En estos días, todo aquello “definido por software” –llámese redes, almacenamiento, centros de datos– está acaparando la atención del mercado de TI y la seguridad no es la excepción.
En efecto, la Seguridad Definida por Software (SDS) es un modelo emergente en el cual la seguridad de la información se despliega, controla y administra mediante software.
Con la SDS, los controles de seguridad como la segmentación de la red, la detección de intrusos y el control del acceso son automatizados y monitoreados mediante software.
La firma de investigación Gartner, que afirmó que la SDS fue una de las 10 tecnologías más importantes de la seguridad TI en el 2014, también señala que el impacto de la SDS sobre la seguridad será transformador. “La seguridad definida por software no significa que el hardware de seguridad dedicado ya no sea necesario. Sí lo es”, sostiene la firma. “Sin embargo, al igual que en el networking definido por software, el valor y la inteligencia se trasladan al software”.
Los proveedores ya utilizan el término “Seguridad Definida por Software” de varias formas. El mercado de SDS es relativamente nuevo, por lo que las investigaciones y análisis sobre el tema son todavía escasos. Sin embargo, gracias a que se han producido grandes movimientos hacia los ambientes de TI virtualizados en años recientes, es lógico que la seguridad –definida en gran medida por el software– sea un desarrollo “natural”.
¿Cuáles son los beneficios potenciales que aportaría la SDS? Preguntamos a analistas de la industria y a ejecutivos de seguridad que están familiarizados con el tema y aquí están algunas de sus sugerencias:
Mayor simplicidad
La SDS permite que los ambientes de seguridad sean más simples al separar la red de la seguridad, señaló Richard Sillito, arquitecto de soluciones en seguridad TI de WestJet. La aerolínea actualizó su sistema para proteger la información, que entre otras características incluye la adopción de la SDS. “La idea es que esto nos permita una mayor automatización y, con el tiempo, un autoservicio”, sostuvo Sillito.
Para lograrlo, WestJet desplegó la plataforma de virtualización y seguridad de red NSX de VMWare en uno de sus centros de datos, y actualmente se encuentra en el proceso de implementar su primera aplicación para esta infraestructura, afirmó Sillito.
“Nuestros equipos están conociendo la API asociada con NSX y la manera de automatizar las actividades, como crear switches lógicos, construir grupos de seguridad, aplicar políticas de seguridad, etcétera”, indicó el directivo. Para ello, el área de TI de la aerolínea utiliza herramientas plugin para crear flujos de trabajo orquestados que simularán sus actuales procesos manuales.
“Con el tiempo, el equipo usará otras herramientas para publicar servicios, como un paso inicial hacia el autoservicio. La SDS nos permite separar la red de la seguridad. Ya no tenemos que rutear los paquetes hacia un firewall. El filtrado se aplica al tráfico cuando se mueve por la red overlay. Esto significa que ya no es necesario comprar firewalls e instalarlos en varios lugares dentro del centro de datos”, dijo Sillito.
Menos conexiones significan menos dependencia, lo cual también significa menos cambios y menores costos. “La simplicidad también se traduce en automatización; mientras más sencillas sean las cosas, más fáciles serán de automatizar”, concluyó el ejecutivo de WestJet.
Y es que cualquier cosa que ayude a simplificar los ambientes y la seguridad de TI es un verdadero beneficio en la actualidad.
“Nuestros ambientes de computación se han hecho muy complejos y la tendencia hacia el uso de dispositivos de mano inteligentes conversando con backends altamente distribuidos probablemente incrementen la complejidad”, señaló Dan Kusnetzky, analista distinguido y fundador de Kusnetzky Group LLC.
“Con tantas partes que se mueven, las organizaciones deben tener formas de asegurar fácilmente el acceso a todos los componentes, incluso si se encuentran virtualizados y transitando de un host a otro, o de un centro de datos a otro”, dijo el analista y recordó que los viejos enfoques a la seguridad requerían que todos los componentes sean estacionarios.
“Actualmente, las herramientas de seguridad deben ser tan ágiles como los ambientes de cómputo de hoy”, aseveró Kusnetzky.
