Una jornada segura hacia la red WAN definida por software

Hubo un tiempo en que los flujos desde y hacia las organizaciones eran más o menos predecibles. Con la progresiva digitalización de los negocios, la irrupción de las nubes públicas dentro del pool de recursos de esas organizaciones, el software como servicio (SaaS) y la necesidad de movilidad, es necesario contar con una nueva clase de red de área amplia (WAN). Las SD WAN (redes WAN definidas por software) proponen una arquitectura superadora de la WAN tradicional, pero esto plantea algunos desafíos de seguridad.  

Las WAN tradicionales tienen dificultades para seguirle el ritmo a las demandas del negocio, porque dependen de una infraestructura estática e inflexible, debido a la dependencia del hardware que necesita reconfigurarse para cualquier cambio. Hernando Castiglioni, gerente de Ingeniería de Fortinet Argentina, explica que una red SD WAN habilita un control automatizado y centralizado de la red, simplificando la gestión de un universo de enlaces de distintos proveedores y basados en tecnologías dispares. Resumidas cuentas, la lógica del tráfico se establece centralizadamente vía software y se ejecuta de manera automatizada según el contexto. Así, las áreas de tecnología se liberan de gestionar el tráfico sobre todos esos enlaces, y pueden poner mucho más foco en el negocio.

A diferencia de las arquitecturas WAN tradicionales, las nuevas redes de área amplia definidas por software pueden distribuir dinámicamente el tráfico en múltiples ubicaciones, mientras responden automáticamente a las cambiantes políticas de las aplicaciones. Las SD WAN también son independientes del transporte y del operador, lo que significa que la costosa conmutación multiprotocolo de etiquetas (MPLS, por sus siglas en inglés) puede reemplazarse por conexiones más eficientes en costo (por ejemplo, Internet y LTE). Eso permite funciones con ahorro de tiempo y dinero a través de un enrutado inteligente.

¿Quiénes deberían pensar en SD WANs? Para Castiglioni, “tanto empresas tradicionales como carriers pueden utilizar este tipo de soluciones. Sin embargo, las empresas descentralizadas le sacan mayor provecho, ya que tienen la problemática de contar con múltiples enlaces de diferentes calidades y proveedores. Son ellos los que realmente obtienen valor y retorno inmediato, porque es una problemática que viven en el día a día”.

Según el ejecutivo, en los últimos años las SD WAN han crecido considerablemente. “Es una tecnología que nos han solicitado muchas veces, y ha despertado interés incluso sin conocerla en profundidad. La realidad es que la gran mayoría de los clientes con los que trabajamos tiene interés en este tipo de cosas porque las aprovechan muchísimo”.

LA SEGURIDAD: UNA PARTE FUNDAMENTAL DE LAS SD WAN

Con negocios cada vez más conectados directamente a Internet y el aumento de malware en el tráfico cifrado, es importante contar con seguridad de red avanzada, junto con las capacidades de SD WAN. Los cambios en la infraestructura hacia redes SD WAN tienen enormes implicaciones positivas para la seguridad. Las amenazas cibernéticas están aumentando tanto en volumen como en sofisticación y estamos viendo un aumento dramático en ransomware, ataques más avanzados y crecientes ataques de IPS por minuto.

Por otra parte, además de los vectores de ataque tradicionales, los ciberdelincuentes se están enfocando cada vez más en nuevos paradigmas de redes distribuidas. Por ejemplo, el acceso directo a Internet de las aplicaciones SaaS, especialmente cuando los dispositivos están fuera de la red, han hecho que la implementación de nuevas estrategias de seguridad diseñadas para la empresa distribuida sea muy crítica. Las soluciones de seguridad tradicionales tienden a ubicarse en un solo sitio en el perímetro, pero a medida que el perímetro desaparece, la seguridad debe poder proteger las conexiones desde cualquier dispositivo en cualquier ubicación, ver y adaptarse automáticamente a la cambiante infraestructura a demanda.

Al mismo tiempo, el tráfico encriptado a través de la red distribuida (cerca del 50% del tráfico total está encriptado, con expertos que pronostican que pronto aumentará a 80%), junto con el malware dirigido al tráfico SSL está aumentando. Lo que significa que la necesidad de una inspección SSL en tiempo real, sin ralentizar el tráfico crítico para la empresa, es fundamental.

En las soluciones de Fortinet, por ejemplo, las capacidades de SD WAN están embebidas en todos los firewalls de nueva generación. “Contamos con una muy buena solución que forma parte del entrelazado de seguridad que ofrecemos como marca, y permite tener una gran granularidad y desempeño sin afectar la seguridad de la red. Esto es absolutamente importante cuando uno piensa en el flujo de tráfico entre diferentes enlaces”, remarca Castiglioni.

