Este blog forma parte de la serie en curso "I&O Perspectivas", que presenta las opiniones de expertos del sector sobre el impacto de las amenazas actuales, las redes y otras tendencias en ciberseguridad.
A medida que me embarco en un puesto de Nuevo con el equipo de ingeniería de Netskope Plataforma, estoy ansioso por explorar cómo la visión de nuestra empresa da forma a la evolución de la seguridad de las redes empresariales. Este primer artículo de una serie es un testimonio de mi introspección técnica, presentando los antecedentes, los desafíos y las necesidades que condujeron a SASE, el perímetro de servicio de acceso a la seguridad.
Over the past quarter of a century, enterprises have gradually recognized the internet as a reliable means of transporting applications. Remote work further accelerated this shift, transforming the workspace into a borderless environment. Coupled with the rise of corporate SaaS applications, this has led to a new era of connectivity.
However, in this new era, the internet has become a critical vector for cyber threats. As organizations rely more on the internet for connectivity, they face increased exposure to sophisticated threats, including data breaches, malware, and phishing attacks. SASE emerged as a response to the limitations of traditional networking and security models.
Con todo esto en mente, hagamos un recorrido por la historia reciente de las WAN para comprender la dirección en la que se dirigen la seguridad y las redes.
La evolución de la red de área amplia da forma a nuestro presente y futuro
En el año 2000, antes del estallido de la burbuja de Internet, Cisco Systems tenía la mayor capitalización de mercado del mundo, siendo el líder indiscutible en el sector de las redes empresariales. Los productos de seguridad en Internet fueron insignificantes en los estados de ingresos de Cisco, contribuyendo solo con una pequeña fracción de sus ventas. En general, la ciberseguridad sigue siendo un sector relativamente pequeño. Las redes corporativas e Internet solían existir como dos silos distintos, una separación que proporcionaba inherentemente seguridad sin necesidad de encriptación.
Las redes troncales de red de área amplia (WAN), que, por definición, se ejecutaban en una infraestructura física privada, dependían de líneas y protocolos punto a punto dedicados heredados, como Frame Relay y ATM.
Additionally, cloud applications were not that critical for corporations. Besides email, electronic communications and IT resources were mainly private.
Algunos de los primeros usuarios comenzaron a usar más túneles de sitio a sitio IPsec para la copia de seguridad de WAN y la descarga del tráfico de baja prioridad a través de Internet. Recuerdo haber demostrado tal implementación para una gran corporación en 2002, pero no fue más allá de una prueba de concepto. En ese momento, Internet de mejor esfuerzo no se consideraba elegible para transportar tráfico corporativo confidencial. Hoy en día, esto ha evolucionado con una calidad de servicio inteligente y una orquestación dentro de una interfaz gráfica, que representa la parte SD-WAN de SASE.
Multiprotocol Label Switching (MPLS) virtual private network (VPN), a genuine IP-minded solution, was the rising star.
MPLS y VRF: Mejora del enrutamiento IP y el aislamiento de red
MPLS es un conjunto de protocolos de conmutación central diseñados para acelerar el enrutamiento IP. Combina las ventajas de IP y ATM.
Network operators and vendors developed the VPN application of MPLS to provide network isolation at layer 3. On an MPLS-VPN network, each VPN is a private routing context. Customers purchase one or several VPN contexts to segregate their WAN routing environments over the same physical infrastructure.
Traffic over MPLS-VPN is generally not encrypted and the network is trusted. In most cases, these VPN instances naturally became the long-haul extensions of the local area network VLANs. Machines with the same usage profile would sit in the same LAN segments and VPNs.
El impacto de los SLA en la diferenciación de MPLS-VPN de los servicios de Internet
Para las empresas (o al menos para sus departamentos jurídicos), la principal métrica de calidad eran los SLA y las penalizaciones que conllevan. En otras palabras, ¿cómo pueden las sanciones ser lo suficientemente dañinas para los proveedores de servicios como para cuidar e igualar una calidad de servicio decente?
On MPLS-VPN networks, packet delivery, round-trip delays, and service availability are subject to SLAs. In contrast, most internet services only offer time-to-restore or availability SLAs. These contractual items have been the key argument for telcos to differentiate MPLS-VPN from IPsec over the internet.
SLAs do not apply when the link has been broken because of a force majeure event: natural disasters, acts of war, government actions, and pandemics, among others. For example, if an excavator cuts a fiber cable, and even if it’s not considered a force majeure event, it makes no difference whether the service is internet or MPLS-VPN. There’s only a small chance that the provider will restore the link within the SLA time.
Creación de redes resilientes y capaces: cumplimiento de los acuerdos de nivel de servicio en medio de limitaciones complejas
Para respaldar los SLA, la resiliencia y la gestión de la capacidad siempre han sido temas frecuentes al diseñar redes de comunicación. Estos atributos se basan fundamentalmente en garantizar que la red sea extensa, redundante, rápida y ágil para satisfacer las expectativas de los clientes en cualquier condición de red. Sin embargo, lograr esto implica navegar por un conjunto complejo de restricciones, como:
- Múltiples rutas disponibles entre dos puntos.
