Blog Full Skope, Security Transformation Optimizing Cloud Security Efficacy & Performance Through a Single-Pass Architecture
Jul 01 2021

Optimización de la eficacia y el rendimiento de la seguridad en la nube mediante una arquitectura de un solo paso

La ciberseguridad tiene la mala reputación de interponerse en el camino del negocio. Muchos CIOs y CISOs dedican mucho tiempo a minimizar la merma en el rendimiento de las soluciones de seguridad sobre el tráfico de su red, al tiempo que se aseguran de que las soluciones siguen haciendo su trabajo manteniendo la red segura. El paso a la nube agrava este reto.

Hace unos años, un departamento de seguridad instalaba servicios de seguridad en una serie de dispositivos físicos. Las funciones de firewall, filtrado de URL, supervisión del correo electrónico, escaneo de amenazas y prevención de fuga de datos (DLP), por ejemplo, podían ejecutarse cada una en su propia caja. Los cinco dispositivos podrían estar configurados en serie, de forma que un paquete de datos fluyera hacia uno de ellos, el dispositivo realizara su servicio estándar y, a continuación, el paquete pasara al siguiente dispositivo, que volvería a realizar todos sus pasos habituales. La escalabilidad de cada servicio estaría limitada por el espacio disponible en su dispositivo físico. Y cuando el hardware se agotaba, el rendimiento de las comprobaciones de seguridad—y por extensión, el rendimiento del tráfico de red—se ralentizaba. Estos problemas se agravaban con los flujos de tráfico cifrado y la necesidad de descifrar, analizar y volver a cifrar el tráfico varias veces, para cada función.

Muchos clientes intentaron mejorar la escalabilidad cambiando a dispositivos virtuales, sólo para encontrarse con el mismo problema de "cuello de botella." Tanto si una solución se ejecuta en la nube como en las instalaciones, la virtualización requiere que los administradores asignen recursos específicos, como la CPU, la memoria y el espacio en disco. Algunas plataformas de seguridad consolidan una serie de servicios diferentes. Esto da al conjunto de soluciones acceso a mayor cantidad de recursos en total, pero los servicios tienen que competir por esa cantidad finita de todos los recursos disponibles, y en última instancia el rendimiento no está optimizado para ninguno de ellos. Inherente al diseño, este "tira y afloja" de recursos acaba obligando a hacer concesiones entre el procesamiento de la seguridad y el rendimiento.

Sea cual sea la estrategia, los enfoques físicos, virtuales o basados en la nube suelen tener un límite para escalar horizontalmente. A partir de ese punto, las limitaciones de recursos introducen latencia en el rendimiento de las soluciones que albergan. Una infraestructura de seguridad que opera a través de una tubería de tráfico con un diámetro fijo va a chocar eventualmente con esas limitaciones y cuellos de botella, y la velocidad de la red se verá afectada y, en última instancia, esto se traduce en una experiencia de usuario degradada y, en el peor de los casos, en el riesgo de que los usuarios pasen por alto los controles de seguridad por completo, lo que expone a las organizaciones al riesgo. 

Microservicios poco acoplados pero independientes 

Cuando Netskope desarrolló lo que ahora es nuestra plataforma para el servicio de acceso seguro en el borde (SASE), diseñamos la arquitectura con el objetivo de superar la latencia que degrada el rendimiento de las soluciones de seguridad tradicionales. Para alcanzar ese objetivo, nos replanteamos dos aspectos del funcionamiento fundamental de la tecnología de seguridad. 

En primer lugar, consolidamos las capacidades clave de seguridad en una única plataforma unificada, al tiempo que abstraíamos las funciones de seguridad individuales en lo que en Netskope llamamos "microservicios." Procesos como la prevención de fuga de datos (DLP), la protección contra amenazas, el filtrado de contenidos web y el acceso a la red basado en confianza cero (ZTNA) funcionan de forma independiente, cada uno con sus propios recursos. Cuando las limitaciones de recursos empiezan a afectar al rendimiento de uno de los microservicios, Netskope Security Cloud está diseñada para escalar (o reducir) automáticamente ese microservicio liberando de forma independiente los recursos necesarios.