Redes más “confiables”
La SDS ayudará a habilitar lo que Forrester Research denomina como seguridad “cero confianza”. La lógica detrás de este enfoque es que las organizaciones vean el tráfico interno de la red como inherentemente no confiable, y necesitan monitorear de cerca todo el tráfico tanto dentro como fuera de la empresa. “Este es un llamado para que las compañías usen tecnología para inspeccionar todo el tráfico de red”, aseveró John Kindervag, vicepresidente y analista principal de Forrester.
Añadió que la seguridad de “cero confianza” es necesaria ya que los actuales enfoques basados en la confianza no funcionan, señala Forrester, y las organizaciones necesitan liberarse de la idea de que la red interna puede ser confiable y la externa no.
La SDS “es una tecnología que nos permite crear o desplegar redes cero confianza de manera más fácil”, sostuvo Kindervag. “Usando el software (que administra la seguridad dentro de la organización) uno puede establecer micro configuraciones de seguridad y micro parámetros para la red. Esto permite definir las políticas de seguridad de manera más sencilla, para que la red sea más ágil y segura al mismo tiempo”.
Además de la agilidad, la SDS puede integrar más de una red. “Uno puede tener estos otros conceptos basados en el software como las API, de tal forma que se puedan tener dos sistemas separados para conversar e integrarse más fácilmente”, afirmó Kindervag.
Cerrar brechas de seguridad
Un ambiente de seguridad definida por software permite que las organizaciones de seguridad cierren las brechas en sus actuales productos, mientras que al mismo tiempo enlazan los controles de seguridad de forma más directa con la infraestructura, especialmente en momentos en que crece la dependencia de la computación en la nube, afirmó Rich Mogull, analista y CEO de Securosis, una firma de investigación de seguridad independiente.
“Por ejemplo, uno puede casi instantáneamente identificar todos los servidores no administrados, y luego automáticamente ponerlos en cuarentena, identificar al propietario del servidor, iniciar su software de administración, o tomar alguna otra acción que sus herramientas y plataformas soporten vía API”, sostuvo Mogull.
Esto permite la creación de flujos de trabajo de seguridad que pueden reducir considerablemente los esfuerzos manuales y los costos operativos, mientras que ayudan a mejorar la agilidad para satisfacer las necesidades de las nuevas iniciativas de negocio, aseveró Mogull. “Puede sonar hueco, pero existen ejemplos prácticos y reales que no son simples falsas promesas de vendedor”, indicó.
Protección en un ambiente cada vez más dinámico
Con todos estos cambios en los ambientes de TI, los responsables de la Seguridad deben considerar todas las formas potenciales para proteger los activos y permitir que el negocio cumpla con sus objetivos, afirmó Lorna Koppel, vicepresidenta y CISO del proveedor de tecnología de almacenamiento de datos Iron Mountain. “La seguridad definida por software es una herramienta más a considerar”.
Esto, dijo la ejecutiva, es muy importante, ya que las compañías buscan asegurar los ambientes que ya no se ajustan a las fronteras físicas estándares. “Las herramientas tradicionales de seguridad dependen de la capacidad de controlar y mantenerse dentro de rutas específicas y divisiones físicas”, señaló. “En ocasiones, esto no es suficiente, ya que no tenemos el control sobre la infraestructura física, o el ambiente puede ser demasiado amorfo para asegurarlo sólo con estas herramientas tradicionales de seguridad”.
En opinión de Koppel, SDS podría mejorar la forma en que las organizaciones protegen los servicios de nube o los sistemas virtualizados. “Considere, por ejemplo, varias aplicaciones que corren en un ambiente virtualizado que tienen diferentes necesidades de controles de seguridad, pero que aún así corren en el mismo equipo, o bien, un ambiente dinámico donde el activo es trasladado de manera lógica. Uno quiere una seguridad que siga con facilidad al activo, y que no requiera de varios equipos cada vez que hay cambios dinámicos”, aseveró.
La clave es seguir el flujo lógico end to end del procesamiento de datos, y analizar las vulnerabilidades y amenazas a la seguridad, tanto en el contexto del soporte operativo como en el modelo físico, sostuvo Koppel. “Los productos de la seguridad definida por software podrían demostrar ser más sencillos y más apropiados para la administración en estos ambientes dinámicos, los cuales requieren que la seguridad siga al activo”, concluyó la ejecutiva.
–Bob Violino, CSO
