EDR, la alternativa para afrontar las nuevas amenazas

Son muchos los cambios que ha sufrido el cibercrimen en los últimos años. Los tradicionales ataques basados en malware han dejado paso a avanzadas técnicas que no requieren de ningún fichero, a la posibilidad de que cualquiera por un precio irrisorio pueda incluso contratar ataques dirigidos bajo demanda o del empleo de ataques de día cero indetectables para la mayoría de las tecnologías del mercado.

Estos cambios son ya una realidad fehaciente y nos afectan día tras día. A nosotros y a nuestras organizaciones. Se ha llegado en este aspecto a una curiosa persecución entre los buenos y los malos en la que por muy rápido que avance la tecnología los cibercriminales son más ágiles y rápidos para esquivar cualquier mecanismo que se les ponga por delante.

De entre todos los avances que se han producido en los últimos tiempos hay uno que está cambiando el paradigma de protección en el puesto de trabajo pasando de un concepto de protección a uno de respuesta. Estamos hablando de las soluciones EDR (Endpoint Detection and Response).

Las soluciones EPP (Endpoint Protection), los tradicionales antivirus basados en firmas a los que estamos acostumbrados, hace tiempo que dejaron de ser suficientes. Han sido durante muchos años un mecanismo de seguridad considerado mínimo para cualquier organización pero a medida que las técnicas del cibercrimen han evolucionado las soluciones de protección lo han tenido que ir haciendo junto a ellas.

Progresión de la seguridad del puesto de trabajo | Fuente: comtact.co.uk

¿Qué aporta una solución EDR frente a un Endpoint tradicional?

Los EDR aportan una serie de significativas mejoras frente a los enfoques EPP tradicionales. Entre ellas, éstas son las más destacadas:

  • Prevención: gracias a potentes motores de análisis de Machine y Deep Learning las soluciones EDR permiten detectar las amenazas en base a patrones de comportamiento permitiendo determinar focos de amenaza antes incluso de que las mismas se detonen en la máquina.
  • Respuesta: las soluciones EDR están diseñadas no sólo para prevenir las amenazas si no para aplicar los mecanismos de respuesta más adecuados en base a cada situación.
  • Investigación: otro aspecto diferencial de las soluciones de EDR es la capacidad de almacenar toda la actividad de los puestos de trabajo de cara a facilitar las labores forenses requeridas después de un incidente.

¿Qué tipo de respuesta pueden generar?

Quizás lo más interesante de estas soluciones sea entender qué tipo de mecanismos ponen a nuestra disposición para responder frente a una determinada amenaza. Como es lógico cada fabricante tiene sus capacidades, pero es interesante analizar en su conjunto alguna de las principales.

  • Aislamiento: con este mecanismos podemos conseguir que uno o varios equipos infectados queden desconectados de la red de cara a evitar movimientos laterales y posibles nuevas infecciones
  • Borrado de ficheros: en el momento en el que se detecta una potencial amenaza estas herramientas permiten no sólo borrar el fichero origen de la misma si no actuar sobre el resto de máquinas que tengan dicho fichero para evitar que se generen nuevas amenazas
  • Blacklist: en este caso lo que permiten estas soluciones es añadir las direcciones IP origen o destino de un ataque a una lista negra que evita que ningún otro equipo pueda acceder o ser accedido desde las mismas
  • Rollback: este mecanismo está muy vinculado con ataques tipo ransomware y lo que permiten es llevar a cabo una recuperación de los ficheros que hayan podido ser encriptados durante un ataque de este tipo

Como suele ocurrir con muchas otras herramientas tecnológicas uno de los caballos de batalla a los que se enfrentan las soluciones EDR es la capacidad que tienen los clientes para dedicar recursos a la gestión de la valiosísima información que estos sistemas son capaces de generar. En su origen las soluciones EDR eran soluciones destinadas a Centros de Operaciones de Seguridad (SOC) donde un ejército de expertos ingenieros podían analizar todas las causas de cada ataque o potencial ataque para en base a ellas determinar mecanismos de protección y respuesta.

Los fabricantes conocedores de esta circunstancia están facilitando interfaces de gestión que buscan la sencillez y que el usuario pueda en un par de clicks disponer de toda la información necesaria para una toma de decisiones, pero desde luego este tipo de soluciones son un claro ejemplo del valor añadido que puede aportar un servicio gestionado.

Consola de gestión Sophos EDR | Fuente: community.sophos.com

Como conclusión las soluciones EDR son una solución óptima (que no nueva) para adaptar los mecanismos de seguridad empresarial a las nuevas amenazas que nos rodean. Son sin duda alguna una obligación para cualquier corporación que quiera definir una estrategia de seguridad completa y adaptada a la realidad de un mundo digital cuyos mecanismos de ataque avanzan mucho más rápido que nuestras defensas.

¿Debemos confiar la ciberseguridad a un único fabricante?

Una duda que surge habitualmente a la hora de plantear una solución de ciberseguridad para un cliente es la idoneidad de apostar por una plataforma multifabricante o por el contrario abarcar todo el proyecto a través de soluciones de un mismo proveedor.

Ambos acercamientos ofrecen ventajas y desventajas y en el artículo de hoy intentaremos desgranar cada una de ellas para intentar entender cuál es la mejor opción para cada escenario.

Antes de nada es interesante entender que un proyecto global de ciberseguridad puede abarcar un catálogo de tecnologías tremendamente amplio. Firewall, control de aplicaciones, filtrado web, firewall de aplicaciones web, soluciones de endpoint, sandbox, cifrado, autenticación de doble factor, DLP, NAC, backup & restore, SIEM,…son algunos de los conceptos que en mayor o menor medida pueden aplicar en un proyecto de ciberseguridad. Como es lógico ningún fabricante del mercado puede abarcar por sí mismo todas estas funcionalidades, con lo que el punto de partida nos obliga a pensar de manera obligatoria en un entorno multifabricante.

Partiendo de esa premisa si preguntáramos a la mayoría de los clientes qué consideran como elementos básicos de una solución de ciberseguridad no tengo duda de que una amplia mayoría pondría el foco en las soluciones de seguridad de red (Firewall, Control Web, Control de Aplicaciones e IPS) y seguridad de puesto de trabajo (Antimalware / Antiransomware para endpoint). Es por ello que el artículo de hoy va a centrarse en este tipo de entorno, seguridad de red más seguridad de puesto de trabajo para analizar si dentro de estos dos niveles de red tiene sentido un planteamiento multi-vendor o single-vendor.

Gartner da muchas pistas

Una vez entendido el escenario como punto de partida (ver si tiene sentido confiar seguridad de red y endpoint a un mismo fabricante) considero interesante analizar qué fabricantes son los líderes del mercado en cada una de dichas categorías. Para ello podemos usar como base del análisis los cuadrantes de Gartner para las tecnologías definidas con anterioridad, seguridad de red (UTM/NGFW) y Endpoint:

Cuadrante de Gartner para soluciones NGFW
Gartner EP
Cuadrante de Gartner para soluciones de Endpoint

Estos análisis dejan fuera o muy mal posicionadas opciones que pueden ser interesantes como las que ofrece Fortinet con su Forticlient o Checkpoint con sus soluciones de Endpoint Security. Esto nos da una idea de la penetración que de momento esas soluciones han tenido en el mercado a pesar de ser soluciones muy interesantes en cuanto a funcionalidades y capacidades y en las que ambos fabricantes están poniendo mucho foco de desarrollo en los últimos tiempos.

Más allá de los ausentes, al revisar las conclusiones de los cuadrantes de Gartner hay un dato que llama poderosamente la atención. Sólo Cisco, Sophos y Palo Alto aparecen en los cuadrantes de soluciones de seguridad de red y endpoint, lo que ya nos puede dar una idea de lo complicado que puede ser llevar a cabo un proyecto a través de un único vendor.