Por ejemplo, la interceptación SSL es más probable que se vea limitada por la entrada-salida (E/S) del sistema, tratando de descifrar el tráfico que recibe de la red. Mientras que el establecimiento de la sesión TLS/SSL se entiende que está ligado a la unidad central de procesamiento (CPU) para las operaciones de clave asimétrica, una vez que se establece una sesión, las funciones de cifrado y descifrado simétrico ya no están vinculadas a la CPU, ya que la mayoría de las CPU modernas tienen instrucciones AES integradas de forma nativa. En consecuencia, durante la fase de transferencia de datos propiamente dicha, el cuello de botella se convierte rápidamente en la rapidez con la que los paquetes pueden entrar y salir del sistema (E/S, no CPU), y cada copia de paquete añade una carga adicional que aumenta la latencia del procesamiento general de los paquetes. Por otro lado, la funcionalidad de DLP tiende a estar más limitada por la unidad central de procesamiento (CPU), ya que su objetivo es analizar archivos sospechosos utilizando tecnologías que requieren un uso intensivo del procesador, como varios motores de expresiones regulares. Si el rendimiento de DLP se viera restringido por las limitaciones de la CPU, el diseño de Netskope aumentaría rápidamente la potencia del procesador específicamente para ese microservicio de DLP, en lugar de aumentar la potencia de la CPU de forma generalizada y para que todos los servicios de seguridad compitan por ella.

Esto puede sonar un poco a los viejos tiempos, en los que cada solución de seguridad corría en su propio hardware, pero no lo es. Es una simplificación y abstracción espectacular a través de la miríada de microservicios de Netskope. Esto nos lleva al segundo aspecto digno de mención de la arquitectura de Netskope, que es cómo los microservicios individuales son independientes, pero siguen estando estrechamente acoplados. Aunque utilizan recursos de forma independiente, como la E/S o la CPU, comparten los resultados de ciertos procesos para que las mismas cargas de trabajo no se repitan innecesariamente en varios microservicios que analizan los mismos paquetes. Esto proporciona una eficiencia significativa en la forma en que Netskope es capaz de procesar grandes volúmenes de tráfico, de unir mejor el "contexto" de los resultados de seguridad y, en última instancia, de acelerar el rendimiento y reducir la latencia. 

Procesamiento más rápido del tráfico y seguridad más eficaz 

Cualquier producto o servicio de seguridad va a introducir cierta latencia. Es un hecho. Todas las soluciones que tocan un paquete de datos en movimiento, según las leyes de la física, se ralentizan; sin embargo, la arquitectura de paso único de Netskope está diseñada para minimizar la latencia de extremo a extremo. Lo consigue separando el "contenido" de los metadatos y realizando las actividades repetitivas una sola vez para aprovechar mejor los resultados en todos los microservicios que utilizan esas actividades. No trataré esto en detalle en este blog, pero las optimizaciones de la nube privada de seguridad de Netskope, llamada NewEdge, reducen aún más la latencia y optimizan para la mejor experiencia posible del usuario y la aplicación. Esto incluye las decisiones tomadas en los racks integrados que construimos para el despliegue en nuestros centros de datos, en el control de todo el enrutamiento del tráfico y las ubicaciones de los centros de datos, el peering extensivo con los proveedores web, de servicios en la nube y SaaS (en cada centro de datos), así como el sobre-aprovisionamiento masivo de cada centro de datos y el funcionamiento de la infraestructura con una baja utilización (y el máximo margen libre) para acomodar los picos de tráfico inusuales o la adopción de los clientes.

