El Desafío de la Seguridad y las Redes en las Arquitecturas Definidas por Software

Por: Chris Wolf, Chief Technology Officer Américas de VMware

Durante mis continuos viajes de negocios por el continente americano, he tenido la oportunidad de reunirme con innumerables directores de tecnología y gerentes de redes, con quienes –luego de dialogar sobre diversos temas de la industria- llegamos siempre a un tema común: los crecientes desafíos de operar arquitecturas en un entorno multi-nube altamente distribuido con la movilidad y la agilidad como escenario de fondo.

En ese escenario, es importante que los CIOs consideren los tiempos de aprovisionamiento de las redes y la seguridad para cada nueva aplicación o servicio que se pretenda implementar; sin embargo, ellos pueden tardar entre dos semanas y dos meses tratando de aprovisionar las cargas de trabajo para sus centros de datos. En ese camino, muchos lamentan la complejidad asociada a la arquitectura y a la seguridad. Incluso dicen cosas como:

“Contamos con muchas reglas en el firewall, pero no tenemos idea de lo que hacen. Sentimos temor, ya que no sabemos lo que podría estropearse si las eliminamos”

Y no se equivocan, ya que -debido a su complejidad- los centros de datos podrían derrumbar los servicios críticos del negocio con solo eliminar una regla en desuso.

NUBE Y MOVILIDAD

Si eso ya es bastante malo, podría ser peor, ya que la nube y la movilidad representan desafíos aún mayores en donde los datos son accesibles en una variedad de formas desde diferentes aplicaciones y dispositivos los cuales requieren de políticas de seguridad y redes consistentes.

Es aquí donde quiero recalcar que los enfoques tradicionales no pueden utilizarse para resolver los retos actuales; para hacer evolucionar su estrategia de seguridad, vale la pena que se enfoque en tres pilares: Agilidad, Simplicidad y Ubicuidad. Veamos cada uno:

 AGILIDAD

Recordemos que los grandes pioneros de la nube lograron altas tasas de agilidad gracias a las infraestructuras definida por software; 2016 será un año en que las organizaciones seguirán aprovisionándose y manteniendo el hardware con la misma lentitud de años anteriores, pero con la presión de tener un negocio más ágil.

El cambio hacia un modelo de entrega ‘definido por software’ no es sólo aspiracional, sino también histórico para toda la industria. Casi todos los proveedores mundiales de cloud están operando en un contexto definido por software, lo que cambiará de una vez por todas la cara de la industria. Esto es inevitable

Es natural que este tipo de cambios cree cierta fricción en los departamentos de TI, ya que los empleados buscan preservar sus habilidades existentes sin pensar que sus roles pueden evolucionar al siguiente nivel. Para hacer que evolucionen, las organizaciones están comenzando a introducir redes definidas por software y ‘pilas’ de seguridad en los centros de datos.

“El cambio hacia un modelo de entrega ‘definido por software’ no es sólo aspiracional.”

Sea cual fuere la solución seleccionada, esta debe estar diseñada para operar a través de cualquier nube y ser capaz de funcionar en cualquier hardware. Para dar más contexto, los remito a la entrada del blog de Bruce Davie –CTO de VMware- quien articuló perfectamente el compromiso de emprender tales desafíos. Allí, se demostró que cuando las nubes privadas iban ‘demasiado lento’ era por causa de la red y la seguridad basada en el aprovisionamiento de hardware. Es por ello que la solución al problema de las nubes privadas consiste en eso: ser más ágiles.

SENCILLEZ

A nivel mundial las aplicaciones y contenidos son cada vez más distribuidos y abarcan servicios de IaaS (Infraestructura como Servicio), PaaS (Plataforma como Servicio) y SaaS (Software como Servicio), tanto en los centros datos privados, como en las sucursales, el escritorio, los dispositivos móviles, e incluso los automóviles. Si este escenario no es lo suficientemente complejo, tenga en cuenta el número de dispositivos inteligentes conectados que supondrá la llegada de la Internet de las Cosas (IoT).

A esto hay que agregar el hecho de que las arquitecturas y los enfoques tradicionales de seguridad fueron muy buenos en sus inicios, pero hoy están mal equipados para gestionar la enorme cantidad de objetos conectados. Cuando se enfrentan desafíos de estas proporciones, uno no sabe siquiera por dónde empezar.

Un pequeño paso en la dirección correcta sería alejarse de los modelos de seguridad basados en direcciones IP, algo que utilizan prácticamente todas las empresas actuales. En su lugar, pueden utilizarse soluciones que aseguren objetos (tales como máquinas virtuales, contenedores o aplicaciones móviles) mediante un identificador global único (GUID, Globally Unique Identifier).