Apuesta por la especialización

Este resultado para mí es debido a un factor fundamental. En materia de ciberseguridad el mercado apuesta principalmente por la especialización. Es decir, interpreta (bajo mi punto de vista de manera acertada) que un fabricante de soluciones de endpoint puede ofrecer una serie de funcionalidades y valor añadido que un fabricante de seguridad de red que ha sacado una solución de endpoint no puede ofrecer.

Debemos tener en cuenta que al final una de las claves del éxito de las soluciones de endpoint es su capacidad de disponer de millones de sensores que ofrecen muestras para analizar y alimentar las bases de firmas de los fabricantes. Ese camino ya recorrido por muchos fabricantes es difícil de acortar por otros que no hayan dedicado sus esfuerzos a ello durante los últimos años.

Se atisba tormenta (de adquisiciones)

Antes esta situación mi conclusión es clara. ¿Cómo acortar ese camino? Pues adquiriendo ese know-how a través de adquisiciones. Me sorprende el poco movimiento que durante los últimos años ha habido en la industria de la ciberseguridad en este aspecto. Más allá de las adquisiciones de Sophos (Astaro, Cyberoam o Invincea) y los bandazos que ha dado Stonesoft con su compra por parte de McAfee y posterior venta a Forcepoint, son pocos los movimientos acontecidos en una industria que cada vez se convierte en una parte más importante para el sector TIC.

Hay muchos  fabricantes como CrowdStrike, Cylance o SentinelOne con soluciones sumamente innovadoras y con un tamaño de compañía que hace pensar en una posible compra por un gigante como Checkpoint, Fortinet o Paloalto, pero por uno u otro motivo ese movimiento no se produce ni parece que vaya a producirse en el corto plazo. Veremos si en los próximos meses hay movimiento al respecto.

«Ventajas» del enfoque de fabricante único

Más allá de las features y capacidades de cada solución individual (ya sea de red o de endpoint), un enfoque de fabricante único aporta varias ventajas. De entre todas ellas hay dos que son sin lugar a dudas el factor diferencial a la hora de tomar la decisión, la gestión centralizada y la interacción entre diferentes elementos de seguridad, lo que en su día Sophos bautizó (con mucho acierto) como Synchronized Security.

En cuanto a la gestión centralizada poco o nada puede aportar un entorno multifabricante para competir contra esta ventaja. La importancia o no de este factor va a depender en gran medida de lo optimizada que tenga el cliente la gestión de sus sistemas de seguridad. No es lo mismo contar ya con 5 ó 6 plataformas que contar con un par de ellas, en el primer caso es obvio que poner el foco en optimizar ese aspecto podría ser un factor más que justificativo para apostar por este enfoque.

Respecto a la integración entre elementos en los últimos tiempos se están produciendo muchos avances al respecto de la interacción entre soluciones incluso de diferentes fabricantes. Por un lado parece que hablar de APIs ha dejado de ser un tabú y los principales fabricantes ya incluyen en sus últimas releases mecanismos para automatizar respuestas en base a interacciones con sistemas externos. Sin duda un paso adelante en un cambio de mentalidad en este aspecto.

Por otro lado, más allá de ese nivel de automatización mínimo que empieza a formar parte de las funcionalidades de cualquier NGFW, gracias al empleo de herramientas SIEM y SOAR es posible automatizar casi cualquier proceso de respuesta que tengamos en mente por complicado que sea el workflow que lo defina. Estas soluciones como es obvio no serán tan inmediatas en su ajuste y puesta en marcha como las soluciones unificadas pero ofrecen una capacidad de automatización y respuesta como mínimo igual que cualquier solución de mercado que ofrezca esta funcionalidad. En unas semanas dedicaremos un artículo a este tipo de soluciones. ¿Quieres que te avise cuando se publique?

En conclusión, la apuesta por un enfoque u otro va a depender en gran medida de los aspectos que más valore cada uno a la hora de tomar una decisión. Bajo mi punto de vista la clave reside en evaluar las soluciones de forma individual para comprobar que cumplan con las necesidades que tenemos en términos de funcionalidades y rendimiento. Si tenemos la suerte que dos soluciones del mismo fabricante lo hacen es cuando podemos plantearnos que ese enfoque de fabricante único puede aportar un valor añadido a nuestros proyectos.

SD-WAN, ¿qué ofrece el mercado?

Hace ya mucho tiempo en Telequismo estuvimos comentando que las soluciones SD-WAN parecían convertirse en una alternativa real en el ámbito de SDN para ofrecer soluciones WAN más flexibles y optimizadas que las existentes hasta la fecha.

Un par de años después de ese artículo podemos confirmar con total tranquilidad que las redes SD-WAN son ya una realidad por la que apuestan cada vez más empresas como solucion de conectividad para sus redes WAN.

Ya estuvimos comentando en su día los principales beneficios que está tecnología podía aportar y hoy queremos analizar cuál es la situación actual del mercado SD-WAN.

Para ello vamos a analizar las soluciones que ofrecen algunos de los líderes del mercado. Vaya por delante que obviamente me dejaré muchas grandes soluciones fuera de este análisis (que me perdonen aquellos que no incluya en el artículo de hoy) pero obviamente no caben todos.

Cisco

Cisco irrumpió con fuerza en el mercado SD-WAN a través de la adquisición de Viptela, fabricante de referencia para este tipo de soluciones y que pasó a formar parte del portfolio del gigante norteamericano en el año 2017. Este añadido vino a sumarse a las soluciones ya existentes de Meraki y Cisco IWAN conviertiendo el portfolio SD-WAN de Cisco en el más amplio del mercado.

Gracias a la incorporación de Viptela, Cisco ofrece una completa solución que destaca sobretodo por su flexibilidad. Esa flexibilidad permite por un lado determinar la ubicación idónea (Cloud u On-Premise) para los orquestadores y controladores (vBond y vSmart) y por otro seleccionar la mejor opción para el endpoint de las sedes remotas pudiendo elegir entre appliance físico o virtual.

Fuente: Cisco

Sin duda la solución de Cisco es una de las claras referencias para el mercado dado que por un lado cuenta con un amplio portfolio de equipamiento de Edge y por otro ha aprovechado el potencial de Viptela para enriquecer sus equipos con grandes capacidades a nivel SD-WAN.

Referencia: https://www.cisco.com/c/es_es/solutions/enterprise-networks/sd-wan/index.html

[su_divider top=»no» divider_color=»#1E73BE» size=»1″ margin=»30″]

Meraki

Meraki ofrece su solución SD-WAN basándose en su Portfolio de soluciones de seguridad Meraki MX.

El planteamiento para este tipo de soluciones consiste en la instalación de equipos MX en cada nodo de la red desde los que se ofrecerán funcionalidades de Balanceo de líneas dinámico, QoS o Zero Touch Provisioning para cada uno de los emplazamientos.

Fuente: Meraki

Todo ello apoyado por la que posiblemente sea la plataforma de gestión Cloud para SD-WAN más avanzada del mercado. Gracias a ello las soluciones de Meraki son extremadamente sencillas de desplegar y gestionar lo cual redunda en una clara optimización de los costes operativos propios de este tipo de escenarios.

Referencia: https://meraki.cisco.com/products/appliances#sd-wan

[su_divider top=»no» divider_color=»#1E73BE» size=»1″ margin=»30″]

Aruba

SD-WAN y seguridad son los dos ejes sobre los que pivota la estrategia de producto de HP-Aruba para este 2019. En el ámbito del SD-WAN, HP-Aruba apuesta por un cambio en el concepto utilizando SD-Branch como término para englobar este tipo de soluciones.

A nivel de arquitectura la solución de HP propone la instalación de gateways físicos en las diferentes ubicaciones y un concentrador VPN en el data center que permite cerrar y gestionar los túneles VPN contra cada una de las sedes.  Este último elemento puede desplegarse a través de appliance físico (Aruba 7200 Series Mobility Controller) o a través de su Virtual Mobility Controller.

