Entrevista con Daniel Flouret, Regional Systems Engineer para Cono Sur en Extreme Networks.
¿Cuáles han sido los principales impactos que la movilidad y la hiper conectividad han tenido en las redes organizacionales?
Yo comencé en esto de las redes como Administrador, hace casi 30 años. En aquella época, los administradores de red debíamos dar servicio a un limitado número de equipos conocidos y fijos, ubicados en los escritorios de los empleados.
Hoy, las cosas son totalmente distintas. Con la aparición de las tecnologías inalámbricas, se produce una explosión en la cantidad y variedad de dispositivos conectados a la red.
Cada empleado o visitante lleva consigo teléfonos inteligentes, tablets y computadoras portátiles; y aparece la demanda de conectarse en cualquier momento y desde cualquier lugar.
Esto trae consigo una serie de problemas a resolver, en términos de:
Demanda
La necesidad de dar servicio a los múltiples dispositivos de los empleados y visitantes, produce una explosión de demanda en términos de ancho de banda, cobertura, y soporte.
Complejidad
Ya no tengo un número reducido de dispositivos conocidos. La tendencia de BYOD (Bring Your Own Device) implica dar soporte a cientos de dispositivos distintos, muchos de ellos desconocidos; y todos deben tener la misma calidad de servicio, independientemente de donde se encuentren.
Seguridad
Ya no alcanza con una seguridad perimetral que proteja de ataques externos, porque el perímetro de defensa ha desaparecido. El atacante, ahora está “en el aire” y puede ingresar a nuestra red desde la calle, sin siquiera ingresar en un edificio.
Velocidad
A pesar del incremento de la complejidad, se espera que cualquier novedad o cambio sea incorporado a la red de manera inmediata.
Costos
La consigna es Más con Menos. Cada vez se solicita más de la red y sus administradores, pero cada vez hay menos recursos disponibles.
¿Cuáles son los principios rectores de una buena gestión de la red?
Siempre he pensado que la red perfecta debería ser como los servicios públicos (luz, agua).
Uno no se detiene a pensar en si hay electricidad o agua corriente. Abre el grifo y espera que salga agua, acciona un interruptor y espera que se encienda la luz.
Los usuarios actuales esperan que la red funcione, y sea veloz, SIEMPRE, independientemente del lugar y dispositivo usados. Una red bien administrada, es una red “invisible” para sus usuarios.
Desde el punto de vista de un administrador de red, una buena gestión de red implica:
- Simplificar la incorporación de dispositivos y usuarios
- Brindar un mayor rendimiento, confiabilidad y resiliencia
- Ofrecer una mayor seguridad en todos y cada uno de sus componentes
- Permitir cumplir con reglamentaciones específicas de la industria, tales como HIPAA, PCI, SOX, etc.
- Requerir sólo una reducida dotación de personal
Para este propósito, Extreme Networks ofrece Extreme Management Center, que integra múltiples herramientas en una única pantalla, para facilitar la administración y configuración de la red con un mínimo esfuerzo y dotación de personal.
¿En qué criterios radica el concepto de calidad en la red?
En la actualidad, se habla mucho de la “Experiencia del Usuario”. Esto implica que este debe poder utilizar cualquier aplicación, mediante cualquier dispositivo, y desde cualquier lugar, sin que ninguno de esas variables afecte las prestaciones y funcionalidad de la aplicación.
Pongamos esto en otros términos. En una reunión con un Gerente de Tecnología, le pregunté cuáles eran los requisitos para la red inalámbrica que quería instalar, y me contestó:
“La semana pasada el CEO de la empresa me dijo que estaba muy disconforme con las prestaciones de la red inalámbrica de la empresa, porque a veces funcionaba y a veces no, dependiendo de donde estuviera. Que quería que instalara algo que funcionara como la red de su casa, donde tiene conectividad ni bien entra y en todos lados”.
Eso es “Experiencia del Usuario”. Al CEO no le interesa ni 802.11ac, ni Wave 2. Le interesa que funcione, y que funcione como en su casa.
En términos del diseño de la red, esto implica una arquitectura física y lógica que permita:
- Múltiples caminos de conexión activos simultáneamente, para brindar resiliencia y elevadas prestaciones de comunicación.
- Un esquema de convergencia veloz, para que la falla de cualquiera de los enlaces o equipos que la componen sea resuelta en tiempos tan breves que el problema pase desapercibido para los usuarios.
- La capacidad de incorporar nuevos servicios, minimizando el impacto en la operatoria de la red.
- La capacidad de determinar la aplicación empleada por el usuario, para adecuar el tratamiento que se dará al tráfico de cada tipo de aplicación
- La capacidad de determinar el dispositivo y ubicación del usuario, para adecuar los esquemas de seguridad a las distintas zonas y equipamientos usados en la empresa.
Justamente a eso apunta la solución de Campus Automatizado de Extreme Networks. La arquitectura de Fabric ofrece múltiples caminos redundantes y una convergencia casi instantánea en caso de falla, con la capacidad de agregar nuevos servicios sin impacto o cambio de configuración de los equipos que componen el Fabric.
