El modelo tradicional del borde de la red que defendía hasta antes de la llegada del trabajo híbrido masivo y SD-WAN es el siguiente:
- Equipo del Proveedor de Servicio – Switch para agregación de puertos* – Router de Internet – Firewall de Internet.
- Equipo del Proveedor de Servicio – Switch para agregación de puertos* – Router WAN.
* Este existe dependiendo de la cantidad de puertos necesarios.
Resumido: Proveedor – Switch – Router – Firewall.
La difusa línea divisoria entre Internet y WAN
SD-WAN permite establecer túneles de manera dinámica sobre internet o MPLS, propiciando la adopción de la conexión directa a internet (DIA) de las sucursales para acercar a los usuarios a los SaaS. De esta manera la decisión entre usar internet o MPLS para interconectar sucursales a datacenters la toma el plano de control de la plataforma SD-WAN en base a algoritmos y políticas configuradas previamente. Siendo dicha elección cada vez más difusa e indiferente para la interconexión como tal. ¿Y si a esto sumamos la diferencia de precios entre internet y un enlace WAN?
Todavía hoy el criterio de que MPLS es una conexión privada versus el internet que es una conexión pública tiene un valor importante dependiendo de la industria y los mecanismos que se decidan para asegurar la conexión o los equipos que la conforman.
Adicionalmente, la masificación del trabajo híbrido o lo que es igual a administrar cientos o miles de conexiones de VPNs de acceso remoto y sus políticas traen una complejidad interesante. Donde antes el internet se usaba para compartir recursos con los clientes, hoy también se necesita para que los usuarios realicen sus labores de manera remota.
Con estas dos variables en mente, en un mundo donde el internet se conecta a los routers/firewalls WAN y además ya no solo se usa para publicar servicios y navegar. Propongo simplificar el borde de las organizaciones para administrarlo de mejor manera.
Un nuevo modelo para el borde, más simple
Unificar el equipamiento WAN con el equipamiento de Internet en una sola capa, añadiendo funciones como ser:
Enrutamiento basado en SD-WAN, túneles dinámicos, control de aplicaciones, balanceo del tráfico basado en políticas y requerimientos de las aplicaciones, detección y protección contra intrusos (IPS), control anti-malware de red, deep packet inspection y políticas de firewalling hasta capa 7.
En resumen, propongo conectar las interfaces WAN e Internet a un NGFW con todas las características disponibles a día de hoy, SD-WAN, clusterización o alta disponibilidad y la cantidad de puertos necesarios para evitar equipos intermedios. Con el fin de centralizar todas las políticas y controles de seguridad y enrutamiento, su monitoreo y automatización. De esta manera simplificar el borde de la red y todo lo que ello conlleva.
No nos olvidemos también que la complejidad es enemiga de la seguridad, disminuir los puntos ciegos entre WAN e Internet debería ser un factor importante a tomar en cuenta.
Este es un artículo original del blog. Si le gustó o le fue útil por favor compártalo.
Abrazo!