El principal aporte de Aruba en este aspecto es la gestión centralizada desde su plataforma Cloud (Aruba Central), su filosofía de gestión del tráfico basado en roles y la posibilidad de integrar a través de su API servicios de seguridad de terceros (zScaler, PaloAlto o Checkpoint) para controlar el tráfico de salida a Internet.

Referencia: https://www.arubanetworks.com/es/productos/productos-de-red/sd-wan/

[su_divider top=»no» divider_color=»#1E73BE» size=»1″ margin=»30″]

Fortinet

Al igual que ocurre con Aruba, Fortinet parece dispuesto a convertir el SD-WAN en uno de sus elementos diferenciales para ofrecer soluciones globales de conectividad y seguridad.

A diferencia de otros competidores en el ámbito de la seguridad como PaloAlto o Chekpoint, que de momento parecen no apostar por el SD-WAN, Fortinet está desarrollando su familia de productos Fortigate para que se conviertan en un  gateway SD-WAN que permita ofrecer todas las funcionalidades requeridas en este tipo de entornos.

El argumento diferenciador por el que apuesta Fortinet es el concepto de Secure SD-WAN que les permite ofrecer al margen de las funcionalidades propias de SD-WAN (Balanceo de líneas, Zero Touch Provisioning, Gestion Centralizada,…) funcionalidades de seguridad en cada uno de los nodos de la red. De esta forma Fortinet se posiciona como un claro referente en entornos en los que la seguridad tenga que formar parte intrínseca de la solución SD-WAN.

A nivel de arquitectura su solución es extramadamente sencilla ya que la propuesta de Fortinet consiste en emplear su equipo Fortigate como gateway SD-WAN, con todas las funcionalidades requeridas. Esto aporta a la solución de Fortinet un altísimo nivel de flexibilidad dado que el despliegue de esta solución puede llevarse a cabo en appliance físico, virtual o en cloud, sin duda un valor añadido para las soluciones de Fortinet.

Otro aspecto muy interesante de la solución de Fortinet es el hecho de no requerir licenciamiento adicional lo que convierte a la solución de Fortinet en la solución ideal para aquellos clientes que ya disponen de equipamiento del fabricante o que estén familiarizados con este tipo de soluciones.

Referencia: https://www.fortinet.com/lat/products/sd-wan.html

[su_divider top=»no» divider_color=»#1E73BE» size=»1″ margin=»30″]

Espero que este análisis os haya servido como primeros pasos hacia la solución óptima para vuestros proyectos.

Como es obvio la implantación de este tipo de soluciones requiere del soporte de especialistas que aseguren su óptimo funcionamiento. Si necesitáis cualquier ayuda para vuestros proyectos no dudéis en comentarme e intentaré ayudaros en todo lo posible para que sea todo un éxito.

Me encantaría conocer vuestra opinión acerca de este tipo de soluciones, problemáticas que os estáis encontrando o dudas que os estéis planteando para el despliegue de algún proyecto con lo que cualquier comentario es bien recibido.

802.11ax, el WiFi que quiere hacer sombra al 5G

Hace no tanto tiempo en este mismo blog hablaba de las diferencias entre las dos variantes del estándar 802.11ac. Pues bien han pasado poco más de dos años y aquello ya parece cosa del pasado, caprichos de la tecnología…

El estándar 802.11ax ha llegado para convertirse junto al 5G en un driver clave para la revolución inalámbrica que se avecina. Pero, ¿qué es este estándar? ¿qué aporta sobre las actuales redes WiFi? Hoy en Telequismo intentaremos aportar algo de luz al respecto.

WiFi 6, la WiFi Alliance se apunta al marketing

Es poco habitual que organismos como el IEEE, la WiFi Alliance o cualquier otro organismo regulador piensen de una forma algo «marketiniana» a la hora de desarrollar sus estándares, pero por lo visto el 802.11ax ha cambiado algo…

Aprovechando la publicación de este nuevo estándar la WiFi Alliance ha decidido renombrar tanto este nuevo estándar como los ya existentes (802.11n y 802.11ac) de cara a hacerlos más reconocibles por los usuarios. Para ello ha anexado un número al final del término WiFi que permitirá de una forma muy sencilla identificar lo evolucionado del estándar con el que estamos conectando con nuestra red WiFi. Con esta nueva política la nomenclatura queda como sigue:

  • Wi-Fi 6 sustituye a 802.11ax
  • Wi-Fi 5 sustituye a 802.11ac
  • Wi-Fi 4 sustituye a 802.11n

Además esta nomenclatura será reconocible en los terminales de acceso tal y como ocurre ahora con las redes de operador (3G, 4G, LTE,…). A continuación se muestra como se ha definido dicha iconografía:

Generational_Wi-Fi

¿Qué mejoras técnicas aporta WiFi 6?

MU-MIMO

MU-MIMO (Multiuser MIMO) no es en sí una funcionalidad nueva en las redes WiFi pero sí lo es el hecho de mejorar el rendimiento de la misma hasta llevar la tecnología MIMO a un 8x8x8 MU-MIMO que permite dar servicio simultáneo a 8 usuarios tanto en uplink como en downlink.

BSS Coloring

El estándar 802.11ax añade en la cabecera PHY un número (color) que permitirá identificar cada BSS (Basic Service Set, ¿qué es?) permitiendo mejorar el rendimiento de la red en entornos de alta densidad ya que optimiza la reutilización de canales y el uso eficiente del espectro.

Se trata de una funcionalidad que técnicamente es bastante compleja, quien quiera profundizar más en ello puede consultar el siguiente White Paper: Introduction to 802.11ax High-Efficiency Wireless

OFDMA

La tecnología OFDMA introducida en el estándar 802.11ax permite que múltiples usuarios sean atendidos simultáneamente a pesar de requerir diferente ancho de banda al dividir cada canal inalámbrico en numerosos subcanales.

Esta tecnología permite que múltiples clientes puedan comunicar con el AP por un mismo canal de forma simultánea. Como es lógico el ancho de canal determinará el número máximo de usuarios conectados a un único canal:

  • 9 clientes sobre un canal de 20 MHz
  • 18 sobre un canal de 40 MHz
  • 37 sobre un canal de 80 MHz

1024 QAM

El nuevo estándar 802.11ax permite mejorar el rendimiento de la capa física hasta en un 25% gracias al uso de modulación 1024QAM frente a la empleada al 256QAM empleado en 802.11ac.

Fuente: https://www.qorvo.com

Vuelve la radio dual (5 GHz y 2,4 GHz)

Las redes 802.11ax recuperan la radio 2,4 GHz que quedo en desuso con el estándar 802.11ac. Esta opción permite ofrecer servicio para dispositivos legacy y para muchos de los nuevos dispositivos (smartwatches por ejemplo) que emplean esa frecuencia para conectarse a la red.

Target Wake Time (TWT)

Esta funcionalidad introducida por el estándar permite programar unos periodos para «despertar» a los clientes de la red para el intercambio de tráfico. Esto permite que los dispositivos conectados puedan permanecer en modo «sleep» durante más tiempo lo cual ayuda a un empleo mucho más eficiente de la batería.

WPA3

Otro aspecto que se ha tenido en cuenta en el desarrollo del estándar ha sido mejorar la seguridad ofrecida. Durante el último año hemos tenido numerosas noticias que dejaban a las claras que WPA2 no era un mecanismo suficientemente seguro para redes WiFi y que era necesario poner el foco en mejorar el mismo.

Pues bien, 802.11ax contempla el empleo de WPA3 como mecanismo de seguridad para proteger las comunicaciones inalámbricas lo que supone una importante mejora sobre el histórico WPA2. En otro artículo entraremos más en detalle sobre WPA3 y sus beneficios, ¿quieres que te avise cuando se publique? 

¿Qué soluciones hay en el mercado?

