Seguridad del centro de datos: la gran división

A medida que los centros de datos se vuelven cada vez más complejos y dinámicos, las compañías se enfrentan a una vorágine de riesgos de seguridad. Ya no podemos confiar en el concepto de que un límite mágico protegerá nuestros centros de datos.

Hace unos nueve años, trabajaba como ingeniero distinguido para Juniper, una de las principales compañías de seguridad de redes del mundo. Cuanto más tiempo trabajaba allí, más se desmoronaban lentamente los perímetros de la red de mis clientes. Las alternativas de infraestructura como servicio y en la nube hicieron que los servicios de seguridad tradicionales de cuello de botella fueran imposibles de implementar. Pero no fue hasta que me fui que pude abordar completamente la división entre ese viejo mundo y el nuevo mundo, donde el cambio es constante.

El sistema de seguridad adaptativa de Illumio está liderando el camino desde el modelo de seguridad estático del pasado hasta el centro de datos cada vez más dinámico de hoy.

En este nuevo mundo, la virtualización del centro de datos acelera la puesta en marcha de los servicios de computación, almacenamiento y redes. La TI de autoservicio y la cultura DevOps de entrega continua aumentan aún más el ritmo. Sin embargo, durante todos estos avances, la seguridad quedó atrás, a menudo estancando el progreso. La gente de SecOps ahora se ve obligada a la posición poco envidiable de tener que decir no a las arquitecturas en la nube mientras todos los demás dicen que sí.

Illumio nació de este caos.

No se trata de mejorar (o virtualizar) la red o la infraestructura, estamos fundamentalmente desacoplados de esas limitaciones. El sistema de seguridad adaptativa de Illumio está liderando el camino desde el modelo de seguridad estático del pasado hasta el centro de datos cada vez más dinámico de hoy. Aquí es donde comienza a poner emocionante.

Tres verdades y la gran división

1. Vivimos en un mundo de cambio constante. Debemos aceptar esto, con todos sus desafíos y beneficios.

Los centros de datos del pasado estaban muy ligados a su entorno físico. Las aplicaciones se ejecutaron directamente en metal desnudo, con almacenamiento de conexión directa y cables físicos que conectaban estas máquinas. Ese mundo era estático.

Hoy en día, nuestros centros de datos tienen que mantener al día con innumerables cambios. Con la entrega continua de aplicaciones, las nuevas versiones se implementan más rápidamente que nunca. La virtualización de servidores permite que las cargas de trabajo se muevan con mayor facilidad y frecuencia, y que se escalen dinámicamente. La infraestructura como servicio permite a casi cualquier persona aprovisionar e implementar servidores y aplicaciones.

Al tener un sistema de seguridad que se adapta a nuestras elecciones, somos más productivos, podemos poner cosas en cualquier lugar y nos liberamos del control centralizado y las organizaciones rígidas.

Tradicionalmente dependíamos de la infraestructura para la confiabilidad, pero a medida que construimos centros de datos más grandes y complejos, no se pueden evitar fallas en la infraestructura. Por esta razón, Google adoptó hace mucho tiempo la filosofía de que se deben desarrollar nuevas arquitecturas de software para ejecutar aplicaciones confiables sobre una infraestructura fundamentalmente poco confiable.

Si bien el centro de datos sufrió todos estos cambios, la seguridad se encadenó a modelos estáticos y de punto de estrangulamiento. Y nos frena. No nos estamos dando cuenta de todos los beneficios de nuestras inversiones en tecnología en el centro de datos dinámico.

Sabíamos que la arquitectura de seguridad de Illumio necesitaba adoptar y permitir el cambio.

Al tener un sistema de seguridad que se adapta a nuestras elecciones, somos más productivos, podemos poner cosas en cualquier lugar y nos liberamos del control centralizado y las organizaciones rígidas. Podemos escalar más fácilmente.

Para lograr esto, sabíamos que nuestro sistema debía estar desacoplado de la red y la infraestructura. Estar desacoplados nos permite ofrecer una solución de seguridad que funciona de manera consistente todo el tiempo, en todo tipo de cambios en el entorno del centro de datos.

También sabíamos que el sistema debía estar completamente distribuido. Los sistemas de seguridad de red tradicionales a menudo dirigen el tráfico a un punto de estrangulamiento centralizado que tiene poco o ningún contexto. Debido a los requisitos a gran escala, a menudo solo se puede procesar y proteger una parte de las cargas de trabajo. Este mecanismo de fuerza bruta también conduce a puntos ciegos, falsos positivos y una mayor superficie de ataque.

