La seguridad del centro de datos: la gran brecha

A medida que los data centers se vuelven cada vez más complejos y dinámicos, las empresas se enfrentan a una vorágine de riesgos de seguridad. Ya no podemos confiar en el concepto de que un límite mágico protegerá nuestros centros de datos.

‍

Hace unos nueve años, trabajaba como ingeniero distinguido para Juniper, uno de los líderes seguridad de red empresas en el mundo. Cuanto más tiempo trabajaba allí, más se desmoronaban lentamente los perímetros de red de mis clientes. La infraestructura como servicio y las alternativas de nube hicieron que los servicios tradicionales de seguridad de punto de choque imposibles de implementar. Pero no fue hasta que me fui que pude abordar plenamente la división entre ese viejo mundo y el nuevo mundo, donde el cambio es constante.

El sistema de seguridad adaptable de Illumio está liderando el camino desde el modelo de seguridad estática del pasado hasta el centro de datos cada vez más dinámico de hoy.

En este nuevo mundo, la virtualización de centros de datos acelera el giro de los servicios de computación, almacenamiento de información y redes. La TI de autoservicio y la cultura DevOps de entrega continua aumentan aún más el ritmo. Sin embargo, durante todos estos avances, la seguridad se quedó atrás, lo que a menudo retrasó el progreso. La gente de SecOps ahora se ve obligada a tomar la posición poco envidiable de tener que decir no a las arquitecturas en la nube mientras todos los demás dicen que sí.

Illumio nació de este caos.

No se trata de mejorar la red o la infraestructura (o virtual); estamos fundamentalmente desacoplados de esas limitaciones. El sistema de seguridad adaptable de Illumio está liderando el camino desde el modelo de seguridad estática del pasado hasta el centro de datos cada vez más dinámico de hoy. Aquí es donde empieza a ponerse emocionante.

Tres verdades y la gran división

1. Vivimos en un mundo de constante cambio. Debemos abrazar esto, con todos sus retos y beneficios.

Los data centers del pasado estaban muy ligados a su entorno físico. Las aplicaciones se ejecutaron directamente en metal desnudo, con almacenamiento de información con conexión directa y cables físicos que conectaban estas máquinas. Ese mundo era estático.

Hoy en día, nuestros data centers tienen que mantenerse al día con innumerables cambios. Con la entrega continua de aplicaciones, las nuevas versiones se implementan más rápidamente que nunca. La virtualización de servidores permite que las cargas de trabajo se muevan con mayor facilidad y frecuencia, y escalen dinámicamente. La infraestructura como servicio permite a casi cualquier persona aprovisionar e implementar servidores y aplicaciones.

Al contar con un sistema de seguridad que se adapta a nuestras elecciones, somos más productivos, podemos poner las cosas en cualquier lugar, y nos liberamos del control centralizado y de las organizaciones rígidas.

Tradicionalmente dependemos de la infraestructura para la confiabilidad, pero a medida que construimos data centers más grandes y complejos, no se pueden evitar fallas en la infraestructura. Por esta razón, Google adoptó hace mucho tiempo la filosofía de que se deben desarrollar nuevas arquitecturas de software para ejecutar aplicaciones confiables encima de una infraestructura fundamentalmente poco confiable.

Si bien el centro de datos ha sufrido todos estos cambios, la seguridad se ha encadenado a modelos estáticos y de punto de choque. Y nos retiene. No nos estamos dando cuenta del beneficio completo de nuestras inversiones en tecnología en el centro de datos dinámico.

Sabíamos que la arquitectura de seguridad de Illumio necesitaba adoptar y permitir el cambio.

Al contar con un sistema de seguridad que se adapta a nuestras elecciones, somos más productivos, podemos poner las cosas en cualquier lugar, y nos liberamos del control centralizado y de las organizaciones rígidas. Podemos escalar más fácilmente.

Para lograrlo, sabíamos que nuestro sistema debía ser desacoplado de la red y la infraestructura. Estar desacoplado nos permite ofrecer una solución de seguridad que funciona de manera consistente todo el tiempo, en todos los tipos de cambios en el entorno del data center.

También sabíamos que el sistema debía estar completamente distribuído. Los sistemas tradicionales de seguridad de red suelen dirigir el tráfico hacia un punto de choque centralizado que tiene poco o ningún contexto. Debido a los requerimientos a gran escala, a menudo sólo una parte de sus cargas de trabajo se puede procesar y asegurar. Este mecanismo de fuerza bruta también conduce a puntos ciegos, falsos positivos y una mayor superficie de ataque.