De esta manera, si un objeto se vuelve a desplegar en otro lugar, el contexto de seguridad continuará intacto. Este enfoque permite implementar un modelo de seguridad global ‘zero-trust’ con una arquitectura que incluso entrega cifrado de extremo a extremo para datos en movimiento y en reposo.

Es bien sabido por todos los profesionales de TI que las amenazas actuales no permiten tener la solución ‘perfecta’; sin embargo, si Usted toma la decisión de iniciar hoy, puede aplicar el concepto de ‘microsegmentación’ de aplicaciones, que permite construir nuevas habilidades operativas y modelos de seguridad sin afectar las aplicaciones.

Ubicuidad

Ante la pregunta de ¿Cuál herramienta de integración es la ideal?, muchos directivos de TI responden jocosamente: “una de cada una”, y ¡tienen razón!, ya que es difícil imaginar un mundo en donde no exista coherencia entre la aplicación de las políticas de seguridad en múltiples centros de datos y las implementaciones en la nube. Esto no significa que recomiende una solución completa que abarque todo, sino que debemos ser realistas a la hora de afrontar el asunto de la ‘ubicuidad’. 

Así las cosas, se hace necesario contar con políticas de seguridad definidas para las redes y para infraestructuras unificadas con múltiples nubes y centros de datos.

Esta visión es la clave de nuestra estrategia NSX, tal y como los demostramos durante el VMworld 2015 y en las próximas entregas de software programadas para 2016. Además, hay que recalcar que las aplicaciones de negocios rara vez son sólo para Windows, sino que además incluyen desarrollos en Mac, web y dispositivos móviles.

Para finalizar, quiero resaltar la importancia de buscar soluciones de identidad multi-nube para centralizar las políticas e identidades en todas las aplicaciones y contenidos. Con solo proveer un inicio de sesión único para aplicaciones de negocios, Usted obtendrá una victoria muy visible en toda la organización, con un valor muy significativo en los negocios.

El hecho de que la tecnología sea cada vez más compleja no significa que las soluciones de VMware también lo sean. De forma paralela, es posible que las arquitecturas heredadas mantengan a su organización funcionando por algunos días, pero ello no es garantía de que su negocio conserve la agilidad y privacidad necesarias para encarar el futuro.

El Desafío de la Seguridad y las Redes en las Arquitecturas Definidas por Software

Por: Chris Wolf, Chief Technology Officer Américas de VMware

Durante mis continuos viajes de negocios por el continente americano, he tenido la oportunidad de reunirme con innumerables directores de tecnología y gerentes de redes, con quienes –luego de dialogar sobre diversos temas de la industria- llegamos siempre a un tema común: los crecientes desafíos de operar arquitecturas en un entorno multi-nube altamente distribuido con la movilidad y la agilidad como escenario de fondo.

En ese escenario, es importante que los CIOs consideren los tiempos de aprovisionamiento de las redes y la seguridad para cada nueva aplicación o servicio que se pretenda implementar; sin embargo, ellos pueden tardar entre dos semanas y dos meses tratando de aprovisionar las cargas de trabajo para sus centros de datos. En ese camino, muchos lamentan la complejidad asociada a la arquitectura y a la seguridad. Incluso dicen cosas como:

“Contamos con muchas reglas en el firewall, pero no tenemos idea de lo que hacen. Sentimos temor, ya que no sabemos lo que podría estropearse si las eliminamos”

Y no se equivocan, ya que -debido a su complejidad- los centros de datos podrían derrumbar los servicios críticos del negocio con solo eliminar una regla en desuso.

NUBE Y MOVILIDAD

Si eso ya es bastante malo, podría ser peor, ya que la nube y la movilidad representan desafíos aún mayores en donde los datos son accesibles en una variedad de formas desde diferentes aplicaciones y dispositivos los cuales requieren de políticas de seguridad y redes consistentes.

Es aquí donde quiero recalcar que los enfoques tradicionales no pueden utilizarse para resolver los retos actuales; para hacer evolucionar su estrategia de seguridad, vale la pena que se enfoque en tres pilares: Agilidad, Simplicidad y Ubicuidad. Veamos cada uno:

 AGILIDAD

Recordemos que los grandes pioneros de la nube lograron altas tasas de agilidad gracias a las infraestructuras definida por software; 2016 será un año en que las organizaciones seguirán aprovisionándose y manteniendo el hardware con la misma lentitud de años anteriores, pero con la presión de tener un negocio más ágil.