Para abordar esas limitaciones y brindar suficiente cobertura con suficiente flexibilidad, colocamos seguridad en lugares que tradicionalmente eran difíciles. Ahora podemos ver lugares que antes estaban ocultos. Esto es muy parecido a tener una matriz de guardaespaldas en cada habitación de un hotel, en lugar de solo la seguridad de la puerta principal: es un colectivo que trabaja en conjunto bajo un conjunto de directivas.

2. La automatización no es suficiente. Los sistemas inteligentes nos impulsan hacia adelante.

La automatización solo enmascara la complejidad. TI tiene muchos sistemas que interactúan y la mayoría de nosotros gastamos mucha energía tratando de hacer que todo funcione. Agregamos capas de automatización y abstracción en los intentos de ocultar o gestionar problemas. Estas capas se apilan una encima de la otra y crean una base débil que no puede soportar el crecimiento.

Simplemente virtualizar el viejo modelo en el nuevo mundo no iba a ser suficiente. El camino a seguir tenía que ser completamente diferente. Tenía que ser lo suficientemente inteligente como para adaptar a este mundo completamente diferente, donde la velocidad y la capacidad de respuesta son las nuevas apuestas de la mesa.

Para que un sistema inteligente tome medidas efectivas, necesita buenos datos en su base. Necesita una rica comprensión del mundo en el que opera. Necesita contexto.

Se requieren muchas formas de contexto, y deben combinar para pintar una imagen completa. Nuestro sistema recopila contexto sobre la carga de trabajo en sí, las relaciones y la comunicación entre las cargas de trabajo y el entorno en el que opera la carga de trabajo.  

A continuación, sabíamos que la solución requería un sistema que fuera dinámico y receptivo.

Creamos un modelo de lenguaje y políticas para alinearnos con la forma en que operan los usuarios y los centros de datos: un sistema simple pero poderoso, declarativo y basado en etiquetas. Esta no es una capa adicional en el modelo del viejo mundo, sino que es un enfoque completamente nuevo.    

El sistema Illumio alimenta continuamente los datos de contexto y relación en el modelo de política declarativa y vuelve a calcular el gráfico para garantizar una política de seguridad coherente. Liberamos al usuario de la implementación de cada cambio... Porque en un mundo tan dinámico, sería absurdo esperar que una persona comprenda y reasigne todas las dependencias y relaciones con cada cambio. Con Illumio, las personas especifican la política y nuestra plataforma de seguridad la implementa.

3. El mundo es híbrido. La seguridad debe funcionar en cualquier lugar.

A medida que el software y las cosas que son "como servicio" se vuelven cada vez más importantes, las API están conectando innumerables entornos diferentes y creando una gran cantidad de desafíos de seguridad.

Todos sabemos que los sistemas vinculados a una plataforma o que trabajan en un solo ecosistema no logran tener éxito en este mundo heterogéneo e híbrido. Necesitamos la libertad de elegir las herramientas y los sistemas adecuados. Y necesitamos que funcionen sin problemas, bajo demanda, sin preocupaciones sobre divergencias, inconsistencias y errores.

El sistema de seguridad actual debe trabajar con nosotros, no contra nosotros. Debe ir a donde queremos ir y hacer lo que necesitamos que haga.

Construimos nuestro sistema para que funcione en cualquier plataforma informática, incluidos servidores bare-metal y máquinas virtuales. El sistema también funciona en cualquier entorno, incluido el centro de datos empresarial, Amazon Sitio web Services, Google Compute Engine, Microsoft Azure y OpenStack.

La mejor herramienta para el viaje es un sistema inteligente que brinde una experiencia uniforme y aproveche al máximo los avances en el centro de datos.

Viajando por la gran división

Estas tres verdades fundamentales están entretejidas en todo lo que hacemos en Illumio. Hicimos el viaje a través de la gran división, y los beneficios son enormes. La mejor herramienta para el viaje es un sistema inteligente que brinde una experiencia uniforme y aproveche al máximo los avances en el centro de datos.

El equipo aquí en Illumio está muy orgulloso de lo que estamos lanzando hoy y espero compartir más a medida que continuamos brindando soluciones para el nuevo mundo.