IoT en el mundo de las redes empresariales
¿Es posible hacer converger las redes de dispositivos de IoT (domótica, smart building, sensores, abrepuertas, cámaras…) con las redes de datos locales? ¿Qué barreras y desafíos hay? ITSitio.com habló con especialistas de Axis Communications, Ruckus Networks (CommScope), Fortinet y Nexxt Solutions Infrastructure, a fin de entender las implicancias y los posibles negocios que hay detrás de estas preguntas.
Mucho se habla del aprovechamiento de toda la información generada por una organización: la inteligencia de negocios aplicada no sólo a los datos empresariales sino también a los que generan los dispositivos conectados, y la posterior destilación de insights para la gestión y el liderazgo. Tiene sentido pensar en que los sistemas deberían tener acceso a toda esa información variopinta, pero cuando todo esto se analiza del lado de la infraestructura de conectividad, el panorama se vuelve más complejo.
Y es que, hasta no hace mucho, las cámaras de seguridad tenían su propia infraestructura, los sensores industriales enviaban sus datos a través de redes de OT y los datos de los sistemas empresariales viajaban por las redes de área local o por las WAN, manteniendo con el resto de las infraestructuras una insuperable “brecha de aire” (air gap). Y si bien es un hecho el que los dispositivos (cámaras, sensores, accionadores, alarmas) rápidamente se adaptaron al Protocolo de Internet, la realidad es que no todas las redes estaban preparadas para la IoT, sobre todo en lo referente al desempeño de esas redes y a la ciberseguridad… Pero eso esta cambiando.
Una alianza para marcar el camino
A mediados de julio, HPE Aruba y Axis Communications (no confundir con Axis Security, adquirida por HPE en marzo pasado) acordaron la implementación de estándares de seguridad automatizados para la interacción de las redes del primero con los equipos conectados a la red del segundo. Más allá de las ventajas, simplificaciones y ahorros que esta alianza genera, el mensaje para los partners y los clientes es claro. Redes separadas pudieron haber sido aceptables en el pasado, pero ya no. Y menos aun cuando se tiene en cuenta que asegurar esas infraestructuras por separado (en términos de software, equipos, personal especializado, servicios de nube) es costoso.
Para Luis Enrique Bonilla, gerente de Desarrollo de Negocios e Ingeniería para Latinoamérica de Axis Communications, la tendencia es “utilizar la misma infraestructura física de las redes corporativas y empresariales”, debidamente segmentadas y administradas, para cursar por estas autopistas ya desplegadas también los datos de los dispositivos IoT. “Hoy en día hablamos no sólo de IoT, sino de Internet of Everything”, asegura Bonilla; y esto implica que cualquier dispositivo que pueda compartir datos y los sistemas que pueden sacar provecho de ellos están sobre la misma infraestructura, “pero lo más importante y lo más desafiante es hacerlo de manera eficiente para que no impacte sobre el desempeño de las redes corporativas y, adicionalmente, de manera cibersegura para que estos elementos no sean el eslabón vulnerable de la cadena”.
“Algo muy importante que se desarrolló en esta alianza de Axis y Aruba”, comenta Bonilla, “es poder, de manera eficiente, intuitiva y fácil, autenticar los dispositivos Axis en las redes corporativas de Aruba. Lo que busca es que la configuración del aprovisionamiento de los dispositivos Axis se haga de manera mucho más eficiente y segura, utilizando estándares y protocolos de seguridad modernos como IEEE 802.1X y el IEEE 802.1AR”.
En la práctica, durante el proceso de fabricación, cada dispositivo Axis recibe un ID de dispositivo Axis compatible con IEEE 802.1AR, es decir, un identificador de dispositivo seguro (DevID). Estos DevID proporcionan las credenciales de autenticación del dispositivo a la red. Los ID de dispositivos Axis no se pueden falsificar ni transferir, y se almacenan en un módulo informático criptográfico de hardware protegido contra manipulaciones, denominado Axis Edge Vault. La bóveda también protege contra el sondeo, una ventaja importante ya que los dispositivos pueden estar instalados en lugares desatendidos durante largos periodos de tiempo. Del lado de la red, el Aruba ClearPass Policy Manager puede acceder a esa información y verificar que la identidad del dispositivo Axis sea la real y que no hay suplantación.
