Versa Networks: “Las empresas necesitan mantener seguras las redes edge”

La seguridad de la red no sólo es una de las principales prioridades de las juntas directivas; garantizar la protección de los datos corporativos que se mueven desde el borde de la red hacia la nube, y de vuelta, no es una tarea fácil, dadas las complejas arquitecturas de nube híbrida de hoy en día.

La seguridad de las redes es más importante que nunca, sobre todo si se tiene en cuenta que en la actualidad es una de las principales preocupaciones gerenciales de todas las grandes y medianas empresas. Los altos ejecutivos han sido testigos de demasiados ejemplos de lo que puede salir mal cuando se traspasan las defensas, como para tener dudas sobre lo que está en juego. Una violación grave de la seguridad tiene el poder de deteriorar una marca o erosionar el valor para el accionista, desbaratando en un día una buena imagen que puede haber tomado años consolidar. Y no termina ahí. En muchos sectores, los reguladores tienen la facultad de imponer sanciones importantes a quienes han sufrido brechas, en particular si los datos de los clientes se han visto comprometidos. Nuevas directivas como el GDPR están elevando aún más el umbral.

Con las empresas invirtiendo fuertemente para transformarse digitalmente, la amenaza se ha intensificado y diversificado en muchos aspectos. Las empresas que buscan una estrategia híbrida de nube o multi-nube, o que confían en un modelo de software como servicio para dar acceso a los trabajadores remotos a aplicaciones críticas -tal vez a través de un dispositivo móvil- se expondrán potencialmente a nuevos vectores de amenazas que deben incluirse en una ya larga lista de consideraciones de seguridad para la optimización del borde de la WAN. 

Una empresa digital bien puede tener numerosos puntos vulnerables, y aquellos que buscan explotar estas vulnerabilidades están más motivados, organizados y tienen más conocimientos técnicos que nunca. Las amenazas pueden venir en forma de ataques DDoS, malware, virus o espionaje industrial. Pueden afectar el funcionamiento de una red o sitio web, o estar dirigidos al robo de propiedad intelectual o datos de clientes. La pregunta para cualquier persona responsable de la seguridad de la red no es si tal ataque ocurrirá alguna vez, sino cuándo. Quizás la prevención total no es posible, por lo que el foco debe cambiar para limitar el daño donde sea que se produzca.

A medida que las empresas buscan formas de acelerar sus procesos de transformación digital y lograr una mayor agilidad empresarial, deben adaptarse a esta evolución transformando su red de área amplia para que esté más impulsada por el software. Al transformar su estrategia de red con la solución SD-WAN adecuada, no sólo están ganando capacidad de gestión y control, sino que también están dando un gran paso hacia una mejor seguridad de red. 

Las llaves del reino

Poner la seguridad en primer lugar significa adoptar un enfoque de múltiples capas que sea escalable y seguro, al tiempo que sea sencillo de implementar y fácil de gestionar a través de un tejido SD-WAN. Las redes verdaderamente seguras se basan en una arquitectura de varios niveles en la que se requieren múltiples comprobaciones, autenticaciones y autorizaciones para acceder a la red interna.

Sin embargo, una precaución importante es que no todas las soluciones SD-WAN manejan la seguridad del borde de la misma manera. En la superficie, todos parecen ofrecer reducción de costos y visualización de aplicaciones, confiando en un mecanismo de construcción de túneles seguros entre sitios. Sin embargo, las diferentes soluciones SD-WAN adoptan una variedad de enfoques en áreas importantes, como el intercambio de claves y el lugar donde éstas se almacenan.

Las claves determinan quién tiene acceso a lo que es crucial para la seguridad de la WAN. Algunos modelos SD-WAN están más expuestos y son más vulnerables que otros, ya que el manejo de claves a menudo permite a los delincuentes aprovechar las vulnerabilidades, especialmente cuando el sistema está en contacto directo con Internet.

Dado que las claves de cifrado son tan importantes en la encriptación de mensajes, es aún más importante que los administradores de red tengan una forma de hacerlas lo suficientemente seguras y complejas como para que cualquier endpoint comprometido no pueda revelar la clave a los hackers. 