Por su parte, nuestras aplicaciones de Control de Acceso y Analítica permiten determinar qué rol asignar a cada usuario, mientras que las funcionalidades de Policy de nuestros equipos de borde permiten asignar a cada usuario los permisos adecuados al rol asignado.
¿En qué se sustentan los beneficios de una red basada en software?
Hemos venido hablando de la creciente complejidad de las redes, debido al explosivo crecimiento en las aplicaciones, usuarios y dispositivos conectados, junto con el desafío de manejar esa complejidad con cada vez menos recursos.
Eso sólo es posible si contamos con una red inteligente que puede adaptarse, y tomar decisiones sobre la marcha, en función de quién se conecta, con qué dispositivo se conecta, qué aplicaciones usa, etc. Esa es la promesa de las redes basadas en software.
Por ejemplo, si la aplicación que controla el acceso de los usuarios a la red es capaz de determinar que el usuario está usando un teléfono inteligente, y puede comunicarse con la aplicación que administra los dispositivos móviles de la compañía para determinar si el usuario está usando un teléfono provisto por la empresa (seguro) o su teléfono personal (inseguro), podrá a aplicar distintas políticas de acceso según el caso, sin intervención externa.
Extreme Management Center tiene la capacidad de interoperar con un ecosistema de aplicaciones de terceros en las áreas de Data Center y Cloud, Seguridad, Movilidad, Operaciones de TI y Convergencia, para brindar una gran riqueza en la capacidad de adaptación de la red frente a múltiples situaciones.
Como si fuera los ojos y oídos de la red, esta herramienta puede determinar que una Máquina Virtual ha sido movida de un servidor físico a otro, y puede reconfigurar el puerto al que ahora se conecta esa máquina virtual con las mismas características que tenía el puerto original, garantizando la continuidad de su conectividad a la red.
También puede recibir información de un Firewall o IPS, sobre un determinado usuario que está realizando actividades sospechosas, para ponerlo en una lista negra e impedirle todo acceso a la red, hasta que se clarifique su situación.
Todos estos son ejemplos de cómo esta solución puede influir sobre la infraestructura de red para variar su comportamiento frente a distintas situaciones.
¿Se pueden adaptar las redes fácilmente y en tiempo real a las necesidades múltiples y cambiantes de las organizaciones?
Sí. En la pregunta anterior se dieron varios ejemplos de dicha adaptación, relacionados con los usuarios y dispositivos empleados. Otro ejemplo distinto sería las ventajas que una arquitectura tipo Fabric brinda a la capacidad de crear nuevos servicios en las redes modernas.
Las arquitecturas tradicionales de red presentan un esquema demasiado rígido, donde cada componente debe ser configurado individualmente cada vez que se desea efectuar un cambio o agregar un nuevo servicio.
La creación de una nueva VLAN, y su propagación a distintos sitios, por ejemplo, requeriría la reconfiguración de todos y cada uno de los equipos involucrados en su transporte desde un punto al otro de la red.
Esto, además de la elevada carga de trabajo que significa, incrementa la posibilidad de error humano en la configuración, y debe ser cuidadosamente planificado. Y, si la VLAN ya no es necesaria, su desconfiguración toma tanto trabajo como la configuración inicial.
La respuesta a este problema es la arquitectura de Fabric. El concepto de Fabric es difícil de traducir. Surge en inglés, como una analogía con las telas, que están formadas por hilos individuales, así como las redes están formadas por equipos individuales.
Estos hilos son tejidos de manera de formar una tela que presenta características propias, y en la cual la individualidad de cada hilo desaparece.
De la misma manera, en un Fabric los equipos se interconectan y configuran (se “tejen”) para formar una red con características específicas, y desaparecen como individuos, conformando una trama que se mantiene inmutable. Entonces, se configura el Fabric y no sus componentes individuales.
La solución de Campus Automatizado de Extreme Networks se basa en el empleo de Fabric como estructura subyacente de la red. Este Fabric es inmutable.
Independientemente de lo que se quiera hacer en la red, la configuración de los equipos que conforman el Fabric no cambia. Cualquier cambio ocurre en el borde del Fabric.
Una funcionalidad complementaria de Fabric es Fabric Attach, que permite que un switch o punto de acceso inalámbrico se conecte al Fabric y le indique que se requiere la configuración de una determinada VLAN, y la asignación de esa VLAN a un determinado Servicio de Red Virtual (VSN).
El Fabric se encargará de propagar automáticamente ese VSN a todos los otros equipos del Fabric que tengan usuarios conectados a esa misma VLAN y VSN, sin intervención externa. Una vez desconectado el usuario, Fabric Attach permitirá señalar al Fabric que la asociación de VLAN y VSN ya no es requerida y puede ser descartada.
¿La visibilidad y el control pueden tener una cobertura permanente sobre los distintos usuarios, aplicaciones y dispositivos en tiempo real?
Definitivamente. Esto es algo que la solución de Automatización de Campus permite con facilidad.