Volviendo al tema de las actividades repetitivas realizadas dentro de Netskope Security Cloud, consideremos el "descifrado" como ejemplo. Alrededor del 90% del tráfico que Netskope maneja hoy en día está cifrado. Aunque nuestros microservicios de seguridad realizarán diferentes operaciones en el tráfico una vez descifrado, todos ellos requieren que el paquete sea descifrado primero antes de poder realizar su acción u operación especializada. En este caso, nuestra arquitectura de paso único abstrae los microservicios de nivel superior del proceso de descifrado, por lo que Netskope descifra el tráfico una sola vez, y luego aplica los múltiples y diversos microservicios adecuados a las políticas sobre el tráfico, antes de volver a cifrarlo y enviarlo por su camino. 

Para profundizar en esto, el propio proceso de descifrado del tráfico da lugar tanto a contenido utilizable como a metadatos que describen los paquetes interceptados. Cuando un microservicio de Netskope—como DLP o la protección contra amenazas—encuentra posteriormente ese tráfico, tiene acceso inmediato a la información sobre quién es el usuario, a qué aplicación está accediendo, qué actividad está intentando realizar y en qué parte del flujo de paquetes se encuentra el contenido asociado. Si el microservicio necesita inspeccionar el contenido del paquete, puede hacerlo mucho más rápidamente que si se encontrara con comunicaciones cifradas por primera vez. 

Además del escenario de descifrado, la "política" de seguridad es otra área en la que las cargas de trabajo comunes pueden realizarse una vez y luego ser compartidas y aprovechadas por múltiples microservicios. Todos los microservicios de Netskope utilizan el mismo motor de políticas y las búsquedas de políticas pueden reutilizarse en todos los servicios. Esto significa que las definiciones de seguridad son consistentes en todos los diferentes servicios de Netskope Security Cloud. En consecuencia, los CISO y sus profesionales de la seguridad no tienen que definir por separado, por ejemplo, el Reglamento General de Protección de Datos (RGPD/GDPR) o la política del sector de las tarjetas de pago (PCI) para el correo electrónico frente a la seguridad de los puntos finales, la web o el SaaS. Esta unificación y simplificación de la política, no sólo a través de una única consola administrativa que los clientes de Netskope realmente aprecian, sino también a un nivel inferior de microservicios que mejora aún más el rendimiento general del sistema. 

Este enfoque también ahorra que varios servicios repitan las mismas acciones. Por ejemplo, varios procesos de seguridad podrían requerir que la identidad del usuario que inició una solicitud web específica (con un paquete de red correspondiente) se coteje con una lista de perfiles de usuario. Esta información podría ser valiosa para definir las acciones de la política sobre el tráfico de este usuario, por ejemplo. Una vez completada esta búsqueda e identificado el usuario, esta información puede compartirse fácilmente con el resto de los microservicios de Netskope. El servicio DLP podría utilizar esa información para determinar cómo se clasifican los datos, por ejemplo, si son sensibles o no. Mientras que el servicio de protección contra amenazas podría referirse a este contexto de usuario en las decisiones de inspección de malware, por ejemplo, si se trata de un usuario de riesgo conocido. En cualquier caso, una vez determinada la identidad, ninguno de los dos microservicios tendría que repetir esta acción. 

Finalmente, al reutilizar las operaciones de alto nivel de esta manera (por ejemplo, descifrado, política, identificación del usuario), la arquitectura de paso único agiliza el procesamiento de paquetes de manera significativa y reduce la latencia de extremo a extremo de los microservicios. El efecto puede ser sustancial. En el caso de DLP, por ejemplo, este tipo de actividades puede constituir el 20% del tiempo total (y de los recursos) que consume este microservicio. La abstracción de microservicios de la arquitectura de Netskope, mientras que al mismo tiempo acopla libremente estos servicios, optimiza el procesamiento del tráfico hacia y desde la nube y minimiza el impacto de la seguridad en la experiencia del usuario final.

