«¿Dónde está su aplicación? ¿Dónde están sus datos?»
Durante mucho tiempo, si necesitabas saber dónde estaban tus aplicaciones o datos, la respuesta era clara: siempre estaban en las instalaciones locales o en una sucursal. Universalmente, casi sin importar el tamaño de la organización, las infraestructuras estaban contenidas y eran visibles dentro de un límite definido: tienes un centro de datos, una red, una sucursal, un usuario. Incluso si había algunos usuarios que se conectaban por VPN mientras viajaban o trabajaban desde casa de vez en cuando, esto no afectaba realmente al rendimiento de la red ni introducía riesgos excesivos. La vida era bastante buena.
Entonces apareció la nube, y la respuesta a "¿Dónde está tu aplicación? ¿Dónde están tus datos?" se volvió un poco más confusa de lo que había sido. Una aplicación puede seguir estando en el centro de datos. Pero a veces estaba en la nube. A veces era software como servicio (SaaS) o infraestructura como servicio (IaaS). Pero el misterio de hoy en día no se volvió aterrador para los departamentos de redes hasta hace aproximadamente un año.
Cuando la COVID-19 llegó en marzo de 2020, prácticamente todos los usuarios abandonaron la oficina de la noche a la mañana para trabajar desde casa. Al no estar la mayoría de los usuarios dentro de los límites de la red local de la oficina, la cuestión de saber dónde residen las aplicaciones y los datos se volvió de repente aún más difícil de responder.
El éxodo de usuarios de COVID fue como el estallido de una bomba—dondequiera que terminara cada uno de esos usuarios (como trozos de metralla) se convirtió esencialmente en un borde del nuevo perímetro de la red. Y los departamentos de redes tuvieron que resolver inmediatamente todo un nuevo mundo de problemas —desde la conectividad hasta el rendimiento y la seguridad—dentro de lo que podríamos llamar su nuevo Triángulo de las Bermudas de la Red: centro de datos, nube y usuario ¡Parece que se pierden muchas cosas en ese triángulo!
Diagnosticando el triángulo
No me diga que no ha escuchado este chiste (o uno parecido) antes:
Un usuario, un desarrollador y un ingeniero de redes entran en un bar y alguien grita: "¡Eh, las cosas van lentas!". Y el ingeniero de redes se queda solo con la cuenta.
La frase "va lento" es la pesadilla de todo técnico de redes. Pero la gente tiene muy poca paciencia con respecto a la tecnología. Si una página web tarda más de unos segundos en cargarse, la gente se va. La división viene en parte de la expectativa de lo que es lento frente a lo que es rápido. Pero en el Triángulo de las Bermudas de la Red que creó la COVID, el problema es aún peor que la subjetividad del usuario y la percepción de la velocidad. El departamento de red no puede saber realmente cómo es el rendimiento para un usuario concreto porque ahora depende del funcionamiento de cada ISP.
¿Cómo se cuantifican los problemas de rendimiento de red cuando hay que lidiar con la geografía, cuando hay que lidiar con los balanceadores de carga, cuando cada ruta redundante aumenta exponencialmente la huella de la red— sin olvidar Internet como columna vertebral y el aspecto desconocido de los proveedores de SaaS? Y eso sin tener en cuenta las circunstancias individuales de los trabajadores remotos. Un router Wi-Fi que utiliza el espectro de 2,4 GHz se coloca demasiado cerca del microondas en casa. Un adolescente, sin saberlo, conecta una Xbox a la red corporativa para obtener una conexión de mayor velocidad. Como responsable de redes, ¿qué vas a hacer? ¿Poner una sonda en la casa de cada persona? Incluso un experto en Wireshark como yo sabe que eso es imposible.
El Triángulo de las Bermudas de la red no es sólo lo desconocido, sino también lo incontrolable. Sin una frontera definida, la red se vuelve amorfa—puede extenderse por todas partes. Y en este mundo, la seguridad se convierte en lo más importante. Imagine un colador gigante en el que cada agujero representa una posible ruta para la exfiltración de datos. ¡Ahora multiplique eso por (al menos) 100!
