secuestro de Border Gateway Protocol (BGP) ha puesto en riesgo a sus usuarios. Ni siquiera puede decirle si su rendimiento está de acuerdo con las normas de área."
Es un buen punto. Y recuerde, también, todas las dependencias externas que se necesitan para llegar a las aplicaciones y servicios. Estos incluyen enrutamiento BGP, una variedad de proveedores de servicios de internet (ISP), servicio DNS, servidores proxy de seguridad en la nube, redes de entrega de contenido (CDN), protectores DDoS y otros, por lo que debe ver cada salto en la ruta de la red, junto con detalles de pérdida, latencia y métricas de retraso.
"Confiar en SD-WAN como su única fuente de visibilidad en internet es como confiar en las gafas de sol como su única fuente de protección solar", dijo Anoufriev. “Claro, tiene una cobertura limitada, y sin duda influirá en su perspectiva. Pero se encontrará con una quemadura desagradable si va a estar fuera de la sombra de su centro de datos o sucursal sin protección."
SD-WAN como servicio
Si bien podríamos esperar que Anoufriev, que trabaja para una plataforma en la nube de seguridad de redes, enfatice la necesidad de un monitoreo constante de la SD-WAN, claramente no está equivocado porque muchas variedades de SD-WAN parecen implementarse con una cierta cantidad de problemas en términos de seguridad.
Jan Hein Bakkers es gerente de investigación de redes para el grupo de analistas IDC y dijo que no debe pasarse por alto la inmadurez de un mercado fragmentado.
"Hay tantos productos, propuestas y protagonistas por ahí: Hacerlo por uno mismo, servicios gestionados de diferentes empresas de telecomunicaciones, nuevas empresas SD-WAN, compañías de redes que se han involucrado en el sector, y así sucesivamente", dijo. “Están lejos de ser todos iguales y no hay una SD-WAN estándar.
“De hecho, diría que la interoperabilidad y la estandarización en el sector no existen. Los compradores deben entender eso y, por lo tanto, tomarse la molestia de comprender completamente a qué se están atando cuando hacen una elección. Porque todos tienen una historia diferente para resolver un problema familiar de confiabilidad, rendimiento y ancho de banda de las redes.”
Por lo tanto, estas diferentes jugadas en el mercado de SD-WAN necesitan se navegadas, eso es seguro, y esto es lo que gobernará o debería de gobernar el enfoque de seguridad adoptado por un CISO o CIO empresarial.
Propuesta de seguridad
También debemos reconocer que algunas partes del mercado de SD-WAN están muy centradas en la propuesta de seguridad y están vendiendo la SD-WAN segura como un servicio. El impulso se realiza sobre la base de que el aumento de los servicios en la nube ha introducido complejidad en la red que necesita una respuesta relacionada con la seguridad para proteger el tráfico de internet.
Cato Networks, Zscaler, VeloCloud de VMware y la oferta SD-WAN de Cisco están ofreciendo una versión de este tipo de propuesta de protección, de una forma u otra, y para algunos compradores de redes, una de estas ofertas podría ofrecer una solución fácil a un problema que de otra forma seria más problemático.
La propuesta de Zscaler, por ejemplo, aún requiere un socio de SD-WAN en la mezcla, pero se ha configurado para facilitar la migración de hub-and-spoke a una arquitectura habilitada para la nube al permitir salidas locales seguras de internet para las sucursales.
"Simplemente enrute el tráfico con conexión a internet a Zscaler e inmediatamente comience a inspeccionar todo el tráfico, todos los puertos y protocolos, incluido SSL", dijo. "Puede definir y aplicar de inmediato políticas de acceso y seguridad en todas las ubicaciones desde una sola consola".
Cato Networks, para tomar un caso de uso más, plantea el argumento de que la introducción de SD-WAN de los transportes de internet en MPLS WAN amplía la capacidad y descarga el tráfico vinculado a Internet en la sucursal, pero no cumple con los requisitos de seguridad de la red para acceder a internet y recursos en la nube.
Su propuesta para hacer esto más seguro es "una SD-WAN global totalmente convergente con seguridad de red incorporada, entregada como un servicio en la nube".