“Es un requerimiento del negocio”
Para Hernán Müller, arquitecto de Soluciones para Fortinet Sudamérica Este, “la convergencia de las redes de dispositivos IoT y redes tradicionales de forma segura es posible y se ha vuelto un requerimiento, cada vez más común, del negocio que necesita obtener información en tiempo real para compartir inteligencia y tomar decisiones. Piensen en un abre puerta en un retail contando el flujo de personas que entran y salen de un sitio o de un sensor en un silo midiendo la humedad de los granos que almacena, esa información es valiosa para el negocio e integrarla con sistemas de analítica (red IT) es muy beneficioso”.
Históricamente, plantea Müller, han existido redes aisladas (air-gap) donde “dispositivos IoT eran conectados, operando en estas redes cerradas por años, sin gestión y sin actualizaciones de sus reducidos sistemas operativos. La convergencia de las redes plantea un desafío de seguridad comenzando por el control de acceso a la red (NAC) y el perfilamiento de los dispositivos que se conectan, luego el control del tráfico de red que generan y reciben estos dispositivos, manteniendo el mismo nivel de seguridad de una red air-gapped, y teniendo en cuenta que podremos encontrarnos con protocolos muy diferentes a los de redes IT; todo esto sin poder instalar ningún componente de software en estos dispositivos IoT debido al reducido sistema operativo y poder de cómputo que generalmente presentan”.
Para resolver este desafío, es clave un diseño de red que permita la convergencia segura de estas redes. “El modelo de Purdue, es un modelo conceptual adoptado por la industria para la segmentación de las redes de sistemas de control industrial (ICS). Este modelo puede ser adoptado para establecer una arquitectura de convergencia entre redes OT/IoT con redes IT de forma segura y consistente que integre componentes de seguridad de la información de forma nativa y no como un agregado externo al modelo. La segmentación y el control del tráfico entre los distintos niveles propuestos por este modelo son sólo las bases para realizar una convergencia segura”, comenta el arquitecto regional de Soluciones.
“Desde Fortinet tenemos disponibles para nuestros partners diversos entrenamientos específicos para entornos OT/IT, junto con las certificaciones de las plataformas utilizadas para brindar protección en dichos entornos. Puntualizando en la arquitectura de ciberseguridad, en nuestro ecosistema Fortinet Security Fabric, no sólo podemos integrar soluciones de control de acceso a la red (FortiNAC) y plataformas de seguridad de red avanzada (FortiGate y FortiGate Rugged para ambientes industriales); sino que además contamos con tecnologías de Detección y Respuesta de Red (FortiNDR) para analizar el comportamiento del tráfico en las redes IoT sin necesidad de instalar agentes y plataformas para engañar a los atacantes (FortiDeceptor) desplegando señuelos específicos de IoT en estas redes para realizar inteligencia del adversario”, anuncia Müller.
Infraestructura convergente y modular
“IoT es esencial para funciones críticas del funcionamiento de una empresa, como la automatización, la seguridad física, la supervisión de la ocupación, el impacto medioambiental y muchas más. Cuando se implementa con éxito, tiene un gran impacto en la eficiencia de la empresa, el cumplimiento del nivel de servicio y la responsabilidad medioambiental. Los proveedores de soluciones IoT desarrollan silos de infraestructura patentados e integrados verticalmente que a menudo abordan un único problema, pero que no se integran fácilmente con otros silos y ofrecen oportunidades limitadas para la reutilización de la infraestructura”, resume Moisés Montaño, Senior Director Regional Sales, RUCKUS Networks (CommScope).
“Para evitar despliegues de IoT que requieran una infraestructura de red redundante, aparatos de seguridad adicionales y amplios servicios de integración, las empresas deben buscar una solución convergente que permita utilizar la infraestructura de red de datos como punto de convergencia, lo que reducirá el gasto en infraestructura y conectará puntos finales de IoT Wi-Fi y no Wi-Fi con una única red de acceso inalámbrico multiestándar”, agrega.
RUCKUS IoT Suite es un conjunto de componentes de infraestructura de hardware y software de red que permite a las organizaciones construir una red de acceso IoT segura que resuelva los problemas inherentes a los despliegues de IoT empresariales, es decir, crear una red de acceso IoT convergente y multiestándar. “RUCKUS IoT Suite consolida varias redes IoT de capa física en una única red, lo que permite a las organizaciones obtener beneficios más rápidamente de las inversiones en IoT”,
Redes preparadas, según Ruckus
¿De qué manera deben prepararse las redes empresariales (típicamente configuradas para cierto tipo de tráfico de datos) para albergar la creciente panoplia de dispositivos IoT? Montaño explica que, desde el punto de vista de la red de datos donde convergerán los distintos dispositivos y sistemas, las empresas deben tener en cuenta distintos factores:
- Sensores y dispositivos compatibles con protocolos de comunicación IoT estándar, siendo los más comunes Zigbee y BLE.
