Por qué la nube híbrida no debería ser igual a la seguridad híbrida

Las estructuras de red de nube híbrida resuelven muchos desafíos en las redes empresariales actuales. Permiten la creación de una única arquitectura de red, que se abstrae sobre los entornos de centros de datos subyacentes. También permiten tolerancia a fallas, resiliencia, servicios "elásticos" en centros de datos y una topología de red que no depende de ningún proveedor de red subyacente. Una compañía puede gestionar múltiples entornos de red física, pero ¿puede crear una sola estructura de red en todos ellos? 

Por ejemplo, una compañía puede mantener centros de datos duales (uno principal y otro para recuperación ante desastres), además de múltiples implementaciones de nube pública en AWS, Azure y/o GCP. Cada uno de estos entornos de alojamiento implementa sus propias arquitecturas de red físicas subyacentes con sus propias tecnologías específicas, a menudo con diferentes proveedores de enrutamiento y conmutación.

Pero con la llegada de las redes definidas por software (SDN) en la industria de las redes, la mayoría de los proveedores de redes de hoy pueden crear su propia "nube". En terminología de redes, una nube es esencialmente una red virtual, una en la que la topología de red se abstrae sobre la topología física, a menudo llamada "red superpuesta". Y una red superpuesta es esencialmente una colección de túneles, todos gestionados por un controlador SDN central. Esta nube puede crear una estructura de red única y unificada en todos los entornos de alojamiento gestionados. 

Se emplea un protocolo de tunelización, como VXLAN, para crear la topología de red superpuesta, de modo que la ruta del tráfico esté determinada por cómo se implementan estos túneles en lugar de cómo se implementa la topología física subyacente. Todos los proveedores de redes usan diferentes términos para describir su enfoque basado en SDN para permitir esto, pero al final del día, todos están haciendo básicamente lo mismo: usar túneles para crear una red superpuesta que es automatizada y gestionada por un controlador central. 

Si bien muchos de estos proveedores tienen la capacidad de extender las redes superpuestas desde los centros de datos locales a los proveedores de nube pública, la realidad es que muchas compañías solo implementan redes superpuestas localmente en sus centros de datos locales.

En lugar de extender su solución SDN local a la nube pública (por ejemplo, extendiendo su topología de red tunelizada a AWS o Azure), muchas compañías crean entornos gestionados localmente en sus instancias de nube pública y gestionan estas redes de manera diferente a como gestionan sus redes de centros de datos locales. A menudo optarán por emplear los enfoques de red que ya se emplean en cada proveedor de nube pública, como VPC en AWS y VNet en Azure, y luego gestionarán las soluciones SDN en sus centros de datos locales de manera diferente.

El resultado es una implementación de red de nube híbrida que se gestiona en un enfoque de "silla giratoria". El administrador de red volteará su silla de un lado a otro entre las herramientas empleadas para gestionar su centro de datos local y otras herramientas empleadas para gestionar sus redes de nube pública. El término nube híbrida a menudo implica una arquitectura única y unificada, que a menudo no es precisa cuando se trata de operaciones. 

Protección del entorno híbrido

Este enfoque fragmentado de la gestión de la red es especialmente cierto en el caso de la seguridad en una nube híbrida. Al igual que las herramientas de red gestionadas localmente se emplean en cada entorno en los centros de datos locales y las nubes públicas, lo mismo ocurre con las soluciones de seguridad. La mayoría de los proveedores de redes SDN tienen sus propias herramientas de seguridad básicas e integradas que se pueden usar para permitir cierto nivel de aplicación de políticas en su entorno gestionado localmente. Y todos los principales proveedores de nube pública tienen sus propias soluciones de seguridad, lo que también permite niveles básicos de aplicación de políticas.

Pero, desafortunadamente, estas herramientas de seguridad están aisladas en la arquitectura general. Cada solución de seguridad no funciona bien en el sandbox con otras, y correlacionar una brecha de seguridad entre todas ellas es una tarea engorrosa que introduce grandes retrasos en la resolución. 