"El dispositivo SD-WAN edge es la infraestructura de red habilitadora y las capacidades centrales, como el enrutamiento basado en políticas y la superposición independiente del transporte, se extienden para abordar problemas con la SD-WAN tradicional".
Es complicado
Sin embargo, estas ofertas de extremo a extremo, SD-WAN-en-la-nube-integradas-seguras son solo una parte de la imagen, por supuesto, y la mayoría de los CISO deberían recordar esto.
Donna Johnson, vicepresidenta de mercadotecnia de productos en la empresa de redes 4G Cradlepoint, dijo: “Una cosa que SD-WAN ha hecho mal ha sido sobre vender la simplicidad de la inserción de SD-WAN.
"Si bien puede ser sencillo para algunos, hay mucho en qué pensar y muchas empresas no tienen una buena comprensión incluso de las aplicaciones en su configuración. Para una implementación SD-WAN más tradicional, eso es algo que importa."
En términos de seguridad, Johnson señala que los proyectos SD-WAN siempre deben ser coordinados conjuntamente por redes y funciones de seguridad.
"Por ejemplo, es posible que una regla de firewall detenga SD-WAN en su camino, y muchas compañías no entienden la configuración de sus enrutadores, lo que puede ser bastante complicado durante varios años de cambios y adiciones de red".
Asegurando la red
¿Qué otros tipos de seguridad SD-WAN podrían ser revisados por una empresa que considera una implementación?
Paul Dawes es director ejecutivo de Mode, que tiene una oferta particular en el mercado SD-WAN: ofrece una "superposición global" para redes de nivel de operador como Microsoft Azure para garantizar una red privada en la nube de alto rendimiento. Dijo que el punto de partida debe ser decidir qué tipo de propuesta SD-WAN está en el marco.
“¿Va a optar por una implementación de red más tradicional, con firewalls y puertas de enlace web, pero con un software que ofrezca un nuevo nivel de control y visibilidad estratégica, ¿o por el modelo externo ofrecido por Zscaler y similares? Estas dos opciones son dos entre muchas, sí, pero el punto es que están muy separadas en términos de arquitectura y separadas en términos del tipo de atenciones que se necesitarán para que la nueva WAN sea útil y segura. ”
Mode en sí está enfocada en la media milla de la red, y Dawes dijo que su oferta es importante en el sector en términos de seguridad porque ofrece una tercera vía, una red troncal privada, que es una alternativa a MPLS e internet, entregando cifrado y calidad de servicio.
“La gran pregunta con la seguridad y la arquitectura de la red es si puede entregar cifrado de tráfico de extremo a extremo. ¿Sus códigos están expuestos en alguna parte? Debe poder confiar en el operador cuando se trata de cifrado."
Las actitudes hacia la seguridad también variarán mucho según el contexto. Donde una empresa realmente grande (o tal vez una empresa que trabaja en un sector altamente regulado) tendrá un CISO realizando auditorías de seguridad y preguntando sobre vulnerabilidades de manera sistemática, incluido el tráfico descifrado, en muchas organizaciones no habrá este tipo de escrutinio detallado y líneas rojas que no se pueden cruzar.
Pero suficiente teoría. Veamos un par de empresas que implementan SD-WAN en la práctica.
SD-WAN y el bufete de abogados global
Mode ha estado trabajando en una implementación de SD-WAN con un gran bufete de abogados con una presencia global. El bufete cuenta con un sofisticado sistema de gestión de documentos, personal de alta facturación y clientes exigentes, y necesita una red confiable y segura que acompañe bien a todo esto, con una red troncal de 15 Gbps y cifrado de extremo a extremo.
"Con SD-WAN, su nivel de calidad no cambia", dijo Dawes. "En este caso, la empresa descartó las opciones de seguridad SD-WAN basadas en la nube porque la forma en que funciona el cifrado no era la adecuado para sus necesidades, ya que los datos se descifraron en la infraestructura de otra persona".
En cambio, la empresa optó por la red troncal privada de Mode aliada a una orquestación usando SD-WAN.
"Una vez que su CISO entendió nuestra oferta central privada, aceleró las cosas", dijo. “Tenemos que mostrar cómo manejamos un DDoS o un POP [punto de presencia] comprometido, pero la combinación de SD-WAN y núcleo privado significa que, para la empresa, incluso en el peor de los casos, el tráfico solo se enruta a través de internet. "
Al igual que la mayoría de las implementaciones de SD-WAN, un despliegue gradual también es una parte importante de la imagen de seguridad, con pruebas antes de una adopción más amplia.