Como es lógico los principales fabricantes del mercado ya comercializan soluciones 802.11ax y andan a todo prisa con su desarrollo para ganar terreno y ser los primeros en tener un completo portfolio de soluciones. A continuación a modo de referencia se facilitan los modelos disponibles en el catálogo de alguno de ellos:

Conclusión

La evolución de las redes 802.11ax estará (como siempre) directamente vinculada a la inversión que los principales fabricantes de dispositivos de usuario estén dispuestos a realizar en esta actualización. En la actualidad son muy pocos los dispositivos con esta compatibilidad aunque el hecho de que Samsung ya la haya incluido en su nuevo buque insignia, el Galaxy S10, invita a pensar que la industria irá poco a poco adaptando sus chipsets para favorecer la adopción de este estándar.

Otro aspecto que afectará al éxito de las redes 802.11ax es la velocidad con la que se desplieguen las redes 5G. Ningún fabricante enfoca su estrategia en ser una alternativa al 5G si no más bien un complemento para ofrecer una solución integral de conectividad que permita asegurar un nivel de servicio óptimo para cualquier escenario. Pero está por ver si los operadores no acabarán canibalizando el recorrido de las nuevas redes 802.11ax, de momento WiFi6 ha llegado antes e irán ganando terreno hasta que el 5G sea una realidad.

¿Son AWS y Azure plataformas seguras?

La tendencia hacia la nube de los servicios TIC es ya una realidad. Unos apuestan por la nube pública, otros por la privada, los hay que prefieren la híbrida…da igual, la realidad es que el movimiento es a todas luces imparable.

Dentro de esta tendencia cada vez más real hay players que han sido unos impulsores clave para el uso casi generalizado de la nube como base para el despliegue de servicios. Si hubiera que quedarse con dos, estoy casi seguro que a cualquiera de nosotros nos vendrían a la cabeza dos gigantes tecnológicos que en mayor o menor medida han creado un ecosistema idóneo para la migración a la nube. Me refiero a Amazon y Microsoft, a AWS y a Azure. Dos soluciones que se reparten más del 50% del pastel de la nube pública y que se han convertido en la referencia para cualquier competidor.

No tengo la intención hoy de profundizar en las bondades de cada tecnología ni siquiera en conocer las funcionalidades que una puede presentar frente a la otra, si no que quiero poner el foco en una funcionalidad a la que por desgracia damos menor importancia que a las IOPs, GHz y TB de nuestras plataformas. Hoy toca hablar de la seguridad en la nube pública.

¿Quién confía la seguridad de sus servicios a unas ACLs?

La respuesta a esta respuesta creo que es relativamente sencilla, nadie que quiera dormir medianamente tranquilo. Pues bien eso es lo que estamos haciendo si basamos la seguridad de nuestros servicios en AWS o Azure en sus funcionalidades de seguridad por defecto.

Para entender esto es interesante echar un ojo a la descripción en términos de seguridad de las capacidades de ambos servicios.

Amazon Web Services

Echando un ojo a la configuracion de seguridad de AWS podemos encontrarnos con esto:

Amazon VPC ofrece características que puede utilizar para aumentar y controlar la seguridad de su VPC:

  • Grupos de seguridad: actúan como firewall para las instancias asociadas de Amazon EC2, al controlar el tráfico entrante y saliente en el ámbito de la instancia.
  • Listas de control de acceso (ACL) de red: actúan como firewall para las subredes asociadas, al controlar el tráfico entrante y saliente en el ámbito de la subred.
  • Logs de flujo: capture información acerca del tráfico IP entrante y saliente de las interfaces de red de su VPC.

Podéis consultar esta información en detalle en el siguiente enlace:

http://docs.aws.amazon.com/es_es/AmazonVPC/latest/UserGuide/VPC_Security.html

Microsoft Azure

En el caso de Microsoft Azure revisando sus Best Practices en términos de seguridad podemos encontrar lo siguiente:

While Network Security Groups and User Defined Routing can provide a certain measure of network security at the network and transport layers of the OSI model, there are going to be situations where you’ll want or need to enable security at high levels of the stack. In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Azure network security appliances can deliver significantly enhanced levels of security over what is provided by network level controls. Some of the network security capabilities provided by virtual network security appliances include:

  • Firewalling
  • Intrusion detection/Intrusion Prevention
  • Vulnerability management
  • Application control
  • Network-based anomaly detection
  • Web filtering
  • Antivirus
  • Botnet protection

If you require a higher level of network security than you can obtain with network level access controls, then we recommend that you investigate and deploy Azure virtual network security appliances.

Podéis consultar esta información en detalle en el siguiente enlace:

https://docs.microsoft.com/en-us/azure/security/azure-security-network-security-best-practices#use-virtual-network-appliances

En definitiva ambos proveedores nos vienen a decir que te ofrecen soluciones que permiten cubrir las necesidades más básicas que podría presentar un servicio pero prefieren desaparecer de la ecuación cuando la cosa se pone seria…

Seguridad de red virtual, la solución

Ante esta situación parece obvio pensar que algo hay que hacer, ¿no? Pues sí, en efecto algo tenemos que hacer para mejorar los niveles de seguridad que hemos comprobado.

Gracias a Dios ambas plataformas son más que conocedoras de estas limitaciones y por ello ponen muy fácil complementar esas carencias que el diseño de origen presenta. Tanto el marketplace de Amazon como el de Azure están repletos de diversas soluciones de seguridad de red que permitirán complementar ese firewall nativo (y de andar por casa) que nos ofrecen por defecto, con lo que la solución está ahí mismo.

Soluciones de la mayoría de fabricantes del sector (Fortinet, Sophos, Checkpoint, Paloalto, Cisco,…) que como puede apreciarse en las siguientes imágenes han trasladado casi la totalidad de su portfolio a este mercadillo en la nube.

Marketplace de soluciones de seguridad – Microsoft Azure
Marketplace de soluciones de seguridad – Amazon Web Services

En función de las necesidades de cada servicio es posible encontrar soluciones de NGFW, WAF, IPS / IDS, Antivirus, SIEM… que correctamente implementadas nos darán algo más de tranquilidad a la hora de publicar nuestros servicios en la nube.

Conclusiones

El tema de la seguridad en la nube pública en un aspecto al que mucha gente no presta la suficiente atención pero que puede suponer una puerta de entrada muy sencilla para cualquiera que nos tenga en su punto de mira. A nadie hoy en día se le ocurriría basar la estrategia de seguridad de su Datacenter en un firewall de nivel 3/4 y unas ACLs por lo que esa misma filosofía deberíamos trasladarla a otros entornos que ahora demandan de esa misma estrategia de seguridad.

Amazon y Microsoft dejan muy claro en sus políticas de seguridad que no es ésta su principal prioridad y de forma inteligente delegan esa función a los expertos en la materia que puedan aportar los niveles de servicio y cobertura que los servicios de la nube pudieran requerir.

Quizás Microsoft y Amazon hayan puesto tan sencillo el despliegue de servicios que hayan «acomodado» a sus clientes a un entorno donde la provisión de servicios es instantánea. Esa inmediatez puede que haya provocado que en ocasiones nos olvidemos de ese necesario compañero de viaje que es la seguridad.

Diferencias entre UTM y NGFW, ¿las hay?

Si no me equivoco seréis varios los que como yo habréis tenido problemas para responder a la pregunta que da enunciado a este artículo. Si es así comienzo dandoos una buena noticia, se trata de un debate que no sólo os genera dudas a vosotros si no a los propios desarrolladores de ese tipo de soluciones.

Se trata de dos conceptos cuya diferencia puede que radique únicamente en la semántica, pero considero que es interesante que podamos analizar estas diferencias y dejar claro qué ofrece cada una de las dos soluciones.

Como muchos ya sabréis UTM es el acrónimo de Unified Threat Management o lo que es lo mismo Gestión Centralizada de Amenazas (GCA mola menos que UTM). El término nació en el año 2004 y fue acuñado por la consultora IDC pretendiendo englobar una serie de funcionalidades de seguridad que permitían en un único equipo cubrir la mayoría de necesidades que una red podía presentar. Firewall, VPN, IPS, Antivirus, Web Filtering, Control de Aplicaciones, Email Security y DLP (Data Leak Prevention) en un único equipo. ¡Qué maravilla!

