Los entornos 'cloud' desafían a la visibilidad de la red
as empresas necesitan una mayor visibilidad de la red para mejorar la gestión de los entornos de nube, controlar mejor el tráfico este oeste en el centro de datos e identificar el tráfico malicioso que se ha cifrado.
La visibilidad de la red es cada vez más compleja y las empresas están invirtiendo en herramientas para eliminar esta brecha, reforzar la seguridad y aumentar la productividad de los profesionales TIC. De hecho, hasta el 76% de las organizaciones pretende aumentar el gasto en herramientas de visibilidad de red durante los próximos dos años, según Shamus McGillicuddy, vicepresidente de investigación de Enterprise Management Associates (EMA). El crecimiento del tráfico es el principal impulso, debido en gran parte a la adopción de arquitecturas híbridas y de estrategias multicloud.
Otros factores que impulsan esta necesidad pasan por el aumento del tráfico en los centros de datos y un mayor uso del cifrado por parte de los ciberdelincuentas para ocultar el tráfico malicioso.
“No se puede tener un enfoque ad hoc para obtener datos de tráfico para las herramientas de análisis”, dice el experto. “Se requieren instrumentos de visibilidad completa en todo momento. Hay que tener las luces encendidas constantemente para ver lo que está pasando en todo momento”
¿Qué es la arquitectura de visibilidad de red?
EMA define una arquitectura de visibilidad de red como una superposición de herramientas de duplicación, agregación y distribución de tráfico que entrega datos de red a otros sistemas. Captura paquetes de información de la nube y redes locales y alimenta a herramientas de seguridad y soluciones de análisis de rendimiento, como detección de intrusos o gestión de aplicaciones.
Los componentes clave son los puertos TAP y SPAN, que se utilizan para duplicar los datos de tráfico de la red de producción, junto con dispositivos de suma, como los de intermediación de paquetes de red.
A nivel empresarial, una arquitectura de este tipo también suele incorporar sondas basadas en software y agentes de paquetes para la infraestructura virtual y la nube. Los servicios de duplicación de tráfico de los proveedores cloud han surgido en los últimos años y se están convirtiendo en parte de las arquitecturas de visibilidad de red de algunas compañías.
Desafíos
La mayoría de las organizaciones está de acuerdo en que hay margen de mejora en lo que respecta a las condiciones actuales de visibilidad de la red. Solo el 34% de las mimas dicen que tienen pleno éxito, frente al 40% de 2020.
Los principales desafíos son los problemas de escalabilidad, la complejidad arquitectónica, la caída de los datos, las brechas de habilidades, el presupuesto y la visibilidad limitada de la nube. “Ampliar la arquitectura de visibilidad es un trabajo pesado en muchos casos. Muchas empresas están tratando de mantenerse al día con el crecimiento del tráfico, por lo que están gastando más. Es una carrera de actualización”.
En términos de complejidad arquitectónica, el problema es no tener una comprensión completa e integral del estado de las redes, lo que puede guiar cómo instrumentar la red con una arquitectura de visibilidad, asegura McGillicuddy. “¿Dónde necesito reflejar el tráfico en mis herramientas de análisis? ¿Conozco todas las partes de mi red en las que necesito hacerlo? Muchas empresas nos dicen que no”.
La nube degrada la eficacia de las herramientas de visibilidad
En general, la efectividad de los sistemas de visibilidad se está degradando por una variedad de razones; la principal es la nube. La migración de aplicaciones ha creado puntos ciegos, y los entornos multicloud empeoran más la visibilidad. “Los equipos de operaciones de red no están contentos con la visibilidad que obtienen en las redes cloud. Están tratando de extender sus solucionesa ella, pero se enfrentan a muchas barreras”.
Y, es que, los puntos ciegos introducidos por la nube pueden generar problemas que incluyen infracciones de políticas, tiempos de inactividad del servicio de TI, brechas de seguridad y sobrecostes. “La nube hace que estos productos sean más relevantes”.
La asociación ha preguntado a las empresas cuál es su método principal para suministrar datos de paquetes de red relacionados con la nube a herramientas de análisis de rendimiento y seguridad. El 60% utiliza software de terceros, como un intermediario o un TAP virtual. Otro 38% utiliza servicios de duplicación de paquetes nativos ofrecidos por proveedores de nube, y el 2% restante usa un método alternativo o no analiza estos datos.
Los beneficios del software de visibilidad de terceros en la nube son la confiabilidad de la recopilación de datos, seguridad administrativa, manejabilidad y automatización, funciones avanzadas de filtrado y modificación de paquetes e integración con tecnología de visibilidad en infraestructura privada.
Puertos TAP vs SPAN: empresas que se retiran de los TAP
Cada dos años, la EMA pregunta a las empresas qué porcentaje de duplicación de puertos en sus redes se logra a través de un puerto analizador de puerto conmutado (SPAN) o un puerto de acceso de prueba (TAP). Con los puertos SPAN, uno de los puertos de un conmutador de red se convierte en un servicio de duplicación de tráfico que puede copiar y reenviar tráfico a otros sistemas. Un TAP es un dispositivo dedicado que copia el tráfico de red de una red de producción y descarga esa tarea de los conmutadores.