El cambio hacia un modelo de entrega ‘definido por software’ no es sólo aspiracional, sino también histórico para toda la industria. Casi todos los proveedores mundiales de cloud están operando en un contexto definido por software, lo que cambiará de una vez por todas la cara de la industria. Esto es inevitable

Es natural que este tipo de cambios cree cierta fricción en los departamentos de TI, ya que los empleados buscan preservar sus habilidades existentes sin pensar que sus roles pueden evolucionar al siguiente nivel. Para hacer que evolucionen, las organizaciones están comenzando a introducir redes definidas por software y ‘pilas’ de seguridad en los centros de datos.

“El cambio hacia un modelo de entrega ‘definido por software’ no es sólo aspiracional.”

Sea cual fuere la solución seleccionada, esta debe estar diseñada para operar a través de cualquier nube y ser capaz de funcionar en cualquier hardware. Para dar más contexto, los remito a la entrada del blog de Bruce Davie –CTO de VMware- quien articuló perfectamente el compromiso de emprender tales desafíos. Allí, se demostró que cuando las nubes privadas iban ‘demasiado lento’ era por causa de la red y la seguridad basada en el aprovisionamiento de hardware. Es por ello que la solución al problema de las nubes privadas consiste en eso: ser más ágiles.

SENCILLEZ

A nivel mundial las aplicaciones y contenidos son cada vez más distribuidos y abarcan servicios de IaaS (Infraestructura como Servicio), PaaS (Plataforma como Servicio) y SaaS (Software como Servicio), tanto en los centros datos privados, como en las sucursales, el escritorio, los dispositivos móviles, e incluso los automóviles. Si este escenario no es lo suficientemente complejo, tenga en cuenta el número de dispositivos inteligentes conectados que supondrá la llegada de la Internet de las Cosas (IoT).

A esto hay que agregar el hecho de que las arquitecturas y los enfoques tradicionales de seguridad fueron muy buenos en sus inicios, pero hoy están mal equipados para gestionar la enorme cantidad de objetos conectados. Cuando se enfrentan desafíos de estas proporciones, uno no sabe siquiera por dónde empezar.

Un pequeño paso en la dirección correcta sería alejarse de los modelos de seguridad basados en direcciones IP, algo que utilizan prácticamente todas las empresas actuales. En su lugar, pueden utilizarse soluciones que aseguren objetos (tales como máquinas virtuales, contenedores o aplicaciones móviles) mediante un identificador global único (GUID, Globally Unique Identifier).

De esta manera, si un objeto se vuelve a desplegar en otro lugar, el contexto de seguridad continuará intacto. Este enfoque permite implementar un modelo de seguridad global ‘zero-trust’ con una arquitectura que incluso entrega cifrado de extremo a extremo para datos en movimiento y en reposo.

Es bien sabido por todos los profesionales de TI que las amenazas actuales no permiten tener la solución ‘perfecta’; sin embargo, si Usted toma la decisión de iniciar hoy, puede aplicar el concepto de ‘microsegmentación’ de aplicaciones, que permite construir nuevas habilidades operativas y modelos de seguridad sin afectar las aplicaciones.

Ubicuidad

Ante la pregunta de ¿Cuál herramienta de integración es la ideal?, muchos directivos de TI responden jocosamente: “una de cada una”, y ¡tienen razón!, ya que es difícil imaginar un mundo en donde no exista coherencia entre la aplicación de las políticas de seguridad en múltiples centros de datos y las implementaciones en la nube. Esto no significa que recomiende una solución completa que abarque todo, sino que debemos ser realistas a la hora de afrontar el asunto de la ‘ubicuidad’. 

Así las cosas, se hace necesario contar con políticas de seguridad definidas para las redes y para infraestructuras unificadas con múltiples nubes y centros de datos.

Esta visión es la clave de nuestra estrategia NSX, tal y como los demostramos durante el VMworld 2015 y en las próximas entregas de software programadas para 2016. Además, hay que recalcar que las aplicaciones de negocios rara vez son sólo para Windows, sino que además incluyen desarrollos en Mac, web y dispositivos móviles.

Para finalizar, quiero resaltar la importancia de buscar soluciones de identidad multi-nube para centralizar las políticas e identidades en todas las aplicaciones y contenidos. Con solo proveer un inicio de sesión único para aplicaciones de negocios, Usted obtendrá una victoria muy visible en toda la organización, con un valor muy significativo en los negocios.

El hecho de que la tecnología sea cada vez más compleja no significa que las soluciones de VMware también lo sean. De forma paralela, es posible que las arquitecturas heredadas mantengan a su organización funcionando por algunos días, pero ello no es garantía de que su negocio conserve la agilidad y privacidad necesarias para encarar el futuro.