1

Herramientas de seguridad necesitan bases sólidas

En seguridad, el diseño y despliegue de una plataforma de visibilidad es determinar dónde y cómo se colectarán los paquetes de información a lo largo y ancho del ambiente computacional.

Por: Allen Hebert, Ingeniero de sistemas senior de Gigamon

No importa cuán imponente sean sus herramientas de seguridad o rendimiento, si no se les provee con los paquetes informáticos correctos, no serán capaces de hacer su trabajo de monitorear y proteger la infraestructura de red. Así de simple. Una plataforma de visibilidad está diseñada desde los cimientos para colectar paquetes de interés provenientes de todo el entorno computacional, filtrado, transformación y posteriormente su entrega a las herramientas que las procesarán.

Este primer paso en el diseño del proceso, permite construir una sólida base para la capa de visibilidad del tráfico de red. El proceso de identificar el tráfico relevante y deducir dónde en la red, se colectarán esos paquetes informáticos.

¿Qué paquetes necesito colectar?

Realmente depende de las herramientas que estés usando para monitorear y asegurar tu ambiente computacional. Estas aplicaciones dictarán que tipo de tráfico necesitas colectar. Si tienes herramientas que están analizando paquetes para reportar sobre aplicaciones o rendimiento de la red, resolución de problemas, será mejor que colectes datos en esos uplinks del acceso a la red a la capa de distribución o tal vez, de la capa de distribución al core. La meta es ver los paquetes de los usuarios finales a los servidores a los que usualmente tienen acceso ya sea en el centro de datos corporativo o en el Internet y esos paquetes típicamente atraviesan esos uplinks.

Allen Hebert, Ingeniero de sistemas senior de Gigamon.

Para las herramientas de seguridad, las partes críticas de su entorno informático son los enlaces a Internet, el centro de datos a los enlaces de capa de agregación dentro de su centro de datos, los conmutadores virtuales en su nube privada y los paquetes que fluyen hacia o desde sus servidores en la nube pública. Hay muchos tipos diferentes de herramientas de seguridad disponibles en el mercado, y cada uno tiene preferencias específicas de recopilación de datos. Algunas herramientas se centran en la prevención de pérdida de datos (DLP), la detección y protección de intrusos y malware; Otros en aplicaciones, Web, bases de datos y seguridad de archivos.

Por ejemplo, si está preocupado por el malware y la protección contra intrusos o tal vez DLP, debe recopilar datos de las conexiones a Internet y los vínculos del centro de datos que contienen paquetes destinados a los servidores de archivos y correo. Si le preocupa la actividad maliciosa dentro de su centro de datos (DLP, IDS, exfiltración de datos), desee supervisar el tráfico este-oeste (servidor a servidor) recopilando paquetes de los enlaces que transportan tráfico de servidor a servidor Como los conmutadores virtuales dentro de su nube privada. Como dice el refrán, usted no puede protegerse contra las amenazas que no se puede ver.

Es aconsejable aprender las necesidades de datos de sus herramientas para asegurarse de que está recogiendo los paquetes que importan. Para maximizar su eficacia y proteger su red de problemas de rendimiento o amenazas de seguridad, lo mejor es recopilar y entregar todos los paquetes que una herramienta necesita para ver y evitar el envío de paquetes irrelevantes, lo que aumentará el ancho de banda requerido en la interfaz de red física y agregará extra Procesador para filtrar datos extraños.

Colectar paquetes: la capa física

Los clientes a menudo preguntan: “¿Dónde debo desplegar mis TAPs?” Normalmente, sólo unos pocos miembros de su organización tendrán una respuesta a esa pregunta. De hecho, es una ocurrencia relativamente rara que aquellos que poseen las herramientas tienen un conocimiento profundo de la arquitectura de red que se les encarga el monitoreo. El equipo de seguridad (y tal vez otros equipos que tienen herramientas que desean ver paquetes) sabe qué tipo de datos necesitan ver sus herramientas y el equipo de red sabe dónde están los paquetes que fluyen dentro de su red. Una coordinación estrecha entre estos dos grupos es clave para desplegar eficazmente una plataforma de visibilidad.

Una vez que haya definido los requisitos de recopilación de datos de las herramientas, debe seleccionar dónde, en su entorno informático se pueden obtener estos datos. Necesitará un dibujo de red que incluya información tanto sobre las conexiones físicas entre el equipo de red como sobre la ruta lógica de los paquetes. Por lo general, tal dibujo no existe, simplemente hay demasiada información para caber todo en un solo dibujo. El dibujo lógico del entorno informático que muestra servidores, centros de datos, VLANs de usuario final y puntos de acceso a Internet, así como la forma en que se conectan entre sí a través de cortafuegos y funciones de enrutamiento. Esta vista lógica del entorno de cómputo debe entonces colocarse encima del dibujo de la red física de tal manera que muestre claramente los paquetes de trayecto que toman del punto A al punto B.

Adolfo Manaure

Entusiasta seguidor de la tecnología y las innovaciones que cambian el mundo. Director Editorial y COO en The HAP Group.