Esas placas base dedicadas a realizar tareas básicas de firewall estático y decidir si un paquete pasaba o no pasaba de repente tenían que reinventarse para llevar a cabo todas esta nuevas funcionalidades. Como es lógico no en todos los escenarios esa convergencia era posible. La plataforma hardware necesaria para realizar todas estas tareas en un entorno de alta exigencia supondría un sobrecoste enorme y que rara vez el cliente estaría dispuesto a pagar.

Fue entonces cuando dos titanes del mundo de la ciberseguridad crearon un «nuevo» paradigma en el ámbito de soluciones de seguridad de red, los Next Generation Firewall. En 2011 Gartner y Palo Alto Networks dieron paso a este término para definir firewalls con capacidad de DPI (Deep Packet Inspection) que les permitía añadir funcionalidades de IPS y control de tráfico en capa 7 a los firewall tradicionales. Muchos os preguntaréis, ¿que tiene eso de novedoso frente a las soluciones UTM que conocemos hoy en día? La respuesta es sencilla, a día de hoy nada.

Next Generation Firewall es a día de hoy un término más fruto del marketing que de una funcionalidad diferencial sobre los UTM que conocíamos hasta la fecha. Puede que en el año de su nacimiento pudiera tener algo de sentido esa diferenciación por su capacidad para gestionar tráfico en capa 7 pero como muchos ya sabréis esa característica no puede considerarse un elemento diferencial en la actualidad.

El objetivo inicial de los NGFW era por un lado añadir una visibilidad sin precedentes sobre el tráfico de red y por otro ofrecer un rendimiento superior al que un UTM podía ofrecer de cara a atacar un segmento de mercado diferente.

En relación con la visibilidad del tráfico gracias a los avances que los nuevos chipsets y desarrollos software han sufrido no existe en la actualidad ninguna solución UTM que no facilite la inspección del tráfico en capa 7 permitiendo identificar las aplicaciones generadoras de dicho tráfico, con lo que los términos se equiparan en este aspecto.

Por otro la evolución natural de la capacidad de procesamiento y los métodos de procesamiento paralelo han permitido optimizar notablemente el rendimiento de las soluciones UTM dejando el argumento del rendimiento muy tocado.

Con esto ya empezamos a hacernos a la idea de que empieza a costar encontrar diferencias, ¿verdad?

Para seguir avanzando en el análisis si uno da un repaso por el portfolio de soluciones de los principales fabricantes del sector de la ciberseguridad se dará cuenta de que todos y cada uno de ellos independientemente de como bauticen a sus soluciones ofrecen plataformas de seguridad de red en las que engloban todas las funcionalidades de seguridad requeridas en un entorno empresarial.

Entonces, ¿dónde está la diferencia? Para identificarla os invito a que analicemos la estrategia de producto de los principales líderes del sector:

  • Fortinet emplea el término Next-Generation Firewall para sus soluciones enterprise y UTM para el segmento pyme.
  • Checkpoint ha borrado cualquier referencia al término UTM de su catálogo de soluciones. Sus soluciones se definen como Next Generation Firewall independientemente del sector de mercado al que apliquen.
  • Palo Alto como abanderado principal de los NGFW sólo hace referencia al término UTM para comparar sus soluciones con las «antiguas» soluciones unificadas de amenazas.
  • Forcepoint (antiguo Stonesoft) también ha adoptado el término Next Generation Firewall para sus soluciones de seguridad de red dejando a un lado cualquier referencia a UTM.
  • Sonicwall ha llevado a cabo una estrategia similar a la de Fortinet, dejando el término UTM para sus equipos para pyme y Next Generation Firewall para el segmento enterprise.
  • Watchguard también distingue dentro de su portfolio las soluciones para pyme (UTM) y gran empresa (Next Generation Firewall).
  • Sophos ofrece en su portfolio soluciones tanto de UTM como de NGFW, pero se trata de un caso especial en el que la distinción de las mismas responde a la adquisición de Astaro hace unos años. Con dicha adquisición Sophos decidió diferenciar sus soluciones UTM existentes (SG UTM) de las nuevas soluciones integradas tras la adquisición (XG Firewall).

Como se puede apreciar no existe ningún fabricante que se dedique únicamente a la comercialización de soluciones UTM, todos en mayor o menor medida han adoptado el término Next Generation Firewall.

Aquellos que ofrecen en su portfolio ambas soluciones sí que clasifican de forma clara las soluciones UTM como opción para pyme o sedes remotas y los NGFW como soluciones para entornos más exigentes, con lo que sí debe existir alguna diferencia…¿o no?

Tras analizar el planteamiento de los diferentes líderes del mercado diría que todos han decidido, por cuenta propia o por la propia presión del mercado, dejar el término NGFW como un concepto asociado a un mayor rendimiento o posicionamiento en cliente más exigentes y UTM como una opción más asociada a entornos pequeños o poco exigentes.

Pero no nos engañemos las funcionalidades de ambas plataformas son idénticas. Es más en muchas ocasiones los mismos equipos que se identificaban como soluciones UTM se han rebautizado como Next Generation Firewall, con lo que queda a las claras que sólo se trata de un cambio en la etiqueta o envoltorio de la solución. Vamos lo que viene llamándose marketing de producto

GDPR, la normativa europea que ¿cambiará? nuestra forma de trabajar

¿Qué es la GDPR?

La GDPR (General Data Protection Regulation) es una normativa europea que pretende regular el tratamiento de la información en toda la Unión Europea con el fin de otorgar a los usuarios el control sobre su propia información. Para ello se han definido una serie de obligaciones que deben ser cubiertas por las empresas antes del 25 de Mayo de 2018.

Si algún curioso desea consultar el texto completo de la normativa lo puede encontrar aquí.

Como supongo que a la mayoría no os apetecerá demasiado leer 88 páginas de minúscula letra y constantes términos legales voy a intentar resumiros los aspectos más interesante sobre esta normativa que tanto está dando que hablar durante los últimos meses.

¿A quién aplica?

La GDPR aplica sobre cualquier empresa de la Unión Europea o que aún no perteneciendo a la misma gestione datos de personas residentes en Europa. En definitiva cualquier empresa que procese datos de ciudadanos de la Unión Europea está sujeta al cumplimiento de esta normativa.

¿Cómo afecta a los usuarios?

Gracias a esta normativa los usuarios dispondrán de varios derechos relacionados con la gestión de la información que han facilitado a las empresas:

  • Consentimiento informado: El derecho a ser informado claramente por qué los datos son necesarios y cómo se utilizarán. El consentimiento debe ser concedido explícitamente y puede ser retirado en cualquier momento.
  • Acceso: El derecho de acceder, de manera gratuita, a todos los datos recopilados, y de obtener la confirmación de cómo se está procesando.
  • Corrección: El derecho a corregir los datos si son inexactos
  • Borrado y el derecho a ser olvidado (RTBF): El derecho a solicitar la eliminación de los datos personales
  • Portabilidad de datos: El derecho a recuperar y reutilizar datos personales, para propósitos propios, a través de diferentes servicios.

¿Cómo afectará a las empresas?