Cuando un dispositivo se conecta a la red, solicita una dirección IP mediante el protocolo DHCP. Ese pedido incluye la MAC del dispositivo y una “huella digital” que permite identificar el tipo de dispositivo y su sistema operativo.
La respuesta del servidor DHCP permite agregar a la MAC y a la identidad del dispositivo, la dirección IP asignada.
Cuando, en el siguiente paso, el usuario conectado a ese dispositivo ingresa sus credenciales, se agrega a la información que tenemos la identidad del usuario y su pertenencia a determinados grupos (provista generalmente por el servidor de directorio contra el que se valida su identidad).
Adicionalmente, el pedido de autenticación suele incluir información sobre el punto de ingreso a la red empleado por el dispositivo (puerto del switch o punto de acceso inalámbrico).
Finalmente, los puntos de acceso inalámbrico cuentan actualmente con capacidad de hacer una inspección profunda del tráfico que reciben de los clientes, para determinar las aplicaciones empleadas por cada cliente.
Toda esta información (MAC, IP, identidad, punto de conexión, aplicaciones) se mantiene actualizada permanentemente en la plataforma de administración.
Así, cuando un usuario llama a la Mesa de Ayuda porque tiene un problema, ya no es necesario pedirle información adicional. Alcanza con buscar dentro del sistema de administración a la persona por su nombre, para ver no sólo su dirección IP, sino también su ubicación, si está conectado de manera cableada o inalámbrica, y las aplicaciones que está usando (incluyendo los tiempos de respuesta de las mismas).
Toda esta información es capturada y administrada por Extreme Management Center y sus aplicaciones auxiliares (Control Center y Application Analytics)..
¿Cuál es la visión y la propuesta de Extreme Networks en cuanto a la seguridad en la red?
En el pasado, los esquemas de seguridad seguían el mismo principio de los castillos medievales. Rodeo mi castillo con un foso y controlo quien entra.
Ese esquema de seguridad, llevado a las empresas, implicaba que los peligros y atacantes estaban en las redes externas a la empresa.
La protección consistía en controlar cuidadosamente un único punto de acceso mediante un firewall (el foso y puente levadizo moderno).
Esta alternativa perdió totalmente su utilidad con la aparición de las redes inalámbricas, dado que ya no tenemos un perímetro que separa las áreas seguras de las inseguras y un único punto de ingreso.
Ahora, cualquiera que tenga un dispositivo inalámbrico puede conectarse a mi red desde la calle, si la señal se lo permite, y el perímetro abarca ahora a cada uno de los dispositivos conectados, volviéndose, prácticamente, infinito. Es necesario un nuevo paradigma de seguridad.
La arquitectura de Fabric empleada en la solución de Automatización de Campus presenta tres características que apuntan a enfrentar el problema del perímetro infinito:
- Hiper-Segmentación
- Invisibilidad
- Flexibilidad
La Agencia Nacional de Seguridad de Estados Unidos (NSA) recomienda la Hiper-Segmentación como herramienta efectiva de seguridad.
Si cada servicio o aplicación utiliza su propio segmento, desconectado de cualquier otro segmento, el ataque o compromiso de un dispositivo de la red tendrá un alcance limitado a los equipos visibles dentro de su segmento y no se propagará a los demás segmentos.
El problema es que, en las arquitecturas tradicionales, la creación de un segmento individual implica la configuración de todos los equipos de la red. La carga de trabajo resultante hace que las empresas segmenten lo mínimo indispensable.
En el caso de Fabric, debido a su naturaleza, cualquier creación de un nuevo segmento implica únicamente la configuración del mismo en los equipos del borde del Fabric donde dicho segmento sea requerido, haciendo sumamente sencilla la creación de un número ilimitado de segmentos.
Otra ventaja es que, a diferencia de las arquitecturas tradicionales que requieren la configuración de múltiples protocolos, y que cada equipo de la red tenga una dirección IP, Fabric sólo implementa un protocolo y este opera en Capa 2.
Esto significa que no es necesario que cada equipo tenga una dirección IP. Al no haber direcciones IP, las herramientas tradicionales de ataque no pueden descubrir los equipos que componen la red, ni atacarlos, porque estos son invisibles.
Los segmentos que conectan las VLANs entre si, se ven como túneles que atraviesan el Fabric. Puedo ver la salida al otro extremo, pero no tengo la menor idea de cómo es la red por la que estoy circulando.
Finalmente, la flexibilidad. En una arquitectura tradicional, el esfuerzo de configurar un servicio para usarlo por primera vez es tan grande como el esfuerzo de eliminar esa configuración, cuando no se lo necesita más.
Por eso, se tiende a crear pocos servicios y no darlos de baja nunca, lo que implica la existencia de potenciales puertas abiertas al ataque externo.
Fabric, con su flexibilidad para crear nuevos servicios configurando sólo los equipos de borde involucrados, permite, con la misma facilidad eliminar esos servicios cuando ya no son requeridos.
Esto es especialmente cierto cuando la creación y eliminación de servicios se realiza automáticamente mediante Fabric Attach.