«¿Dónde está su aplicación? ¿Dónde están sus datos?»
Durante mucho tiempo, si necesitabas saber dónde estaban tus aplicaciones o datos, la respuesta era clara: siempre estaban en las instalaciones locales o en una sucursal. Universalmente, casi sin importar el tamaño de la organización, las infraestructuras estaban contenidas y eran visibles dentro de un límite definido: tienes un centro de datos, una red, una sucursal, un usuario. Incluso si había algunos usuarios que se conectaban por VPN mientras viajaban o trabajaban desde casa de vez en cuando, esto no afectaba realmente al rendimiento de la red ni introducía riesgos excesivos. La vida era bastante buena.
Entonces apareció la nube, y la respuesta a "¿Dónde está tu aplicación? ¿Dónde están tus datos?" se volvió un poco más confusa de lo que había sido. Una aplicación puede seguir estando en el centro de datos. Pero a veces estaba en la nube. A veces era software como servicio (SaaS) o infraestructura como servicio (IaaS). Pero el misterio de hoy en día no se volvió aterrador para los departamentos de redes hasta hace aproximadamente un año.
Cuando la COVID-19 llegó en marzo de 2020, prácticamente todos los usuarios abandonaron la oficina de la noche a la mañana para trabajar desde casa. Al no estar la mayoría de los usuarios dentro de los límites de la red local de la oficina, la cuestión de saber dónde residen las aplicaciones y los datos se volvió de repente aún más difícil de responder.
El éxodo de usuarios de COVID fue como el estallido de una bomba—dondequiera que terminara cada uno de esos usuarios (como trozos de metralla) se convirtió esencialmente en un borde del nuevo perímetro de la red. Y los departamentos de redes tuvieron que resolver inmediatamente todo un nuevo mundo de problemas —desde la conectividad hasta el rendimiento y la seguridad—dentro de lo que podríamos llamar su nuevo Triángulo de las Bermudas de la Red: centro de datos, nube y usuario ¡Parece que se pierden muchas cosas en ese triángulo!
Diagnosticando el triángulo
No me diga que no ha escuchado este chiste (o uno parecido) antes:
Un usuario, un desarrollador y un ingeniero de redes entran en un bar y alguien grita: "¡Eh, las cosas van lentas!". Y el ingeniero de redes se queda solo con la cuenta.
La frase "va lento" es la pesadilla de todo técnico de redes. Pero la gente tiene muy poca paciencia con respecto a la tecnología. Si una página web tarda más de unos segundos en cargarse, la gente se va. La división viene en parte de la expectativa de lo que es lento frente a lo que es rápido. Pero en el Triángulo de las Bermudas de la Red que creó la COVID, el problema es aún peor que la subjetividad del usuario y la percepción de la velocidad. El departamento de red no puede saber realmente cómo es el rendimiento para un usuario concreto porque ahora depende del funcionamiento de cada ISP.
¿Cómo se cuantifican los problemas de rendimiento de red cuando hay que lidiar con la geografía, cuando hay que lidiar con los balanceadores de carga, cuando cada ruta redundante aumenta exponencialmente la huella de la red— sin olvidar Internet como columna vertebral y el aspecto desconocido de los proveedores de SaaS? Y eso sin tener en cuenta las circunstancias individuales de los trabajadores remotos. Un router Wi-Fi que utiliza el espectro de 2,4 GHz se coloca demasiado cerca del microondas en casa. Un adolescente, sin saberlo, conecta una Xbox a la red corporativa para obtener una conexión de mayor velocidad. Como responsable de redes, ¿qué vas a hacer? ¿Poner una sonda en la casa de cada persona? Incluso un experto en Wireshark como yo sabe que eso es imposible.
El Triángulo de las Bermudas de la red no es sólo lo desconocido, sino también lo incontrolable. Sin una frontera definida, la red se vuelve amorfa—puede extenderse por todas partes. Y en este mundo, la seguridad se convierte en lo más importante. Imagine un colador gigante en el que cada agujero representa una posible ruta para la exfiltración de datos. ¡Ahora multiplique eso por (al menos) 100!
Del caos a la conectividad segura
En cualquier crisis, la supervivencia es el primer objetivo. Así que, en la primavera de 2020, los departamentos de redes en modo emergencia recurrieron a la herramienta que tenían a mano para gestionar la descentralización masiva de sus fuerzas de trabajo. La VPN sería su primera línea de defensa para conseguir conexiones seguras que pudieran mantener las empresas en funcionamiento.
Pero el trabajo de una VPN es como el de una aspiradora—aspirar todo hacia el centro de datos y luego pasarlo por la pila de seguridad local. Esto suele incluir todos los firewalls, proxies, prevención de intrusiones (IPS), detección de intrusiones (IDS) y otras soluciones que filtran el tráfico de la red en busca de amenazas. Por desgracia, la VPN no se diseñó para este tipo de escala. Era una gran solución para dar servicio a los usuarios móviles o cuando las inclemencias del tiempo obligaban a los usuarios a trabajar desde casa, lo cual era más bien una excepción que la regla. Distribuir todo el tráfico a través del centro de datos no funciona cuando se tienen 10.000 o 200.000 endpoints. Esto crea una enorme congestión en el concentrador VPN, y la seguridad se convierte en un cuello de botella imposible. Y cuando su empresa seleccione un proveedor de seguridad en la nube, seguramente no querrá recrear esta pesadilla de retorno y de cuello de botella del tráfico dentro de la nube. Por desgracia, como se comentó en otro blog reciente titulado "Hairpinning: El pequeño y sucio secreto de la mayoría de los proveedores de seguridad en la nube", esta práctica es habitual entre muchos proveedores.