Desde la perspectiva de las empresas son varias las obligaciones definidas en la normativa. A modo de resumen las siguientes son las más importantes:

  • Seudonimización y/o cifrado de la información: la información almacenada debe ser cifrada o seudonimizada, es decir aplicar los mecanismos necesarios para evitar que extrayendo cierta información podamos vincular la misma con una determinada persona.
  • Procesos de gobierno y cumplimiento: las empresas estarán obligadas a la definición y cumplimiento de diferentes procesos que permitan asegurar la adecuada gestión de la información. Para ello será necesaria la realización de Assessments, la definición de protocolos de actuación, políticas de ciberseguridad,…
  • Notificación de incidentes: un aspecto fundamental dentro de la normativa es el hecho de que cualquier empresa que haya sufrido una brecha de seguridad estará obligada a notificar la misma a las autoridades competentes en un plazo máximo de 72 horas desde la detección de la brecha. Y no sólo eso si no que en el caso de que los datos sustraídos sean considerados de alto riesgo (datos personales que revelen el origen étnico o racial, opiniones políticas, convicciones religiosas o filosóficas, o la afiliación sindical, y el tratamiento de datos genéticos, datos biométricos dirigidos a identificar de manera unívoca a una persona física, datos relativos a la salud o datos relativos a la vida sexual o las orientación sexuales de una persona física) la empresa estará obligada a notificar al propio usuario dicha fuga de información. En este aspecto el cifrado de la información juega un papel fundamental dado que en el caso de disponer de algún mecanismo de este tipo las organizaciones están exentas de la necesidad de notificar este tipo de situaciones a los individuos particulares.
  • Designación del DPO: otro elemento clave dentro de la normativa es la aparición de un nuevo rol en el ámbito de la protección de datos, el Data Protection Officer o DPO. Este Delegado de Protección de Datos como se ha decidido traducir al castellano es el responsable final de la adecuada gestión de la información dentro de la empresa. La designación de un DPO no es una obligación de la normativa y su necesidad queda bajo mi punto de vista bastante en el aire ya que sólo queda claro que es necesario para situaciones donde la gestión de la información es llevada a cabo por una Administración Pública. Para el resto de casos os recomiendo que consultéis el siguiente documento que me parece muy gráfico para determinar si una empresa requiere de un DPO para estar alineado con la normativa (Árbol de decisión DPO – GDPR)

¿Qué sanciones puede conllevar?

La normativa contempla sanciones que pueden llegar hasta un 4% del volumen de negocio de la empresa o hasta 20 Millones de euros, la mayor de las dos.

¿Cómo nos puede ayudar la tecnología?

Como es lógico ni una sola frase del texto hace referencia a términos tecnológicos, por lo que creo que es interesante conocer en qué medida la tecnología puede ayudarnos a adaptarnos a la GDPR. Como es lógico cualquier solución colabora en mayor o menor medida a estar en línea con las indicaciones de la normativa pero sin duda alguna de ellas tiene una aplicación más directa sobre las necesidades definidas.

Teniendo en cuenta que el objetivo principal de la Normativa es regular la gestión de la información es importante analizar qué mecanismos de seguridad podemos aplicar para dotar de seguridad a dicha gestión.

  • Cifrado: o mucho me equivoco o de aquí a unos meses las soluciones de cifrado de la información van a experimentar un crecimiento de negocio más que notable. Este tipo de soluciones son aplicables de diversas maneras, desde el cifrado de unidades de disco completas a la protección de ficheros o registros de bases de datos. En cada caso habrá que decidir cuál aplica de mejor manera a las necesidades de cada empresa.
  • Protección frente a intrusiones (IPS): una de las principales barreras a tener en cuenta para evitar la fuga de información es controlar los diferentes intentos de acceso a nuestros sistemas aprovechando esos agujeros de seguridad que en ocasiones dejan abiertos las aplicaciones que usamos en nuestro día a día. Gracias a esto Wannacry fue portada en todo el mundo durante varios días.
  • Doble factor de autenticación (2FA): otro mecanismo para evitar el acceso no deseado a información es la implantación de mecanismos de doble factor de autenticación que permiten asegurar la legitimidad del usuario que está accediendo a la información a través del envío de un SMS, una llamada, un código PIN o un token.
  • Copias de seguridad: un aspecto que queda claramente recogido en la normativa es la necesidad de ser capaces de recuperar la información que haya podido ser borrada o manipulada. Para ello es completamente necesario disponer de alguna solución de backup que minimice el impacto de este tipo de situaciones.
  • Prevención de fuga de información (DLP): al margen de las brechas de seguridad que la mayoría podría tener en su cabeza (un friqui accediendo desde un cuarto oscuro a nuestros servidores) los propios usuarios de la empresa son un riesgo importantísimo para la gestión de la información. Si no se ponen los mecanismos necesarios los usuarios podrían compartir información comprometida y poner en riesgo el adecuado cumplimiento de la normativa.

Mi opinión

Tras haber dedicado varios días a leer, releer y sintetizar la normativa (algún párrafo me he saltado ;D) parece claro que la Unión Europea se ha dado cuenta de que la sociedad estaba cambiando mucho más rápido que las regulaciones en términos de protección de datos. Con la GDPR han quedado definidas una serie de directrices que sobre el papel parecen regular con cierto sentido el tratamiento de la información, pero ahora quedará por ver cómo reaccionan las empresas ante estos cambios.

Hay un enfoque dentro de la normativa que me parece muy interesante y es el hecho de que no sólo se amenaza a las empresas con importantes sanciones económicas si no con poner en riesgo su reputación. El hecho de que las empresas estén obligadas a notificar a las autoridades situaciones que hayan podido poner en riesgo sus datos es algo que me atrevería a asegurar tiene mucho mayor impacto que 20M € por ejemplo para una entidad bancaria. Si hay algo a lo que gigantes empresariales tienen pánico hoy en día es a aparecer en las portadas junto a nombres como Wannacry o Petya.

Bajo mi perspectiva en España seremos totalmente reactivos y las empresas esperarán en su gran mayoría a comprobar cómo de rigurosas van a ser las autoridades de control para ver si toman las medidas necesarias o no. En el momento que se lleven a cabo las primeras sanciones muchas empresas comenzarán a verse amenazadas y aplicarán los mecanismos necesarios con menor planificación y previsión de lo que seguramente fuera lo deseado. Veremos si el tiempo me da la razón o llegado el día 25 de Mayo de 2018 tengo que editar este post y cambiar de opinión.

El WiFi se va a la nube

Como todos los que seguís Telequismo bien sabréis si existe en la actualidad una tendencia que no admite discusión ésa es la adopción de la cloud como planteamiento para muchas de las soluciones TIC requeridas por las empresas.

Pues bien como ha ocurrido en tantas otras áreas las soluciones WiFi parecen haber decidido aprovecharse de todo lo que un entorno cloud les puede aportar para unirlo a su portfolio y generar nuevos planteamientos para sus soluciones inalámbricas.

Soluciones WiFi cloud, ¿qué ofrece el mercado?

Meraki y Aerohive pueden considerarse los pioneros de este planteamiento que hace unos años era considerado como disruptivo pero para nada mayoritario.

Si bien estos dos fabricantes fueron los principales promotores de llevar el WiFi a la nube, durante los últimos años se está observando una clara tendencia del resto de competidores hacia ese mismo planteamiento.

Como comentábamos Meraki puede considerarse uno de los pioneros en este tipo de soluciones dado que desde el principio la administración desde la nube fue su planteamiento único para el desarrollo de sus soluciones. Muchos llamaron locos por aquel entonces a estos innovadores que tenían muy clara su apuesta: gestión desde la nube y productos con una estética que no desentonaría en ninguna Apple Store. No estarían tan locos cuando Cisco los compró hace 5 años y el resto de competidores parecen copiar sus pasos…

Aerohive con un planteamiento muy similar al de Meraki también basó gran parte de su estrategia en despliegues basados en la nube sin embargo ha realizado un planteamiento menos extremista en este aspecto permitiendo plantear entornos donde la plataforma de gestión no se aloje en la nube.

Aruba ha decidido realizar una importante apuesta por su solución Aruba Central desde la que ofrece servicios de gestión WiFi basados en la nube con un enfoque muy centrado en la sencillez y la flexibilidad.

Pocos meses antes de que Extreme adquiriera Zebra Wireless este último había desarrollado su propia plataforma de servicios WiFi desde la nube conocida como Azara Cloud. La idea de esta solución es llevar la flexibilidad del software WiNG un paso más allá gracias a las condiciones que la nube ofrece para este tipo de soluciones.

