En estos días todo aquello “definido por software” -redes, almacenamiento, centros de datos- está copando la atención. La seguridad no es la excepción. La seguridad definida por software (SDS, por sus siglas en inglés) es un modelo emergente en el cual la seguridad de la información se despliega, controla y administra mediante software.
Con la SDS, los controles de seguridad como la segmentación de la red, la detección de intrusos y el control del acceso son automatizados y monitoreados mediante software.
La firma de investigación Gartner, que afirmó que la SDS es una de las 10 tecnologías más importantes de la seguridad TI en el 2014, afirma que el impacto de la SDS sobre la seguridad será transformador. “La seguridad definida por software no significa que el hardware de seguridad dedicado ya no es necesario, sí lo es”, sostiene la firma. “Sin embargo, al igual que en el networking definido por software, el valor y la inteligencia se trasladan al software”.
Los proveedores del mercado están utilizando el término “seguridad definida por software” de varias formas. Y debido a que el mercado de SDS es relativamente nuevo, las investigaciones de mercado y el análisis sobre el tema son algo escasos. Pero dados los grandes movimientos hacia los ambientes de TI virtualizados en años recientes, tiene sentido que la seguridad definida en gran medida por el software sea un desarrollo natural.
La SDS está permitiendo que los ambientes de seguridad sean más simples al separar la red de la seguridad, señala Richard Sillito, arquitecto de soluciones en seguridad TI de WestJet. La compañía ha lanzado una gran actualización de la seguridad de la información que incluye la adopción de la SDS, la cual ayudará a pasar a una mayor automatización y con el tiempo a un autoservicio, sostiene Sillito.
WestJet ha desplegado la plataforma de virtualización y seguridad de red NSX de VMware en uno de sus centros de datos, y se encuentra en el proceso de implementar su primera aplicación para esta infraestructura, afirma Sillito.
“Nuestros equipos están conociendo la API asociada con NSX y cómo pueden automatizar las actividades como crear switches lógicos, construir grupos de seguridad, aplicar políticas de seguridad, etcétera”, indica Sillito. El equipo está utilizando herramientas plugin en preparación para crear flujos de trabajo orquestados que simularán sus actuales procesos manuales, afirma.
“Para la seguridad, esto significa que la configuración se convertirán en parte de un flujo de trabajo orquestado, asegurando que la seguridad no se pierda en medio de toda la producción”, afirma Sillito. Con el tiempo, el equipo usará otras herramientas para publicar servicios, como un paso inicial hacia el autoservicio.
“La SDS nos permite separar la red de la seguridad”, añade Sillito. “Ya no tenemos que rutear los paquetes hacia un firewall. El filtrado se aplica al tráfico cuando se mueve por la red overlay. Esto significa que ya no es necesario comprar firewalls e instalarlos en varios lugares dentro del centro de datos”.
Menos conexiones significa menos dependencia, indica Sillito, lo cual significa menos cambios y menores costos. “La simplicidad también se traduce en automatización; mientras más sencillas sean las cosas más fáciles serán de automatizar”, indica.
Cualquier cosa que ayude a simplificar los ambientes y la seguridad de TI es un beneficio en la actualidad.
“Nuestros ambientes de computación se han hecho muy complejos y la tendencia hacia el uso de dispositivos de mano inteligentes conversando con backends altamente distribuidos probablemente incrementen la complejidad”, sostiene Dan Kusnetzky, analista distinguido y fundador de Kusnetzky Group LLC.
“Con tantas partes que se mueven, las organizaciones deben tener formas de asegurar fácilmente el acceso a todos los componentes, incluso si se encuentran virtualizados y transitando de un host a otro, o de un centro de datos a otro”, señala Kusnetzky. Los viejos enfoques a la seguridad requerían que todos los componentes sean estacionarios. Las herramientas de seguridad de la actualidad deben ser tan ágiles como los ambientes de cómputo de hoy”.
Redes más “confiables”
La SDS ayudará a habilitar lo que Forrester Research ha estado llamando la seguridad “cero confianza”. La lógica detrás de este enfoque es que las organizaciones vean el tráfico interno de la red como inherentemente no confiable, y necesitan monitorear de cerca todo el tráfico tanto dentro como fuera de la empresa. Hace un llamado a que las compañías usen tecnología para inspeccionar todo el tráfico de red, señala John Kindervag, vicepresidente y analista principal de Forrester.
