En esta tribuna, Juan de la Vara, Senior Manager Solution Architect Sur EMEA en Infoblox, analiza los retos y soluciones clave para garantizar la seguridad y continuidad de negocio en entornos híbridos y multicloud, haciendo énfasis en la importancia de una gestión unificada y proactiva.
Los nuevos entornos híbridos y multicloud han cambiado las reglas del juego. En los últimos años las organizaciones han ido integrando nuevos entornos de red: primero la nube, después sucursales, sitios remotos y teletrabajadores, y ahora varios proveedores de nube trabajando simultáneamente, dinámicas éstas que han generado entornos de red altamente complejos y difíciles de gestionar.
Cuando se empezaron a utilizar de forma masiva servicios de proveedores de cloud pública, muchas empresas utilizaban los servicios de DNS de estos proveedores mientras seguían utilizando otras soluciones on-premise simultáneamente, añadiendo con ello nuevas capas de complejidad. Ahora, con los nuevos entornos híbridos, la respuesta que cada organización ha dado hasta ahora a estos nuevos retos ha sido diversa.
Muchas organizaciones han optado por crear, dentro de su departamento de TI, equipos especializados en cada entorno, lo que resulta poco rentable y fuente de múltiples problemas. La gestión de múltiples entornos de DNS aislados incrementa los costes operativos y reduce agilidad, además de que la gestión no coordinada de direcciones IP en múltiples nubes públicas e infraestructura local crea conflictos de IP, lo que genera el riesgo de caídas de red, lo que pone en riesgo la continuidad del negocio.
Riesgos para la acontinuidad del negocio y nuevos retos en la gestión de red
Como ejemplo de lo anterior podemos poner un caso real. Una entidad bancaria norteamericana utilizaba soluciones DNS on-premise en sus CPD corporativos y servicios de DNS nativos ofrecidos por sus proveedores cloud. La compañía contaba con diferentes equipos de personal técnico para los distintos entornos, pero la falta de coordinación entre ellos hizo que se produjera un error en la asignación de direcciones IP que dejó sin servicio a la entidad durante varias horas.
La falta de una estrategia de gestión de redes global y coordinada para todos los entornos de red puede causar problemas graves que pongan en riesgo la continuidad del negocio. Es necesario un nuevo enfoque en la gestión de servicios críticos de red para poder integrar estos nuevos entornos de red, aumentar la colaboración y el intercambio de información entre los equipos de TI, avanzar en automatización, acelerar la implementación de aplicaciones y simplificar las operaciones. La solución, hacer que NetOps, SecOps y CloudOps colaboren de forma más integrada a través de una gestión unificada de servicios del núcleo de red.
Hacia un enfoque proactivo/predictivo de la ciberseguridad
Uno de los problemas añadidos de la incorporación de entornos híbridos y multicloud es la falta de visibilidad unificada sobre toda la infraestructura de TI. Estos problemas van desde la existencia de activos de TI “zombi”, que además de generar cargas de trabajo y tráfico espurio pueden representar riesgos de seguridad, hasta la incapacidad para dar una respuesta ágil y automatizada ante posibles brechas de seguridad.
Para superar este desafío es fundamental que las operaciones de red y seguridad (NetOps, SecOps y CloudOps) se coordinen a través de una gestión unificada de servicios críticos de red. Durante años los departamentos de red y seguridad han trabajado con muy poca coordinación, pero sin una operación coordinada de los servicios de red y seguridad, es imposible conseguir una postura de seguridad sólida para toda la organización.
La gestión segura de los servicios DDI (DNS, DHCP e IP) es una herramienta muy potente para lograrlo, ya que aporta información contextual para entender qué están haciendo los dispositivos conectados a red en cada momento, además de ayudar a implementar una estrategia de ciberseguridad proactiva/preventiva en lugar de meramente reactiva. En efecto, la mayoría de los proveedores de seguridad se centran en herramientas reactivas que empiezan a actuar una vez que se ha producido la brecha de seguridad, con el objetivo de reducir al mínimo los daños. Esto es necesario, por supuesto, pero se puede mejorar si se complementa con un enfoque proactivo en el otro extremo, actuando en dos frentes: por un lado aumentando la visibilidad sobre toda la infraestructura y activos de TI conectados a la red, para una mejor orquestación de todo el conjunto de seguridad, y por otro identificando sitios potencialmente peligrosos a través del análisis del comportamiento malicioso en el tráfico DNS.
En este punto, la Inteligencia Artificial es un potente aliado. A nivel de seguridad DNS se puede utilizar la IA para automatizar el descubrimiento de dominios maliciosos. Se puede emplear esta tecnología para obtener conocimiento práctico de lo que pasa en la red y detectar patrones de comportamiento en red potencialmente peligrosos, y proporcionar alertas más precisas a los responsables de ciberseguridad que podrán así ahorrar un tiempo y recursos preciosos.
Por otro lado, combinando Inteligencia Artificial y análisis de tráfico DNS se mejora la visibilidad sobre los diferentes elementos de red, analizando su comportamiento y categorizando esos elementos. Por ejemplo, es posible detectar sistemas “zombi”, dispositivos conectados a red pero inactivos, a partir de sus patrones de comunicación con el servidor DNS, o la detección de dominios no asociados a ningún servidor y si cumplen o no con las políticas de compliance de la organización.