Además, si las cargas de trabajo se migran en tiempo real entre entornos, como entre un centro de datos local y una instancia de nube pública, la aplicación de políticas generalmente no seguirá esa carga de trabajo hasta su destino. Esto da como resultado la necesidad de enfoques manuales para transferir de alguna manera la política entre las herramientas de seguridad en cada entorno o la dependencia de una solución SIEM para alimentar la información de todos los entornos, lo que requiere una gran cantidad de trabajo de secuencias de comandos inicial.

Debido a la complejidad operativa, estos pasos simplemente no se realizan a menudo, lo que genera brechas significativas en la seguridad y la visibilidad de la carga de trabajo en la nube híbrida.

En lugar de confiar en las herramientas de seguridad nativas y aisladas en cada entorno de red en una nube híbrida para hacer cumplir la seguridad de sus cargas de trabajo, ¿por qué no simplemente aplicar la seguridad y la visibilidad directamente en la carga de trabajo, abstraída de las herramientas de red subyacentes?

De manera similar a cómo las redes superpuestas crean topologías que se abstraen sobre las dependencias de los enrutadores y conmutadores subyacentes, ¿por qué no aplicar el mismo enfoque a la seguridad? La seguridad también debe abstraer (virtualizarse) de las dependencias de estructura de red subyacentes y habilitar directamente en la carga de trabajo, independientemente de dónde se aloje esa carga de trabajo o dónde migre en tiempo real durante su ciclo de vida. De manera similar a cómo las redes superpuestas permiten un enfoque coherente para las redes en una nube híbrida, la seguridad debe diseñar de la misma manera. 

Cómo puede ayudar la microsegmentación

En Illumio, aplicamos la seguridad (microsegmentación) directamente en cada carga de trabajo en toda una nube híbrida. Dado que la política de microsegmentación debe aplicar lo más cerca posible de la entidad que está tratando de proteger, implementamos un agente ligero en cada carga de trabajo, virtual o sin sistema operativo:

• Este agente no está en línea con ningún tráfico. Simplemente reside en segundo plano y monitorear el comportamiento de la aplicación directamente en la carga de trabajo.
• Luego, la información se envía de vuelta a Policy Compute Engine (PCE) para permitir una visibilidad clara del comportamiento entre todas las cargas de trabajo, independientemente de dónde estén alojadas o entre qué entornos de red migren en tiempo real. Esencialmente, virtualizamos la seguridad, abstraída de las dependencias de red subyacentes.
• El PCE central usa etiquetas simples para definir lo que se debe segmentar, ya que la definición de la directiva contra las direcciones IP no se escala en arquitecturas donde las cargas de trabajo migran dinámicamente y las direcciones IP cambian. 

Si bien el PCE crea una arquitectura de seguridad virtualizada, también puede "alcanzar" la capa de red y configurar listas de acceso a conmutadores de hardware en un centro de datos local, si es necesario. Por lo tanto, mientras la seguridad se virtualiza y se abstrae por encima de la red, Illumio puede aplicar tanto la carga de trabajo como la seguridad de la red desde un modelo operativo de política central. 

Si define los recursos básicos y esenciales en cualquier centro de datos o nube híbrida como computación, almacenamiento y red, estos tres recursos ahora se virtualizan y abstraen comúnmente por encima de los recursos subyacentes.

El cuarto recurso esencial del centro de datos es la seguridad, y de manera similar debe ser virtualizado y las dependencias de recursos subyacentes. La nube híbrida no debe ser igual a la seguridad híbrida. La seguridad debe abarcar todo el tejido de la nube de la red, y la seguridad de la carga de trabajo debe aplicar directamente en la carga de trabajo, como un "tejido" de seguridad unificado en todos los tejidos de red. La virtualización de la seguridad libera a los arquitectos de red subyacentes para que se centren en las prioridades de la red y coloca la seguridad de la carga de trabajo donde pertenece: directamente en la carga de trabajo.

Obtenga más información sobre cómo este enfoque facilita la administración de la seguridad en sus entornos de nube híbrida.