Del caos a la conectividad segura
En cualquier crisis, la supervivencia es el primer objetivo. Así que, en la primavera de 2020, los departamentos de redes en modo emergencia recurrieron a la herramienta que tenían a mano para gestionar la descentralización masiva de sus fuerzas de trabajo. La VPN sería su primera línea de defensa para conseguir conexiones seguras que pudieran mantener las empresas en funcionamiento.
Pero el trabajo de una VPN es como el de una aspiradora—aspirar todo hacia el centro de datos y luego pasarlo por la pila de seguridad local. Esto suele incluir todos los firewalls, proxies, prevención de intrusiones (IPS), detección de intrusiones (IDS) y otras soluciones que filtran el tráfico de la red en busca de amenazas. Por desgracia, la VPN no se diseñó para este tipo de escala. Era una gran solución para dar servicio a los usuarios móviles o cuando las inclemencias del tiempo obligaban a los usuarios a trabajar desde casa, lo cual era más bien una excepción que la regla. Distribuir todo el tráfico a través del centro de datos no funciona cuando se tienen 10.000 o 200.000 endpoints. Esto crea una enorme congestión en el concentrador VPN, y la seguridad se convierte en un cuello de botella imposible. Y cuando su empresa seleccione un proveedor de seguridad en la nube, seguramente no querrá recrear esta pesadilla de retorno y de cuello de botella del tráfico dentro de la nube. Por desgracia, como se comentó en otro blog reciente titulado "Hairpinning: El pequeño y sucio secreto de la mayoría de los proveedores de seguridad en la nube", esta práctica es habitual entre muchos proveedores.
Desde el punto de vista de la seguridad, el uso de VPN también ha sido una batalla de larga duración. La seguridad quiere que todo el mundo utilice la VPN para poder ver todo lo que hacen los usuarios y que pasen por la pila de seguridad central. Pero cuando llegó COVID-19 y los empleados se volvieron remotos, los departamentos se dieron cuenta rápidamente de que los altos volúmenes de tráfico de Zoom y WebEx en particular—que a veces pasaban por varias pilas de seguridad—lo hacían casi inutilizable. La red estaba completamente congestionada en los puntos clave de entrada y salida. Las empresas —incluso las grandes organizaciones financieras—no tardaron en decidir que necesitaban un compromiso que pudiera liberar la congestión de la red.
Entremos en el túnel dividido
El "túnel dividido" fue el compromiso al que llegaron las empresas. Mientras que la VPN se seguiría utilizando para el acceso a la central del tráfico de negocio, el tráfico de Zoom iría a la Internet pública para aliviar la congestión de la VPN. Pero les faltó cautela por la necesidad, porque la decisión de dividir el túnel provocó instantáneamente dos cosas:
- Se saltó la protección del stack de seguridad, exponiendo potencialmente algunas partes de la organización a ciberamenazas externas o a la fuga de datos.
- También abre una caja de Pandora para utilizar el túnel dividido para otras aplicaciones. Una vez que Zoom fue aprobado para la conexión directa a Internet, cada directivo de la empresa probablemente se preguntó: ¿Qué pasa con Office 365?
Digamos que estás usando Microsoft OneDrive—volvamos a esa pregunta fundamental: ¿Dónde están tus datos? Ahí fuera, en algún lugar. No están en el centro de datos ni dentro de los límites del stack de seguridad. ¿Dónde está el usuario? Ahí fuera, también.
Entonces, ¿por qué los haces entrar sólo para volver a salir? ¿Especialmente cuando todos estamos de acuerdo en que el transporte es seguro? Los carriles que los protocolos TLS abren para hablar entre sí han demostrado ser seguros. Los militares lo utilizan. El Pentágono lo utiliza. Así que, si la tubería entre los datos y el usuario es segura, ¿por qué nos preocupa dejar que vayan directamente a Internet para Office 365? Sólo es un problema si los datos están infectados de alguna manera para empezar.
Reevaluar la situación teniendo en cuenta la seguridad
Las oportunidades que ofrecen los sistemas de red improvisados no han pasado desapercibidas para los ciber