Red

Los entornos 'cloud' suponen un reto para la visibilidad de la red

Las empresas necesitan una mayor visibilidad de la red para mejorar la gestión de los entornos en la nube, controlar mejor el tráfico en el centro de datos e identificar aquel que sea malicioso y que haya sido cifrado.

cloud
Créditos: Marek Piwnicki (Unsplash).

La visibilidad de la red se está difuminando de modo que muchas empresas ya están invirtiendo en herramientas que les ayuden a eliminar esta ‘niebla’, reforzar la seguridad y aumentar la productividad de los profesionales de TI. La mayoría (78%) de las compañías tiene previsto aumentar su gasto en herramientas de visibilidad de red en los próximos dos años, según Shamus McGillicuddy, vicepresidente de investigación de Enterprise Management Associates (EMA). El crecimiento del tráfico es el principal impulsor, debido en gran parte a la adopción de arquitecturas híbridas y multinube.

Otros factores que generan la necesidad de disponer de una mejor visibilidad son el aumento del tráfico de los centros de datos y el mayor uso de la codificación por parte de los ciberatacantes para ocultar el tráfico malicioso.

Cada vez salen más datos de las redes que hay que analizar, y las empresas tienen que asegurarse de que no saturan los sistemas, como las soluciones de seguridad y las herramientas de análisis del rendimiento que analizan el tráfico, explica McGillicuddy.

"No se puede adoptar un enfoque ad hoc para hacer llegar los datos de tráfico a las herramientas de análisis", añade el portavoz. "No se puede decir: 'Bueno, vale, creo que ha pasado algo. Voy a intervenir físicamente la red, hacer un volcado de paquetes y luego un análisis forense’. No, realmente necesitas tener instrumentos para disponer de una visibilidad total en todo momento. Hay que tener las luces encendidas; no puedes apagarlas para ahorrar dinero y luego encenderlas cuando necesitas ver lo que está pasando".

 

¿Qué es la arquitectura de visibilidad de la red?

EMA define una arquitectura de visibilidad de red como una superposición de herramientas de duplicación, agregación y distribución de tráfico que proporciona datos de tráfico de red a otros sistemas. Captura los datos de los paquetes de la nube y de las redes locales y los traslada a las herramientas de seguridad y a los sistemas de análisis del rendimiento, como el software de detección de intrusiones o de gestión del rendimiento de las aplicaciones.

Los componentes clave de una arquitectura de visibilidad de red son los TAP y los puertos SPAN, que se utilizan para reflejar los datos de tráfico de la red de producción, junto con los dispositivos de agregación, como un dispositivo de intermediación de paquetes de red.

Una arquitectura de visibilidad para el ámbito empresarial también suele incorporar rastreadores basados en software y brokers de paquetes de red para la infraestructura virtual, y otros rastreadores basados en la nube y brokers de paquetes para los sistemas cloud. Los servicios de duplicación de tráfico de los proveedores cloud han surgido en los últimos dos años y también se están convirtiendo en parte de las arquitecturas de visibilidad de la red de algunas empresas.

 

Retos 

La mayoría de las empresas están de acuerdo en que hay margen de mejora en lo que respecta a las condiciones actuales de visibilidad de la red. Solo el 34% de las organizaciones encuestadas por EMA aseguran tener pleno éxito con el uso general de la arquitectura de visibilidad de la red, frente al 40% que contestaron a la misma pregunta en 2020.

Los principales retos, según las empresas, son los problemas de escalabilidad (citados por el 27%), la complejidad de la arquitectura (26%), la calidad de los datos (23%), las carencias de habilidades (19%), el presupuesto (19%) y la visibilidad limitada de la nube (17%). 

"Los dos grandes son los problemas de escalabilidad y la complejidad de la arquitectura", según McGillicuddy. "Ampliar la arquitectura de visibilidad es un gran esfuerzo, en algunos casos. Intentan seguir el ritmo del crecimiento del tráfico, por lo que gastan más en estas arquitecturas. Es una carrera para mantenerse al día".