- Cada enlace tiene su propia gestión de capacidad.
- Las rutas de copia de seguridad deben restaurarse lo suficientemente rápido como para preservar las sesiones en curso (por ejemplo, una llamada telefónica) sin que los usuarios se den cuenta de que una ruta se cae.
- Con IP, no todas las aplicaciones (como la voz) tienen ancho de banda reservado. La red puede limitar las aplicaciones de baja prioridad durante los eventos de congestión, pero no en exceso.
Los enfoques en las redes troncales privadas como MPLS y la red de Internet compartida son, naturalmente, profundamente diferentes. Internet siempre se ha considerado el "mejor esfuerzo", mientras que MPLS-VPN garantiza la calidad del servicio. Sin embargo, los usuarios esperan que Internet ofrezca un servicio decente en la mayoría de las condiciones de la red. La competencia entre los proveedores de servicios de Internet ha impulsado mejoras en la calidad. Las técnicas y herramientas para gestionar la capacidad de Internet han avanzado significativamente
También se han invertido muchos esfuerzos en enriquecer el arsenal de técnicas de ingeniería de tráfico en protocolos IP y entornos MPLS, incluida la gestión de la capacidad en línea, las reservas de ancho de banda, las prioridades de las aplicaciones, las rutas de extremo a extremo, el redireccionamiento rápido y más.
La buena noticia es que MPLS, como tecnología troncal, es ahora el operador subyacente para todo, desde redes móviles hasta Internet, y algunos de estos esfuerzos también benefician a Internet, no solo MPLS-VPN.
El auge de Internet: de necesidad doméstica a columna vertebral corporativa
For consumers, the internet quickly started providing such valuable use cases that it soon became essential to subscribe to an internet service at home. Some of these examples include personal email, online shopping, search engines, encyclopedic content, social media, and instant messaging.
Around 2008, the internet conquered the mobile space with the user-friendly smartphone, its ecosystem, and high-speed cellular data. Smartphones made access to these ubiquitous use cases, causing a seismic growth in the volume of data flows and user counts.
Junto con el crecimiento de los volúmenes de tráfico, que se multiplicó por el crecimiento de los servicios de vídeo por Internet (véase la Figura 1), el número de usuarios de Internet aumentó drásticamente.
Internet use in the enterprise accelerated too. In addition to consumer-friendly applications, access to SaaS applications, starting with Salesforce, became a significant topic for IT departments. SaaS solutions offered scalable, cost-effective alternatives to traditional on-premises software, reducing the need for extensive IT infrastructure and maintenance.
Algunos CIO incluso decidieron redirigir el tráfico de los usuarios e implementar conectividad privada y costosa, como Secure Cloud Direct Interconnect (SDCI), para llegar a los servicios disponibles principalmente en la Internet pública (gratuita). Durante mucho tiempo, nunca pudimos resolver completamente el conflicto entre la ubicuidad de Internet y la calidad garantizada del servicio proporcionado por las redes troncales privadas.
Adopción del trabajo remoto: el cambio a SASE
Innovation was pushing for changes. The pandemicmarked a dramatic shift. Remote workers became the norm. They were able to benefit from business applications from their homes as if they were in the private and concealed areas of the enterprise locations and WAN networks. Cloud and particularly virtual meeting applications, such as Microsoft O365/Teams, would be affected in a centralized configuration with a single or few WAN breakouts to internet. Users require their internet traffic to go through the shortest possible path.
Los jugadores de Internet seguían aprovisionando un ancho de banda masivo para hacer frente al ritmo y absorber la carga adicional. Internet se adaptó muy bien a la carga que de repente se trasladó del punto final del edificio de oficinas a las ubicaciones de los hogares.
Naturally, the user’s workstation turned into the only remaining barrier to the privacy of company data. Intellectual property, secret commercial data, and any information to safeguard must be reached through the employee device and cloud services, which could be anywhere.
Nonetheless, CIOs couldn’t sacrifice service quality and security. Preserving productivity and guaranteeing privacy and data protection are essential. The removal of the corporate “perimeter” has led to the spread and growth of sophisticated attacks, ransomware, involuntary breaches of confidentiality, and insider threats. This threat landscape requires a ubiquitous and granular security model to protect users and data everywhere, moving from traditional defenses, the castle-and-moat, to a global, always-on security layer. This logically gave birth to SASE.
En la siguiente parte de esta serie de blogs, exploraremos el paradigma de conectividad SASE y cómo Netskope ofrece conectividad de alto grado en este panorama de Nuevo.
Estén atentos a las próximas entregas de nuestra serie I&O Perspective. Únase a nosotros en SASE Week 2024 para explorar lo último en SASE y Zero Trust, y aprenda a mejorar la estrategia de seguridad y transformación de la red de su organización. No se pierda la "Mesa redonda de SASE para networkers" el 25 de septiembre, donde los clientes compartirán sus viajes de transformación digital hacia SASE