La solución propuesta con Fortigate se fundamenta en 10 pilares hacia el éxito de un proyecto SD WAN:

  1. Rendimiento: Gracias a los SPU (procesamiento hardware), Fortinet puede ofrecer un gran rendimiento a todo tipo de sedes realizando tareas de red, seguridad, sandboxing e inspección SSL.
  2. Balanceo de todo tipo de líneas: Fortigate permite configurar todos sus puertos como líneas WAN y crear múltiples túneles IPSec en cada una. Además, permite conectar directamente módems 3G/4G para conectar redes de backup o adicionales.
  3. Balanceo inteligente por App: Fortigate puede balancear tráfico de Internet, aplicaciones SaaS y aplicaciones corporativas de forma inteligente mediante umbrales de latencia, jitter, ancho de banda disponible… para asegurar que la VoIP o videoconferencia y las aplicaciones críticas siempre vayan por la línea óptima en cada momento.
  4. VPN Inteligente: Fortigate dispone de ADVPN (*) para realizar túneles IPSec automáticos entre sedes. Esto permite optimizar las redes SD WAN, crear caminos de baja latencia y mantener todas las ventajas de una red unificada bajo entorno IPSec centralizado, especialmente interesante en entornos internacionales.
  5. Seguridad UTM: El propio equipo Fortigate procesa el tráfico a nivel 7 para realizar Antivirus, Sandboxing, Filtrado web, Ctrl App, IPS con inspección SSL con gestión y logs centralizados.
  6. Single pane of glass: Gracias a FortiManager, se puede gestionar todo el entorno SD WAN desde un único punto, pudiendo controlar los túneles IPSec, el estado de todas las líneas, amenazas, incidencias de red… Además ofrece una completa visibilidad en tiempo real e informes personalizados desde un único punto central.
  7. Branch Office in a box: Con FortiGate, a diferencia de otras opciones del mercado, no se necesitan equipos adicionales para dar servicio a una oficina remota. El diseño propuesto por Fortinet para los proyectos de SD WAN se basa en equipos físicos con 2 VDOMs que dividen las tareas: a) VDOM SD WAN y red: Gestiona VLANS, routing dinámico, IPSec, QoS, ADVPN, DNS, DHCP y conectividad WiFi; y b) VDOM Seguridad L7: Gestiona IPS, AppCtrl, firewall L4, AV, Sandboxing, Filtrado web, autenticación con AD y Gestión.
  8. Despliegue HA y zero-touch: Gracias a la solución de una única caja, Fortinet puede ofrecer un despliegue zero-touch real. Nada más sacar el equipo de la caja y conectarlo a cualquier conexión a Internet, incluso una ADSL doméstica, el Fortigate realiza una llamada a la nube de Fortinet y se redirige a la gestión centralizada de cada cliente para que se configure de forma remota. Los despliegues en HA al ser solo dos equipos, son sencillos de realizar y no se necesitan complejos diseños ni múltiples soportes.
  9. Fortinet como partner global: Gracias a la presencia técnica y de soporte de Fortinet a nivel global, cualquier proyecto puede afrontarse con el mayor compromiso de soporte, asistencia y uso de FortiGuard, el big-data de seguridad de Fortinet.
  10. Fortinet Security Fabric: Los equipos Fortigate que realizan las funciones SD WAN son ampliamente conocidos por técnicos de todo el mundo y se integran dentro de la filosofía Security Fabric: una solución de seguridad cooperativa compartiendo información de amenazas zero-day entre todos los elementos de la red. Para ello, una pieza clave son las API de integración con las que es posible la integración con cualquier Orquestador (Nuage, HP, OpenStack…) y con los Partners Fortinet Fabric-Ready.

Por otra parte, en Fortinet, solo se licencian las actualizaciones de Fortiguard, por lo que muchos de los servicios SD WAN se puede usar sin ningún tipo de licencia, como son:

  • Routing estático y dinámico y NAT avanzado.
  • VPN IPSec y ADVPN (*)
  • VPN SSL en modo portal y túnel con cliente FortiClient.
  • QoS (Entrada y Salida).
  • Firewall L4.
  • Inspección de tráfico SSL.
  • Optimización WAN.
  • WiFi integrada o gestión de APs externos.
  • Soporte directo de modems USB 3G/4G.
  • Servidor DNS y DHCP.
  • Balanceo inteligente de líneas.
  • VDOMs (5 ó 10 VDOMs por defecto según modelo de FortiGate).
  • Tokens para 2FA (2 tokens gratuitos por equipo).

 

Etiquetas
Mostrar más
Alejandro Alonso

Alejandro Alonso

Periodista especializado en ciencia y tecnología. Trabajó en publicaciones como Banqueros & Empresarios, Telecomunicaciones & Negocios, Customer Service, Prensa Económica, Computerworld, e Insider, entre otras.

Lee también

Close