Consistencia de la política y visibilidad a nivel ejecutivo

La arquitectura de un solo paso de Netskope también permite que los eventos de seguridad generados a través de Gateway de seguridad web de nueva generación (NG-SWG), el agente de seguridad de acceso a la nube (CASB), DLP y otras ofertas de servicios de Netskope sean visibles a través de un único cuadro de mando de gestión y administración de incidentes. Desde la perspectiva del CISO, todos los microservicios de Netskope parecen funcionar como una solución integrada, gestionada a través de una consola. Esto permite a los departamentos de seguridad responder con mayor rapidez, estar al tanto de los incidentes de seguridad antes, desplegar políticas nuevas o actualizadas con mayor fluidez y cumplir con éxito la misión de seguridad. 

Los diversos servicios de Netskope Security Cloud (por ejemplo, NG-SWG, CASB, DLP) también utilizan el mismo lago de datos en la infraestructura de soporte y producen resultados normalizados que describen los eventos de seguridad en términos estándar. También permite a los clientes obtener información avanzada – como la identificación de comportamientos anómalos o la señalización de usuarios de riesgo – gracias al análisis del comportamiento de usuarios y entidades (UEBA) de Netskope, basado en el aprendizaje automático, que incluye la puntuación de la confianza de los usuarios y la correlación inteligente de eventos basada en los datos recopilados. Esto facilita al departamento de seguridad el reconocimiento de los problemas y reduce el esfuerzo necesario para extraer datos de los diferentes microservicios en el sistema corporativo de gestión de eventos e información de seguridad (SIEM). Los profesionales de la seguridad dedican menos tiempo a la limpieza manual de los datos y más a responder a los eventos que los diferentes microservicios de Netskope identifican. Esto es mucho más fácil y rápido que los enfoques tradicionales con múltiples productos, consolas, datos y formatos diferentes, etc.

En definitiva, la arquitectura de un solo paso de Netskope es atractiva tanto para los analistas y profesionales de la seguridad que viven en el complicado día a día de intentar proteger a la empresa y sus activos digitales más valiosos, como para los responsables de la red que intentan minimizar la latencia y el impacto general en la red. Además, este enfoque de un solo paso ofrece a los líderes y ejecutivos de alto nivel, incluyendo a los directivos, la visión "general" del estado de la infraestructura de la organización y la postura de seguridad a través de potentes y esclarecedoras vistas de cuadro de mando. 

Como líder de SASE, Netskope ofrece una seguridad holística en la nube y una protección de datos que, a través de su exclusiva arquitectura de un solo paso, optimiza simultáneamente la eficacia y la eficiencia de los servicios de seguridad, al tiempo que ofrece un rendimiento superior. Es un gran paso adelante para los líderes de las redes y la seguridad que buscan apoyar el paso de su organización a la nube y la transformación digital. Y es solo otro ejemplo de cómo Netskope está llevando a cabo su misión de ofrecer una seguridad de primera clase sin sacrificar la experiencia de usuarios.

author image
Acerca del autor
Krishna Narayanaswamy, fundador y CTO de Netskope, es un investigador de gran prestigio en inspección profunda de paquetes, seguridad y detección de anomalías de comportamiento con más de 25 años de experiencia en el sector. Dirige los esfuerzos de investigación de Netskope en materia de protección de datos y frente a amenazas y es un ponente frecuente en temas de liderazgo intelectual en materia de seguridad en las principales conferencias. Anteriormente, fundó Top Layer Networks y fue un distinguido ingeniero en Juniper Networks, donde lanzó productos de éxito al mercado. Es titular de más de 50 patentes que abarcan desde la seguridad hasta el procesamiento acelerado de paquetes y la clasificación de datos.
Krishna Narayanaswamy, fundador y CTO de Netskope, es un investigador de gran prestigio en inspección profunda de paquetes, seguridad y detección de anomalías de comportamiento con más de 25 años de experiencia en el sector. Dirige los esfuerzos de investigación de Netskope en materia de protección de datos y frente a amenazas y es un ponente frecuente en temas de liderazgo intelectual en materia de seguridad en las principales conferencias...