¿Es necesario sacrificar rendimiento para tener seguridad en la nube?
- Opinión
La Internet pública es excelente para muchas cosas, desde navegar por sitios web hasta ver vídeos en tiempo real, pero no fue diseñada para ofrecer un rendimiento rápido, confiable y consistente, dice Jason Hofmann, Vicepresidente de Arquitectura y Servicios de Plataforma de Netskope.
Desde hace mucho tiempo hemos tenido que encontrar un compromiso entre seguridad y rendimiento, y normalmente la seguridad es la que sale peor parada. Todas las organizaciones demandan alta velocidad en el acceso a los recursos online, tanto para sus empleados como para sus clientes, y ralentizar este acceso no es aceptable para nadie.
Mientras que los departamentos de red se centran en el rendimiento y la disponibilidad, los de seguridad se encargan de gestionar los riesgos relacionados con las fugas y filtraciones de los datos. Estos dos objetivos han estado tradicionalmente en desacuerdo, dado el impacto que la implantación de la seguridad puede tener en el rendimiento. En su mayor parte, la experiencia de los usuarios y, en última instancia, la velocidad de los procesos de negocio tiende a ser una prioridad mayor que la seguridad. Esta regla no escrita obliga a los departamentos de seguridad a limitar drásticamente el alcance de sus controles de protección a métodos que no afecten al rendimiento. Esto va desde desactivar el descifrado SSL hasta renunciar por completo a la seguridad en línea y centrarse en métodos de despliegue menos intrusivos y fuera de banda. El resultado es un rendimiento a expensas de la seguridad y, con el aumento de las filtraciones de datos, un riesgo adicional para el negocio.
Latencia vs. rendimiento
La Internet pública es excelente para muchas cosas, desde navegar por sitios web hasta ver vídeos en tiempo real, pero no fue diseñada para ofrecer un rendimiento rápido, confiable y consistente. Internet está compuesta por miles de redes que se interconectan sin ningún tipo de SLAs de rendimiento, y no tiene ninguna noción de gestión de la capacidad. Esto es aceptable para la mayor parte de las aplicaciones de uso diario y personal, pero no para los procesos de negocio de la mayoría de las organizaciones.
El problema comienza con la latencia de la red, o el "tiempo de ida y vuelta" de un paquete de datos, que todo profesional de redes sabe que tiene un efecto directo en la velocidad que perciben los usuarios que acceden a los recursos a través de una red. No importa si se trata de Office 365 o Salesforce.com, la realidad es que un rendimiento deficiente equivale a una experiencia de usuario imperfecta y la red es siempre la primera a la que se culpa. Digamos que la latencia es el asesino del rendimiento de red.
La ubicación geográfica del usuario es solo un componente del desafío de la latencia. El problema de la latencia empeora cuando se introducen factores adicionales. Estos incluyen la congestión de la red, el enrutamiento por deflexión y el retorno de tráfico creando bucles (tromboning, hairpinning). La congestión de la red puede provocar la acumulación de retrasos, pérdida de paquetes y la caída de nuevas conexiones.
El enrutamiento por deflexión es la práctica de pasar el tráfico a otro sistema autónomo lo más rápidamente posible. El enrutamiento por deflexión es el comportamiento normal de la mayoría de los pactos de peering de libre acuerdo y tiene el efecto de que la red que recibe los datos soporta el costo de transportarlos entre ciudades. El resultado es un ahorro de costes para el operador, pero a expensas de perder el control sobre el enrutamiento de la red.
El efecto de retorno de tráfico (tromboning) ocurre cuando una organización distribuida se ve obligada a utilizar un solo punto de salida a Internet, y viceversa. Por ejemplo, el tráfico de la red desde lugares remotos y los usuarios móviles se retroalimenta al centro de datos de la empresa antes de salir a Internet a través de un firewall. Es como si quisiéramos viajar con nuestro vehículo desde Madrid a París y, cada vez que emprendiéramos el viaje, tuviéramos que pasar por Cádiz (y lo mismo para volver…).Todos estos factores contribuyen a aumentar la latencia.
Seguridad sin compromiso
Hoy en día ya hay proveedores de seguridad en la nube que tienen una infraestructura de red global, que permite a las plataformas de seguridad nativas en la nube ofrecer seguridad en tiempo real sin el tradicional compromiso entre seguridad y rendimiento.
Estas infraestructuras cuentan con POP (Puntos de Presencia) distribuidos globalmente. Acercarse a los lugares donde se encuentran los usuarios es el primer paso para abordar los problemas de latencia.
Estos POPs se ubican en centros de datos y se conectan a las principales redes comerciales y de consumo, a los proveedores de servicios en la nube más importantes, a los intercambiadores de datos privados y a los proveedores de aplicaciones SaaS. Gracias a ellos, el tráfico se enruta por el camino más rápido a la nube de seguridad y a la aplicación en la nube o el sitio web al que se accede. Además, estos POP están optimizados para superar los efectos del control de la congestión TCP y las ineficiencias de las rutas, e incorporan tolerancia a fallos automática.
Pero, además, la propia seguridad puede tener impacto en la experiencia del usuario.
Un enfoque integral de la seguridad en la nube implica el empleo de métodos tanto fuera de la banda como en línea, en tiempo real. Es necesario hacer un despliegue en línea para proporcionar una seguridad en tiempo real que sea proactiva para todo el tráfico al que acceden los usuarios, ya sean recursos de la nube, acceso general a la web o acceso de confianza cero a aplicaciones privadas alojadas en la nube o en el centro de datos corporativo. Todo ello sin afectar a la experiencia final de usuario.
En definitiva, hoy en día no tenemos por qué renunciar al rendimiento para tener un alto nivel de seguridad en la nube.
Jason Hofmann, Vicepresidente de Arquitectura y Servicios de Plataforma de Netskope