En cuanto a la complejidad de la arquitectura, el problema es no tener una comprensión completa, de extremo a extremo, del estado de sus redes, lo que puede guiar la forma de instrumentar la red con una arquitectura de visibilidad. "¿Dónde tengo que reflejar el tráfico en mis herramientas de análisis? ¿Conozco todas las partes de mi red en las que tengo que hacerlo? Un número significativo de ellos nos dice que no lo saben".

 

La nube empeora la eficacia de las herramientas de visibilidad

En general, la eficacia de los sistemas de visibilidad de la red está disminuyendo por una serie de razones, la principal de las cuales es la propia nube, en palabras de McGillicuddy. La migración de aplicaciones a la nube ha creado puntos ciegos y la multinube empeora aún más la visibilidad. "Los equipos de operaciones de red me lo dicen a menudo. No están contentos con la cantidad de visibilidad que obtienen en las redes en la nube. Intentan extender sus soluciones a la nube y con frecuencia se encuentran con problemas en ese sentido".

Los puntos ciegos de la red que trae consigo el modelo cloud pueden dar lugar a problemas como violaciones de las políticas (citadas por el 49%), problemas de servicios de TI o tiempo de inactividad (46%), violaciones de la seguridad (45%) y sobrecostes de la nube (44%).

La construcción de una arquitectura de visibilidad integral que abarque la infraestructura local y la nube pública puede eliminar esos puntos ciegos, según EMA. "La nube no hace que estos productos sean menos relevantes, sino que los hace más relevantes", explica el portavoz. La organización preguntó a las empresas sobre su método principal para suministrar datos de paquetes de red relacionados con la nube a las herramientas de análisis de seguridad y rendimiento. La mayoría (60%) utiliza software de terceros, como un broker de paquetes de red virtual o un TAP virtual. Otro 38% utiliza servicios nativos de duplicación de paquetes ofrecidos por los proveedores de la nube. El 2% restante utiliza un método alternativo o no analiza los datos de paquetes en la nube.

Las ventajas más convincentes del software de visibilidad de terceros en la nube son la fiabilidad de la recogida de datos (54%), la seguridad administrativa (36%), la capacidad de gestión/automatización (34%), las funciones avanzadas de filtrado y modificación de paquetes (32%); y la integración con la tecnología de visibilidad en la infraestructura privada (30%).

 

TAP versus puertos SPAN

Cada dos años, EMA pregunta a las empresas qué porcentaje de la duplicación de puertos en sus redes se realiza a través de un puerto analizador de puertos conmutados (SPAN) o de un puerto de acceso de prueba (TAP). Con los puertos SPAN, uno de los puertos de un conmutador de red se convierte en un servicio de duplicación de tráfico que puede copiar y reenviar el tráfico a otros sistemas. Un TAP es un dispositivo dedicado que copia el tráfico de la red de producción, descargando esa tarea de los conmutadores.

En el pasado, la mayoría de las empresas realizaban la duplicación de puertos a través de los TAP en lugar de los puertos SPAN. Pero últimamente se ha producido un cambio hacia los puertos SPAN, en lugar de los TAP. Demasiadas organizaciones se están apoyando en los puertos SPAN más que en los TAP para la duplicación del tráfico, "y eso tiene consecuencias", afirma McGillicuddy.

A medida que aumenta la complejidad de la red, las empresas podrían buscar reflejar más puntos de su red para mejorar la visibilidad general, y los puertos SPAN pueden ser un enfoque más barato en términos de gasto de capital. Pero el uso de TAP tiene sus ventajas. Por ejemplo, los TAP suelen proceder de un proveedor especializado en visibilidad y proporciona software para gestionar los TAP, especialmente cuando se realizan cambios en la configuración de la red. "Reduce la complejidad operativa", afirma McGillicuddy.