En el pasado, la mayoría de las empresas realizaban la duplicación de puertos a través de TAP en lugar de puertos SPAN. Pero ha habido un giro hacia los puertos SPAN, en lugar de TAP, más recientemente. Demasiadas organizaciones se están apoyando en los puertos SPAN más que en los TAP para duplicar el tráfico, “y eso tiene implicaciones”, expresa McGillicuddy.
A medida que aumenta la complejidad de la red, las empresas podrían buscar duplicar más puntos en su red para mejorar la visibilidad general, y los puertos SPAN pueden ser un enfoque más económico en términos de gastos de Capex, dijo. Pero hay beneficios al usar TAPS. Por ejemplo, los TAP generalmente provienen de un proveedor que se especializa en visibilidad y proporciona software para administrar los TAP, particularmente cuando se realizan cambios en la configuración de la red. “Reduce la complejidad operativa”.
Por el contrario, con los puertos SPAN, "es posible que no tenga una vista central de sus puertos SPAN configurados en sus diversos conmutadores en la red", dijo, "y eso significa que es muy difícil administrar cambios y prevenir cambios no autorizados en una visibilidad tejido en la capa de espejo de tráfico”.
La calidad de los datos también es mejor con los TAP. Los TAP están optimizados para entregar tráfico duplicado a la arquitectura de visibilidad, mientras que los puertos SPAN son de mejor esfuerzo. “Si el conmutador de red está experimentando una alta utilización, va a retener recursos del puerto SPAN para cumplir con su misión principal. Ese puerto SPAN comenzará a descartar paquetes, por ejemplo, y eso afectará la calidad de los datos”, dice McGillicuddy. “Es por eso que la gente invierte en TAP, y es por eso que me preocupa un poco ver que mucha gente confía más en los puertos SPAN en los últimos años”.
El tráfico cifrado impide la visibilidad de la red
Una arquitectura de visibilidad de la red puede desempeñar un papel clave en la inspección del tráfico cifrado y la detección de actividad maliciosa, pero muchas empresas no ven tanto tráfico malicioso como deberían, según el experto.
EMA pidió a los encuestados que calcularan qué parte de la actividad maliciosa que detectaron en su red durante el último año estaba oculta en paquetes cifrados y la respuesta media fue del 27%. Sin embargo, ese porcentaje varía según el éxito de una empresa con sus soluciones de visibilidad de red. Las empresas más exitosas dicen que el 34% de toda la actividad maliciosa en la red estaba en el tráfico encriptado, mientras que las empresas que solo tienen algo de éxito informaron tasas del 23%.
“Esa es una brecha bastante grande. Le dice que la arquitectura de visibilidad de la red es esencial, en mi opinión, para detectar actividad maliciosa que está oculta dentro del tráfico cifrado. Sin embargo, mucha gente no lo está haciendo”, dijo McGillicuddy.
EMA también pidió a las empresas que compartieran su recurso preferido para descifrar el tráfico TLS/SSL para su inspección. La respuesta más popular fue la de las herramientas de análisis de seguridad y rendimiento (citada por el 43 %). Sin embargo, el uso de herramientas de análisis de seguridad para el descifrado puede consumir recursos de esas herramientas, lo que afecta su capacidad para analizar el tráfico una vez que se descifra, dijo McGillicuddy. Demasiadas organizaciones están descifrando el tráfico en las herramientas de análisis y "no es eficiente".
El segundo enfoque más popular (citado por el 23%) fue descifrar el tráfico en un corredor de paquetes de red, “que creo que es un lugar ideal para hacerlo”, dijo. Otros métodos incluyen un dispositivo de descifrado dedicado (12%), un dispositivo de captura de paquetes (11%) y un controlador de entrega de aplicaciones (7%).
La visibilidad aumenta la eficacia de las TI
Clasificados por los encuestados, los beneficios más importantes de usar una arquitectura de visibilidad de red son la mejora de la productividad del equipo de TI, reducción de los riesgos de seguridad, mejoras en la gestión de capacidad, migración optimizada a la nube, más resiliencia y rendimiento de aplicaciones, mejora de decisiones de equipos, reducció del riesgo de cumplimiento y una mayor vida útil de las herramientas de análisis de rendimiento y seguridad.
Puede ser difícil poner una cifra en dólares a la reducción del riesgo de seguridad, pero es fácil cuantificar los beneficios de aumentar la productividad. “Si está aumentando la productividad del equipo de TI y el equipo de seguridad, se puede demostrar al liderazgo cómo eso ha liberado horas FTE de tiempo completo”, dijo.
En muchas empresas, el personal de TI valioso dedica cientos de horas a asegurarse de que los datos del tráfico de la red lleguen a las herramientas de análisis que los necesitan. Con una arquitectura de visibilidad de red, está automatizado. Los profesionales de TI no necesitan hacer el trabajo pesado para extraer los datos y enviarlos a las herramientas. “Esa es la mejora en la productividad de la seguridad de TI, y es un importante impulsor del ROI”, concluye.