Una técnica que ayuda es tener una clave más larga, de al menos 128 bits y preferiblemente 256 bits. Una solución aún más segura es poder transmitir sólo parte de una clave y disponer de un algoritmo que pueda validar la clave parcial utilizando elementos secretos para cada dispositivo. De esta manera, ningún dispositivo tiene todas las piezas para volver a ensamblar la clave. Por lo tanto, la extracción de claves de un dispositivo no proporciona ningún medio utilizable para el acceso no autorizado a la red de la empresa. Las claves no necesitan ser almacenadas y pueden ser computadas con cada paquete que necesite ser cifrado o descifrado.

Las redes de ayer se centraban en el centro de datos; sin embargo, con los requisitos de SaaS y multi-nube, se requiere conectividad de sitio a sitio desde el borde y hacia la nube.

Las sucursales no necesitan conectarse de nuevo al centro de datos corporativo para acceder a aplicaciones y nubes, aparte de la inspección de paquetes y la postura de seguridad, lo que resultaba en una pésima experiencia para el usuario debido a la transferencia de todo el tráfico hacia el centro de datos.

Lo que la empresa contemporánea necesita es acceso directo a Internet, pero sin la seguridad limitada por sucursales con diferentes requisitos. SD-WAN, en cambio, permite que todas las políticas de seguridad se ejecuten en todas las sucursales al mismo tiempo y en el mismo contexto que el rendimiento más decisivo de la red. En algunos casos, sólo se necesita una parte de la seguridad para ser CPE e integrar la seguridad basada en la nube para escalar y desescalar en función de las demandas de la carga de trabajo. La seguridad de la nube como servicio lo hará de forma nativa y, por lo tanto, no tendrá que preocuparse por dimensionar el cálculo a la medida de cada sucursal.

Múltiples conexiones a SD-WAN, incluyendo conexiones privadas e híbridas, permiten a las sucursales obtener acceso directo a Internet (DIA). La gestión de la seguridad SD-WAN y de la nube como servicio puede gestionar de forma uniforme tanto las políticas locales como las basadas en la nube.

Para extender el borde de la WAN a la nube, SD-WAN resuelve el atasco de la nube privada a la nube pública, y cuando la mayor amenaza es que una vez que la sucursal está en la web, su IP quede expuesta, y los usuarios se preocupen por los ataques de DDoS y las vulnerabilidades desconocidas, es de suma importancia para la seguridad que se proteja la ventanilla pública en el borde, ya que no es necesario instalar costoso hardware en todas las sucursales.

Las plataformas basadas en hardware no escalan hacia adentro o hacia afuera cuando usted tiene que cambiar una política o servicio. SD-WAN es más elástico, pagando sólo por lo que necesita en el momento en que lo necesita, a diferencia de la sobreprovisión de capacidad de hardware que puede que nunca se utilice.

Una solución SD-WAN adecuada también permitirá la visibilidad y la capacidad de gestión, ofreciendo una forma perfecta de considerar la seguridad, ya sea a nivel de sucursal o de oficina central. La seguridad de la nube como servicio lo permitirá, tanto si la conexión es por Internet como si se trata de un enlace privado de algún tipo. Esa y muchas otras capacidades deben estar integradas en un tejido SD-WAN.

La protección de datos siempre ha sido importante y un desafío. Toda empresa tiene al menos cierta información privada, junto con la obligación de proteger esos datos, ya sea propiedad intelectual, información financiera, información de suscripción de clientes, historial de pagos u otra información que, según las autoridades reguladoras, debe recibir la máxima protección. La solución SD-WAN adecuada proporcionará esta protección.

Por Atchison Frazer, Head of Worldwide Marketing, Versa Networks

Fotografìa: Diario TI en NetEvents Global IT Summit 2019


Únase a la conversación

Contacto | Diario TI es una publicación de MPA Publishing International Ltd., Reino Unido. © Copyright 1997-2022