La “cero confianza” es necesaria ya que los actuales enfoques basados en la confianza no funcionan, señala Forrester, y las organizaciones necesitan liberarse de la idea de que la red interna puede ser confiable y la externa no.
La SDS “es una tecnología que nos permite crear o desplegar redes cero confianza de manera más fácil”, sostiene Kindervag. “Usando el software [que administra la seguridad dentro de la organización] uno puede establecer micro configuraciones de seguridad y micro parámetros para la red. Hace que definir las políticas de seguridad sea más sencillo. La red es entonces más ágil y más segura al mismo tiempo”.
Además de la agilidad, la SDS puede hacer que sea más sencillo integrar más de una red. “Uno puede tener estos otros conceptos basados en el software como las API, de tal forma que se pueda tener dos sistemas separados que puedan conversar e integrarse más fácilmente”, afirma Kindervag.
CERRAR LAS BRECHAS DE SEGURIDAD
Un ambiente de seguridad definida por software permite que las organizaciones de seguridad cierren las brechas en sus actuales productos, mientras que al mismo tiempo enlazan los controles de seguridad de forma más directa con la infraestructura, especialmente en momentos en que crece la dependencia de la computación en la nube, sostiene Rich Mogull, analista y CEO de Securosis, una firma de investigación de seguridad independiente.
“Por ejemplo, uno puede casi instantáneamente identificar todos los servidores no administrados, y luego automáticamente ponerlos en cuarentena, identificar al propietario del servidor, iniciar su software de administración, o tomar alguna otra acción que sus herramientas y plataformas soporten vía API”, sostiene Mogull.
Esto permite la creación de flujos de trabajo de seguridad que pueden reducir considerablemente los esfuerzos manuales y los costos operativos, mientras que al mismo tiempo ayudan a la seguridad a mejorar la agilidad para satisfacer las necesidades de las nuevas iniciativas de negocio, asevera Mogull. “Puede sonar hueco, pero existen ejemplos prácticos y reales que no son simples falsas promesas de vendedor”, indica. “Especialmente ya que la mayoría de los proveedores no tienen idea de cómo nada de esto funciona; vemos que la innovación está ocurriendo en las propias organizaciones de usuarios”.
Protección en un ambiente cada vez más dinámico
Con todos los cambios en los ambientes de TI en la actualidad, los líderes de la seguridad deben considerar todas las formas potenciales para proteger los activos y permitir que el negocio cumpla con sus objetivos, sostiene Lorna Koppel, vicepresidente y CISO del proveedor de tecnología de almacenamiento de datos Iron Mountain. “La seguridad definida por software es una herramienta más a considerar”, señala la ejecutiva.
Esto es especialmente importante ahora que las compañías buscan asegurar los ambientes que ya no se ajustan a las fronteras físicas estándares, indica Koppel. “Las herramientas tradicionales de seguridad dependen de la capacidad de controlar y mantenerse dentro de rutas específicas y divisiones físicas”, señala. “En ocasiones esto no es suficiente, ya que no tenemos el control sobre la infraestructura física, o el ambiente puede ser demasiado amorfo para asegurarlo solo con estas herramientas tradicionales de seguridad”.
La SDS podría mejorar la forma en que las organizaciones protegen los servicios de nube o los sistemas virtualizados y hacerlo de una manera flexible, señala Koppel. “Considere, por ejemplo, varias aplicaciones que corren en un ambiente virtualizado que tienen diferentes necesidades de controles de seguridad, pero que aun así corren en el mismo equipo”, sostiene. “Considere un ambiente dinámico en donde el activo es trasladado de manera lógica. Uno quiere una seguridad que siga con facilidad al activo, y que no requiera de varios equipos cada vez que hay cambios dinámicos”.
La clave es seguir el flujo lógico end to end del procesamiento de datos, y analizar las vulnerabilidades y amenazas a la seguridad en cada paso del camino, en el contexto del soporte operativo y el modelo físico, sostiene Koppel. “Los productos de la seguridad definida por software podrían demostrar ser más sencillos y más apropiados para la administración en estos ambientes dinámicosque necesitan que la seguridad siga al activo”, señala la ejecutiva.
– Bob Violino, CSO EE.UU.
PUBLISHED BY MIREYA CORTÉS ON NOVEMBER 4, 2014.
Fuente: http://cio.com.mx/
Fecha de consulta: 06 Noviembre 2014