Por el contrario, con los puertos SPAN, "es posible que no se tenga una visión centralizada de los puertos SPAN configurados en los distintos conmutadores de la red", dijo, "y eso significa que es muy difícil gestionar los cambios y [evitar] los cambios no autorizados en un tejido de visibilidad en la capa de espejo de tráfico".

La calidad de los datos también es mejor con los TAP, según McGillicuddy. Los TAP están optimizados para entregar tráfico en espejo a la arquitectura de visibilidad, mientras que los puertos SPAN son de mejor esfuerzo. "Si el conmutador de red está experimentando una alta utilización, va a retener recursos del puerto SPAN para cumplir su misión principal. Ese puerto SPAN empezará a dejar caer paquetes, por ejemplo, y eso afectará a la calidad de los datos", explica. "Por eso la gente invierte en TAP, y por eso me resulta un poco preocupante ver que mucha gente confía más en los puertos SPAN en los últimos años".

 

El tráfico cifrado frustra la visibilidad de la red

Una arquitectura de visibilidad de la red puede desempeñar un papel clave en la inspección del tráfico cifrado y la detección de actividades maliciosas, pero muchas empresas no están viendo todo el tráfico malicioso que deberían, según McGillicuddy.

EMA también pidió a los encuestados que estimaran qué parte de la actividad maliciosa que detectaron en su red durante el año pasado estaba oculta en paquetes cifrados, y la respuesta media fue del 27%. Sin embargo, ese porcentaje varía en función del éxito de la empresa con sus soluciones de visibilidad de la red. Las empresas más exitosas dicen que el 34% de toda la actividad maliciosa en la red estaba en el tráfico cifrado, mientras que las empresas que solo tienen algo de éxito informaron de tasas del 23%.

"Es una diferencia muy grande. Esto indica que la arquitectura de visibilidad de la red es esencial, en mi opinión, para detectar la actividad maliciosa que se oculta en el tráfico cifrado. Sin embargo, mucha gente no lo está haciendo".

Asimismo, EMA solicitó a las empresas que compartieran su recurso preferido para descifrar el tráfico TLS/SSL para su inspección. La respuesta más popular fue la de las herramientas de análisis de seguridad y rendimiento (citada por el 43%). Sin embargo, el uso de herramientas de análisis de seguridad para el descifrado puede consumir recursos de esas herramientas, lo que afecta a su capacidad para analizar realmente el tráfico una vez descifrado, en palabras de McGillicuddy. Demasiadas organizaciones están descifrando el tráfico con herramientas de análisis, y "no es eficiente".

El segundo enfoque más popular (citado por el 23%) fue descifrar el tráfico en un intermediario de paquetes de red, "que creo que es un lugar ideal para ello", dijo. Otros métodos incluyen un dispositivo de descifrado dedicado (12%), un dispositivo de captura de paquetes (11%) y un controlador de entrega de aplicaciones (7%).

 

La visibilidad aumenta la eficacia de las TI

Clasificados por los encuestados, los beneficios más importantes de utilizar una arquitectura de visibilidad de red son la mejora de la productividad del equipo de TI/seguridad (citado por el 36%); la reducción del riesgo de seguridad (33%); la mejora de la gestión de la capacidad (25%); la optimización de la migración a la nube (23%); el rendimiento/resiliencia de la red/aplicación (22%); una mejor colaboración/toma de decisiones entre equipos (19%); la reducción del riesgo de cumplimiento (18%) y la prolongación de la vida útil de las herramientas de análisis de seguridad y rendimiento (14%).

En muchas empresas, el personal de TI pasa cientos de horas asegurándose de que los datos del tráfico de red lleguen a las herramientas de análisis que los necesitan. Con una arquitectura de visibilidad de red, esto se automatiza. Los profesionales de TI no tienen que hacer el trabajo pesado de extraer los datos y alimentarlos a las herramientas, concluye McGillicuddy.

 


Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?

 

 
Cobertura de nuestros encuentros
 
 
 
 
Lee aquí nuestra revista de canal

DealerWorld Digital