Desde el punto de vista de la seguridad, el uso de VPN también ha sido una batalla de larga duración. La seguridad quiere que todo el mundo utilice la VPN para poder ver todo lo que hacen los usuarios y que pasen por la pila de seguridad central. Pero cuando llegó COVID-19 y los empleados se volvieron remotos, los departamentos se dieron cuenta rápidamente de que los altos volúmenes de tráfico de Zoom y WebEx en particular—que a veces pasaban por varias pilas de seguridad—lo hacían casi inutilizable. La red estaba completamente congestionada en los puntos clave de entrada y salida. Las empresas —incluso las grandes organizaciones financieras—no tardaron en decidir que necesitaban un compromiso que pudiera liberar la congestión de la red.
Entremos en el túnel dividido
El "túnel dividido" fue el compromiso al que llegaron las empresas. Mientras que la VPN se seguiría utilizando para el acceso a la central del tráfico de negocio, el tráfico de Zoom iría a la Internet pública para aliviar la congestión de la VPN. Pero les faltó cautela por la necesidad, porque la decisión de dividir el túnel provocó instantáneamente dos cosas:
- Se saltó la protección del stack de seguridad, exponiendo potencialmente algunas partes de la organización a ciberamenazas externas o a la fuga de datos.
- También abre una caja de Pandora para utilizar el túnel dividido para otras aplicaciones. Una vez que Zoom fue aprobado para la conexión directa a Internet, cada directivo de la empresa probablemente se preguntó: ¿Qué pasa con Office 365?
Digamos que estás usando Microsoft OneDrive—volvamos a esa pregunta fundamental: ¿Dónde están tus datos? Ahí fuera, en algún lugar. No están en el centro de datos ni dentro de los límites del stack de seguridad. ¿Dónde está el usuario? Ahí fuera, también.
Entonces, ¿por qué los haces entrar sólo para volver a salir? ¿Especialmente cuando todos estamos de acuerdo en que el transporte es seguro? Los carriles que los protocolos TLS abren para hablar entre sí han demostrado ser seguros. Los militares lo utilizan. El Pentágono lo utiliza. Así que, si la tubería entre los datos y el usuario es segura, ¿por qué nos preocupa dejar que vayan directamente a Internet para Office 365? Sólo es un problema si los datos están infectados de alguna manera para empezar.
Reevaluar la situación teniendo en cuenta la seguridad
Las oportunidades que ofrecen los sistemas de red improvisados no han pasado desapercibidas para los ciberdelincuentes expertos. Resulta que, al menos, un viejo enemigo está resurgiendo para aprovecharse de nuestros compromisos actuales: Las amenazas basadas en macros de Visual Basic. Desde el comienzo de la COVID, nuestro equipo de investigación aquí en Netskope ha descubierto que los documentos de Microoft Office infectados con virus y troyanos basados en macros han aumentado hasta 9 veces.
¿Cómo evaluamos estos retos y los relacionamos con la pila de seguridad actual?
Lo primero que suelen decir los usuarios es: "Para eso tengo el antivirus." Pero el antivirus (AV) sólo sirve para proteger al usuario. No hace nada por los datos con los que están colaborando en la nube, ni siquiera cuando se abre un archivo en un navegador. Si los datos no se almacenan localmente en el propio dispositivo (por ejemplo, archivos en OneDrive o Google Drive), el AV no puede ayudar. De nuevo, nuestros informes muestran que el 61% del malware se distribuye en la nube.
El siguiente paso en el proceso de tratar de domar este Triángulo de las Bermudas es asegurarse de que nuestro conducto —nuestra tubería segura—también está analizando las amenazas. Tenemos que convertir esa conexión directa entre el usuario y los datos y aprovechar esa oportunidad en línea para escanear en busca de amenazas. De todos modos, el usuario va a acceder a sus datos, por lo que es mejor dejar que alguien los analice durante el proceso. Piense en esto como un escaneo de malware integrado en la red. Evidentemente, esto significa que la red desempeña un papel activo e integral en la postura de seguridad general.
Alivie la carga de tráfico con confianza
En 2020, los departamentos de redes aliviaban la carga del tráfico de Zoom en conexiones directas de túnel dividido por pura necesidad de supervivencia. ¿Pero qué pasaría si se pudiera aliviar la carga de tráfico con confianza, sabiendo que se obtienen las ventajas de una conexión directa sin sacrificar la seguridad? No sólo es mejor para el usuario en términos de rendimiento, sino que también es algo que toda persona de redes entiende intrínsecamente—cuanto más cerca estés de tu destino, más rápido llegarás a él.
Las cosas están más estables que hace un año, cuando se desató el infierno. Así que ahora, vamos a volver a poner algo de seguridad sin comprometer el valor de lo que se ha ganado. No podemos volver al antiguo régimen y hacer que todo el mundo pase por el stack de seguridad con un enorme cuello de botella de rendimiento que degrade la experiencia del usuario. Sus usuarios han probado la libertad y nunca volverán atrás.
La realidad del Triángulo de las Bermudas a la que todo departamento de redes debe enfrentarse ahora mismo es que su frontera de red bien definida, ha explotado. El viejo mundo ha desaparecido y no va a volver. Así que, en este nuevo mundo, ¿qué va a hacer para proteger el corazón de su negocio? Necesita una solución cercana, rápida y segura—que proporcione esa protección en línea entre los datos y los usuarios, independientemente de dónde se encuentren. Después de todo, la red es el pegamento que mantiene todo unido. Así que, ¿por qué no utilizar la red para reducir el riesgo, reducir el coste y, lo más importante, reducir la fricción? Seguridad sin fricciones... ¿quién no querría apuntarse a eso?