Otro importante player dentro del mercado WiFi, Ruckus, también ha apostado por su solución propia para redes WiFi gestionadas desde la nube con su solución Ruckus Cloud WiFi.

Cambium Networks ha tenido claro desde el principio que la base de sus soluciones WiFi iba a ser la plataforma de gestión cloud cnMaestro (que por cierto comentaremos en breve en Telequismo).

Incluso Ubiquiti ha tenido que rendirse a la evidencia y desarrollar su plataforma de gestión cloud desde la que administrar su solución Unifi.

Todo esto deja bien a las claras que las soluciones WiFi Cloud no son ya algo disruptivo o diferenciador sino una necesidad que el mercado demanda a marchas forzadas y que obliga a los fabricantes a reinventar muchos de sus planteamientos pasados.

¿Cómo funciona una red WiFi cloud?

Uno de los aspectos fundamentales a tener en cuenta a la hora de analizar las soluciones WiFi cloud es conocer cómo funcionan las mismas.

El 99% de las personas con las que comienzas a tratar acerca de estas soluciones hacen las dos mismas preguntas, ¿todo mi tráfico WiFi tiene que ir a la nube? ¿si me quedo sin conexión a la nube me quedo sin WiFi?

La respuesta a ambas preguntas es la misma, NO.

Para responder a las mismas voy a ir a las bases de las redes WiFi. La arquitectura de una red WLAN se divide principalmente en tres capas:

[su_list icon=»icon: square-o»]

  • Management y monitorización: es la encargada de gestionar la configuración de los dispositivos y recibir las estadísticas y eventos que puedan ocurrir en la red.
  • Control: se ocupa de llevar a cabo la gestión de los diferentes procesos de gestión de la radiofrecuencia. Para que nos entendamos es la encargada de administrar el funcionamiento del roaming, la seguridad, la calidad de servicio, ACLs,…
  • Datos: esta última capa es la encargada de gestionar la transmisión de los paquetes entre los diferentes elementos de red.

[/su_list]

Únicamente el tráfico de la capa de management y monitorización es el que llega a la nube para facilitar la centralización y administración de las tareas antes comentadas. Esto quiere decir que el tráfico de datos no viaja hasta la nube y que por lo tanto en el caso de que pueda darse una caída en la red que no nos permitiera acceder a Internet sólo perderíamos información de gestión, reporting y estadística durante el periodo que los equipos hayan estado indisponibles en ese acceso.

¿Qué aporta una solución WiFi Cloud?

Lo que la nube puede aportar a una red WiFi no difiere mucho de lo que puede aportar en otro tipo de soluciones, pero es interesante analizar en detalle su casuística particular para conocer los principales beneficios que puede ofrecer.

Sencillez de puesta en marcha

Uno de los principales beneficios que la nube ofrece es la posibilidad de que cualquier equipo requiera únicamente de una dirección IP y un acceso a Internet para poder ofrecer un servicio WiFi de garantías. Los APs vienen preconfigurados para acceder a su plataforma de gestión y que desde la misma los administradores puedan provisionar los equipos en un par de sencillos pasos.

Esto evita tener que realizar complejas configuraciones para levantar túneles entre controladora y AP o la necesidad de conectarte manualmente a cada equipo para informarle de la dirección IP de su controladora.

Gestión centralizada

Toda la red va a ser gestionada desde un único punto de gestión lo que permite facilitar el día a día de los administradores de red evitando tener que acceder a diferentes consolas de administración en función de la red a administrar.

Esta funcionalidad se hace especialmente importante para entornos multisede en los que confluyan diferentes tipologías de red.

Escalabilidad

Uno de los principales hándicaps de las redes de arquitectura tradicional es la escalabilidad que las mismas ofrecían. Llegado a un cierto punto se hacía necesario realizar una inversión (normalmente importante) en unos sistemas centrales que pudieran gestionar el crecimiento requerido.

En este caso las plataformas cloud no presentan limitaciones de crecimiento evitando encontrarnos antes ese tipo de situaciones que reflejábamos antes.

Firmware siempre al día

Uno de los caballos de batalla para cualquier administrador de red es el tener al día su red en términos de versiones de firmware y/o parches necesarios. Con las soluciones basadas en la nube estas tareas se realizan de manera automática y transparente para el usuario permitiendo asegurar que siempre se va a disponer de una red totalmente al día.

Además esta filosofía obliga a los fabricantes a tener muy testadas todas las funcionalidades a incluir en la plataforma ya que se trata de una responsabilidad que deja de recaer en el cliente y que por lo tanto se convierte en crítica dentro de la solución.

Costes de infraestructura

He dejado para el final el aspecto económico de este tipo de soluciones. Y lo he hecho a propósito ya que no se trata de una cuestión de evaluación de costes, si no de modelos de planteamiento de proyectos.

Las soluciones WiFi basadas en plataformas cloud ofrecen a los clientes un acercamiento mucho más cercano a modelos OPEX (costes operacionales) en vez de modelos CAPEX (costes de inversión) permitiendo por un lado un mayor control de la solución y su crecimiento y por otro una mejor entrada en los clientes.

Esto es debido a que el cliente no va a requerir de inversiones en hardware o software más allá que los propios APs y su licencia anual con lo que es muy sencillo predecir los costes de crecimiento que puede conllevar la solución.

Espero haberos dado algo de luz en este nuevo escenario que se abre en las soluciones WiFi profesionales y que desde luego ofrece una serie de funcionalidades y ventajas que debemos aprovechar al máximo. Y vosotros, ¿qué opináis de estas soluciones WiFi Cloud? ¿Os parecen un cambio importante o de momento lo veis como una solución para muy pocos escenarios?

 

SD-WAN, «reinventando» las redes WAN gracias al SDN

Tras unas semanas con más actividad en otros medios (gracias a Economía3 y El Economista por la oportunidad ofrecida) que en mi propio blog hoy retomamos las buenas costumbres hablando sobre unos de esos temas de moda en el ámbito TIC, las redes SD-WAN.

Son ya muchos los años que llevamos escuchando acerca de SDN. Es más en Telequismo ya comenzamos a hablar de ello hace más de 3 años.

Pues bien parece que como toda tecnología disruptiva después de unos años de evolución, testeos, PoCs, clientes valientes,…la SDN empieza de una u otra manera a estar presente como alternativa real para los clientes. Queda bastante lejos aún de estar generalizada, pero por lo menos se está consiguiendo que el cliente no ponga esa cara de «a mí no me vas a usar de cobaya».

De entre todos los acercamientos posibles para el SDN hay uno que está siendo el principal dinamizador de este tipo de soluciones, y por el que parecen apostar varios líderes del mercado, el SD-WAN (Software Defined WAN).

Antes de nada veamos brevemente qué es una SD-WAN. Las redes SD-WAN son soluciones que permiten optimizar la gestión y administración de redes WAN distribuidas. Para ello se emplean en las sedes remotas equipos gateway (hardware o software) que interconectan con un nodo central que orquesta el funcionamiento global de la red y desde donde se define el comportamiento y políticas que queremos en cada una de nuestras sedes.

Como es lógico cada fabricante realiza un enfoque diferente para este tipo de soluciones pero todas ellas tienen en común una serie de características que revisamos a continuación.

Características de una red SD-WAN

Gestión centralizada

Disponer de un punto de gestión centralizada para nuestra red es un «must» para una red SD WAN. La facilidad que aportan este tipo de soluciones para los administradores de red es notable frente a arquitecturas distribuidas tradicionales en las que era necesario llevar a cabo la gestión individualizada de cada uno de los sites con la consiguiente complejidad que ello conlleva.