"Una cosa buena de la SD-WAN es la forma en que la orquestación significa que puede implementar cambios selectivamente", dijo Dawes. "Eso es esencial para una gran empresa y, con el tiempo, el crecimiento del ancho de banda también se puede administrar de forma dinámica".
Cómo Everyday Loans implementó SD-WAN
Otro que ha estado en un viaje con SD-WAN y seguridad es Tony Sheehan, gerente de tecnología e infraestructura del proveedor de préstamos de mal crédito en todo el Reino Unido, Everyday Loans.
"La compañía tiene 12 años, es un usuario de Citrix y es un negocio basado en sucursales con una oficina central y 40 sucursales", dijo Sheehan. "El impulso para la adopción de SD-WAN fue la confiabilidad y la necesidad de más ancho de banda, incluso si nuestra necesidad en las sucursales no es tan grande, con solo unos pocos usuarios en cada ubicación".
La compañía estaba usando MPLS sobre cobre EFM, con aplicaciones entregadas desde un centro de datos central. Cuando hubo una actualización en las tarjetas, hace unos 18 meses, dijo que la SD-WAN basada en la nube de Cato Networks era una buena opción una vez que exploró el servicio.
“Somos un negocio bastante simple y queríamos una implementación simple. Tampoco tenemos los dilemas de seguridad de otros. También somos usuarios comprometidos de Citrix, y la facilidad de adopción sin una gran inversión fue muy atractiva. El integrador de redes de TI LAN3 nos ha apoyado en el viaje a cada paso y lo ha simplificado. ”
Las ubicaciones de Everyday Loans se encuentran en centros urbanos, donde la opción más confiable en teoría es la fibra, pero no hay disponibilidad universal, dijo Sheehan.
"Nuestras conexiones de cobre funcionan para nuestras necesidades, respaldadas por un enrutador 4G y con Cato proporcionando túneles seguros a Cato Cloud con su dispositivo Cato Socket SD-WAN", dijo. "Los centros de datos en la nube se integran a través de un túnel desde la nube de Cato a la puerta de enlace VPN, que no requiere agentes".
En lo que respecta a la seguridad, Sheehan dijo que existe el potencial de una mayor exposición a los ataques con internet en las sucursales, pero los servicios de Cato, como el firewall como servicio y otras ofertas de seguridad, brindan la protección que se necesita.
"Nuestra seguridad antes era bastante tradicional, con todo volviendo a los centros de datos y con un perímetro estrictamente controlado", dijo. "Eso sigue en pie, pero la configuración de SD-WAN ha introducido diferentes parámetros que los servicios de Cato pueden ocultar".
Ahora las sucursales están utilizando interfaces web, y Office365 y otras aplicaciones en la nube vuelven al centro de datos a través de enlaces privados o mediante el acceso a internet protegido.
"Hemos pasado de concentrar y hablar a una red multi-breakout con una única interfaz de administración", dijo Sheehan. "Está funcionando bien, aunque todavía es relativamente temprano. Hemos comenzado una auditoría de seguridad, para establecer algunas nuevas líneas de base y algunas nuevas exposiciones que necesitamos entender completamente a medida que adoptamos la nube cada vez más. También estamos utilizando análisis para hacer un seguimiento de la fiabilidad de nuestra conexión."
En cuanto al cifrado, dijo que confía en los cifrados Cato entre puntos, con túneles estándar de sitio a sitio y ruptura de internet según la solicitud del navegador.
"Estoy muy contento hasta ahora", dijo Sheehan. “No somos una compañía del sector tecnofinanciero sino una empresa de servicios financieros bastante tradicional, por lo que tener una infraestructura fácil de administrar sigue siendo esencial.”
"No queremos tener que emplear un equipo de administración para ejecutar una red de 100 puntos, por lo que la administración y la implementación fáciles son justo lo que se necesita", dijo. "Hacer un mejor uso de las nuevas capacidades de análisis de red desde aquí también está en mi lista de cosas que hay que hacer".