- Elementos de red con radios IoT integradas, idealmente puntos de acceso Wi-Fi, para establecer un único acceso inalámbrico multiestándar para puntos finales IoT Wi-Fi y no Wi-Fi.
- Asegurarse de que la solución cuenta con seguridad basada en estándares entre cada componente de la IoT Suite para proteger los datos en tránsito y las protecciones contra ataques físicos.
- La seguridad debe tener en cuenta los certificados digitales, el aislamiento del tráfico, la seguridad física y el cifrado.
- Una solución que realice funciones de conectividad, gestión de dispositivos y seguridad para dispositivos Wi-Fi y no Wi-Fi, así como que permita la coordinación de la gestión de puntos finales dispares y API para la integración hacia el futuro con software de análisis y servicios IoT en la nube.
“Al aprovechar y ampliar la infraestructura de red existente con compatibilidad con estándares multirradio y seguridad IoT multicapa, RUCKUS IoT Suite puede dar respuesta a diversos requisitos de IoT, lo que permite a las organizaciones obtener beneficios más rápidamente de las inversiones en IoT”, finaliza el ejecutivo.
Consolidación, el nombre del juego
Para Paula Aguilera, Pre Sales Engineer LATAM & Caribbean Nexxt Solutions Infrastructure, “con la evolución de las aplicaciones de baja potencia se ha permitido la consolidación de los sistemas de infraestructura en una misma plataforma convergente, en conjunto con los demás. La integración brinda múltiples beneficios encaminados a la eficiencia de la administración conjunta de todos los sistemas. Una de las principales ventajas es como de una gran cantidad de medios de transmisión podemos consolidarlo en un único medio que es el cable de par trenzado de 4 pares; adicionalmente, también se logran implementaciones más rápidas que disminuyen costos de mano de obra, de canalizaciones, entre otros. También está encaminado a soportar iniciativas “verdes” que aprovechan el uso de los recursos más eficientemente”.
Para obtener todos estos beneficios, agrega Aguilera, “es indispensable contar con una infraestructura de cableado estructurado lo suficientemente preparada para soportar aplicaciones presentes y futuras, en un ambiente de múltiples proveedores, garantizando una ruta de migración de velocidad que vaya incrementando y componentes de alto desempeño para lidiar con los incrementos de temperatura, que garanticen el buen funcionamiento en aplicaciones de alimentación remota. De esta forma, el cableado estructurado se convierte en una inversión, que ya hace parte de las edificaciones, permitiendo soportar una amplia gama de aplicaciones por un ciclo de vida cada vez mayor”.
“Todos los partners de infraestructura de TI deben tener como compromiso el aprendizaje y actualización continuos de los estándares internacionales vigentes, que nos dan pautas de los requisitos a tener en cuenta para lograr el buen funcionamiento de las redes. De igual forma, poder transmitir de forma clara y concisa el mensaje al usuario final de cómo los sistemas de cableado estructurado hoy por hoy cobran mayor relevancia, convirtiéndose en aliados estratégicos de las nuevas tecnologías porque son la plataforma base de la convergencia; haciendo visible la importancia innegable de la infraestructura dentro de un proyecto de TI. Se abre el camino a que los clientes se concienticen de que una óptima selección de cableado estructurado se convierte en una inversión que garantiza un ciclo de vida útil tecnológico de por lo menos diez años y garantiza el funcionamiento de las aplicaciones que convergen a este sistema”, describe Aguilera.
Respecto al tema de redes convergentes, añade, “es importante que el cableado estructurado se desarrolle de acuerdo con las necesidades, teniendo en cuenta anchos de banda y aplicaciones presentes y futuras. También es indispensable elegir un fabricante que maneje soluciones completas que cumplan al 100% con los estándares internacionales vigentes y que todo su portafolio de productos sea sometido a exhaustivas pruebas hechas por laboratorios independientes que acrediten su desempeño. Vale la pena señalar que como fabricantes desarrollamos la mitad del trabajo, la otra mitad la desarrollan los canales de integración que, siguiendo todas las buenas prácticas de instalación, puedan garantizar que la red va a operar de forma óptima. Por eso es tan importante que puedan capacitarse de forma permanente y, precisamente, uno de nuestros más grandes compromisos como Nexxt Infraestructura es brindar a todos nuestros clientes capacitaciones y certificaciones que tienen como objetivo desarrollar las habilidades y el conocimiento técnico necesario para comercializar, diseñar, supervisar, instalar e integrar soluciones de infraestructura en redes de cableado estructurado en sistemas de cobre bajo los parámetros establecidos”.