ZTP (Zero Touch Provisioning)

Uno de los principales dolores de cabeza para un administrador de una red multisite es la provisión de nuevas sedes. Con un acercamiento SD-WAN cada nuevo site puede ser provisionado de forma totalmente automática heredando las políticas y configuraciones que se definan de forma centralizada. Para ello cada fabricante emplea técnicas diferentes pero suele ser común disponer de un repositorio en la nube que haga de interconexión entre las sedes y los equipos centrales. Es el caso del servicio Activate de Aruba o Fortideploy de Fortinet.

Balanceo de líneas

En este tipo de redes es bastante común disponer de varios enlaces de uplink en cada una de las sedes lo que permite a través de políticas de enrutamiento y balanceo llevar a cabo una importante mejor en la disponibilidad y calidad de los servicios.

Gateways multiservicio

Es habitual en las redes SD-WAN concentrar en el gateway de cada sede varios servicios tales como VPN, WiFi, NGFW,…permitiendo con un único equipo cubrir varias de las necesidades básicas que podrían darse en un entorno de este tipo.

Disponibilidad de APIs

Dadas las necesidades de integración con soluciones de terceros es común que los equipos que forman parte de una red SD-WAN dispongan de completas APIs que ayuden a automatizar y optimizar tareas de gestión y monitorización.

Principales ventajas de una red SD-WAN

Con todas estas características las redes SD-WAN aportan numerosos beneficios para los citados entornos distribuidos, entre las principales encontramos los siguientes:

Ahorro de costes

Gracias a la posibilidad de aplicar inteligencia a los enlaces WAN se pueden combinar enlaces MPLS con enlaces más económicos como FTTH o 4G, o incluso sustituir los primeros mejorando notablemente los costes asociados a cada sede. Esta característica permite ofrecer a las redes SD-WAN un ROI realmente atractivo para los clientes y lo convierte sin duda en su principal argumento para convencer de su adopción.

Mejora operativa

Gracias a la gestión centralizada y al Zero Touch Provisioning se simplifican notablemente las labores del día a día de los administradores de red minimizando las visitas on-site y permitiendo mejorar el control y administración de los sistemas de red.

Seguridad mejorada

Gracias al empleo de los túneles que conectan los gateways con el core de la red se securizan todas las comunicaciones intersede y se homogeinizan los estándares de seguridad aplicables a la red.

Visibilidad

La disponibilidad de un gateway con capacidades de control de tráfico en cada sede facilita a los administradores de red un alto nivel de visibilidad de todo lo que está ocurriendo en sus redes, permitiendo adaptar las políticas y planes de acción a los diferentes comportamientos detectados.

Además el hecho de centralizar dicha información en un único punto de gestión hace aún más fácil la consolidación de la información y permite tener una visión global de los servicios y necesidades que la empresa puede tener a nivel global o particular.

Disponibilidad

A través de los mecanismos de balanceo disponibles en los gateways se puede mejorar la disponibilidad de los enlaces de uplink y por consiguiente de los servicios requeridos por cada sede.

Conclusiones

Si habéis llegado hasta aquí (espero que sí) seguramente  en algún momento habréis pensado algo similar a esto:

¿Pero esto qué tiene de revolucionario?

¿Qué me aporta frente a mi red VPN corporativa?

Pues sí, estoy de acuerdo con vosotros…aunque con matices. Tenéis razón en pensar eso, muchas de las funcionalidades de las que hacen gala las redes SD-WAN no difieren en exceso de las que podríamos tener con una red bien diseñada con routers VPN y una gestión centralizada. Ya tendríamos seguridad, gestión centralizada y balanceo de líneas, ¿entonces que tiene esto de diferente?

Bajo mi punto de vista la principal diferencia es el planteamiento de la red como un elemento global, no como sedes independientes con conexiones individuales a un elemento central.

Al margen de ello el enfoque de Zero Touch Provisioning aporta un plus más que notable frente a los mecanismos tradicionales de provisión y puede sin duda ser un factor diferencial en redes medianas o grandes.

Pero no os engaño, no puedo dejar de pensar que el SD-WAN tiene un gran componente de marketing que ha aunado muchas características que ya estaban para diseñar una solución global que ataca de forma efectiva las principales necesidades de los clientes con estructura multisede.

Ciberseguridad: un desafío inaplazable para las empresas

Hoy me gustaría compartir con vosotros un artículo que he escrito para Economía 3 sobre la ciberseguridad y la concienciación que empieza a ser necesaria en las empresas. ¡Espero que os guste!

La imparable revolución digital que está aconteciendo en nuestro tejido empresarial y en nuestra sociedad trae aparejados infinitos retos a los que responder. Sin embargo, hay uno de ellos que es inaplazable para cualquier organización pública o privada: el cibercrimen. Según el análisis realizado por Techno Security para el Centro Nacional de Inteligencia (CNI), en España se registraron más de 25.000 ciberataques, casi unos 70 al día. En una sociedad hiperconectada, con más de 50.000 millones de dispositivos conectados en 2020 y la irrupción del Internet de las Cosas (IoT por sus siglas en inglés), los puntos susceptibles de entrada para los ciberdelincuentes son ilimitados.

Los hackers han cambiado radicalmente en los últimos años. Algunos de ellos se han profesionalizado hasta tal punto que han llegado a crear un modelo de negocio totalmente sostenible. Hoy es posible contratar sus servicios pagando un módico precio para disponer inmediatamente de grandes bases de datos o atacar a la competencia. Eso supone que cualquiera de nosotros es un hacker en potencia y que nadie está al margen de esta amenaza. Una amenaza que ha costado a las empresas de todo el mundo más de 380 billones de dólares, cinco veces más de lo que toda la industria de la ciberseguridad ha sido capaz de generar en el mismo periodo.

Las consecuencias de esos ataques para las empresas tienen una triple vertiente: operacional, económica y reputacional. El ciberataque estrella en los últimos meses es el ransomware, un virus que bloquea la actividad empresarial hasta que no se paga un rescate (ransom) al hacker. El pago de esta extorsión se realiza a través de Bitcoins lo que hace que sea indetectable. El crimen perfecto. Adicionalmente, el impacto del cibercrimen en la cuenta de resultados de una compañía alcanza en algunos casos la astronómica cifra de 3,79 millones de dólares, la mayor hasta la fecha recogida por el informe ESG Threat Intelligence Research Project de 2015. Por último, y no menos importante, el coste reputacional que supone para una empresa ver comprometido su funcionamiento y sus datos es enorme.

Si los datos -cifras de negocio, información de clientes, correos electrónicos, números de cuenta y un amplio etcétera- son el petróleo del siglo XXI es lógico pensar que protegerlos esté en la agenda de todos los CEO y presidentes de cualquier compañía, sea cual sea su tamaño.

La respuesta inaplazable a este desafío no es otra que establecer una estrategia 360 grados que incluya un plan de contingencia y continuidad de negocio, implantar soluciones tecnológicas avanzadas de ciberinteligencia capaces de defender a los sistemas frente a los ataques y de aprender y evolucionar o dotar a las aplicaciones de negocio de una seguridad IT actualizada y eficaz. Frente al cibercrimen as a service, la mejor réplica es la ciberinteligencia as a service, una respuesta que combine la tecnología y el software más avanzados y una ingeniería especializada capaz de ofrecer soluciones a medida del cliente.

Bee Ingeniería cuenta con un amplio equipo de ingenieros y la confianza de los fabricantes más importantes del sector en materia de ciberseguridad para ayudar a las empresas a enfrentarse con garantías ante este desafío inaplazable. Es vital, en definitiva, disponer de las herramientas tecnológicas más avanzadas del mercado y de un equipo de ingenieros capacitado para detectar de forma proactiva comportamientos o acciones susceptibles de convertirse en una amenaza y ayudar a definir las políticas de ciberseguridad más adecuadas para cada negocio.

Podéis consultar el artículo en la siguiente URL: http://www.economia3.com/2017/04/15/101965-ciberseguridad-y-ciberinteligencia-un-desafio-inaplazable-para-las-empresas/