Para hacer frente a esas limitaciones y ofrecer una cobertura suficiente con suficiente flexibilidad, colocamos la seguridad en lugares que tradicionalmente eran difíciles. Ahora podemos ver en lugares que antes estaban ocultos. Esto es muy parecido a tener una matriz de guardaespaldas en cada habitación de un hotel, en lugar de solo la seguridad de la puerta de entrada: es un colectivo que trabaja en conjunto bajo un conjunto de directivas.

2. La automatización no es suficiente. Los sistemas inteligentes nos impulsan hacia adelante.

La automatización sólo enmascara la complejidad. TI tiene muchos sistemas que interactúan y la mayoría de nosotros gastamos mucha energía tratando de que todo funcione. Agregamos capas de automatización y abstracción en los intentos de ocultar o administrar problemas. Estas capas se apilan una encima de la otra y crean una base débil que no puede soportar el crecimiento.

Simplemente virtualizar el viejo modelo en el nuevo mundo no iba a ser suficiente. El camino a seguir tenía que ser totalmente diferente. Tenía que ser lo suficientemente inteligente como para adaptarse a este mundo completamente diferente, donde la velocidad y la capacidad de respuesta son las nuevas apuestas de mesa.

Para que un sistema inteligente tome medidas efectivas, necesita buenos datos en su base. Necesita una rica comprensión del mundo en el que opera. Necesita contexto.

Se requieren muchas formas de contexto, y deben combinarse para pintar un cuadro completo. Nuestro sistema reúne contexto sobre la carga de trabajo en sí, las relaciones y la comunicación entre las cargas de trabajo y el entorno en el que opera la carga de trabajo.

A continuación, sabíamos que la solución requería un sistema que fuera dinámico y receptivo.

Creamos un modelo de lenguaje y políticas para alinearse con la forma en que operan los usuarios y los centros de datos: un sistema simple pero poderoso, declarativo y basado en etiquetas. Esta no es una capa adicional en el modelo del viejo mundo, más bien, es un enfoque completamente nuevo.  

El sistema Illumio alimenta continuamente datos de contexto y relación en el modelo de política declarativa y vuelve a calcularse el gráfico para garantizar una política de seguridad consistente. Descargamos al usuario de implementar cada cambio... porque en un mundo tan dinámico, sería absurdo esperar que una persona entienda y remapeara todas las dependencias y relaciones con cada cambio. Con Illumio, las personas especifican la política y nuestra plataforma de seguridad la implementa.

3. El mundo es híbrido. La seguridad necesita trabajar en cualquier lugar.

A medida que el software y las cosas que son “como servicio” se vuelven cada vez más importantes, las API están conectando innumerables entornos diferentes y creando una miríada de desafíos de seguridad.

Todos sabemos que los sistemas ligados a una plataforma o que trabajan en un solo ecosistema no logran tener éxito en este mundo heterogéneo e híbrido. Necesitamos la libertad de elegir las herramientas y sistemas adecuados. Y necesitamos que estos funcionen sin problemas, bajo demanda, sin preocupaciones en torno a divergencias, inconsistencias y errores que se repiten.

El sistema de seguridad de hoy necesita trabajar con nosotros, no contra nosotros. Debería ir a donde queremos ir y hacer lo que necesitamos que haga.

Construimos nuestro sistema para funcionar en cualquier plataforma informática, incluyendo servidores de metal desnudo y máquinas virtuales. El sistema también funciona en cualquier entorno, incluyendo data center empresarial, Amazon Web Services, Google Compute Engine, Microsoft Azure y OpenStack.

La mejor herramienta para el viaje es un sistema inteligente que proporciona una experiencia uniforme y aprovecha al máximo los avances en el data center.

Viajando por la gran división

Estas tres verdades fundamentales están entretejidas en todo lo que hacemos en Illumio. Hemos hecho la travesía a través de la gran división, y los beneficios son enormes. La mejor herramienta para el viaje es un sistema inteligente que proporciona una experiencia uniforme y aprovecha al máximo los avances en el data center.

El equipo aquí en Illumio está muy orgulloso de lo que lanzamos hoy y espero compartir más a medida que continuemos brindando soluciones para el nuevo mundo.