Las redes son más críticas para el negocio que nunca y la segmentación se está convirtiendo en la clave para garantizar su seguridad. La segmentación permite que los usuarios y las cosas accedan a las aplicaciones y datos correctos, al tiempo que evita el movimiento lateral de las amenazas. Debe funcionar en todos los dominios de la red, desde donde sea que esté el punto final hasta donde resida la aplicación o los datos. Requiere que crucemos tanto los dominios tecnológicos como los límites del dominio organizacional.
La tecnología para hacer esto ya está lista y he hablado con muchos clientes que también han derribado los silos organizativos para beneficiarse de estas innovaciones. Me gustaría saber de usted de qué otra forma la tecnología y las organizaciones de TI deben evolucionar para permitir el acceso basado en políticas en todos los dominios.
Silos tecnológicos y redes basadas en intención
En el campus empresarial, los gerentes de TI pueden utilizar las soluciones de acceso definido por software (SD-Access) de Cisco para segmentar los usuarios y dispositivos del campus y de las sucursales. Cisco SD-Access también se puede extender a entornos industriales a través de la integración con la cartera de IoT rugerizada. En el centro de datos, las aplicaciones y los datos se segmentan a través de la infraestructura centrada en aplicaciones (ACI) de Cisco. Y con Cisco SD-WAN, el tráfico entre usuarios, aplicaciones en el centro de datos y la nube pública se puede administrar y proteger de formas nuevas y flexibles. Estas soluciones, en combinación, brindan un control de extremo a extremo de quién ingresa a la red de una empresa, a qué datos y aplicaciones tienen acceso y qué calidad de servicio experimentan.
Cisco está avanzando en las redes basadas en intención (Intent-Based Networking – IBN por sus siglas en inglés) para administrar las políticas de segmentación en el campus, la sucursal, la WAN, el centro de datos y la nube. IBN ayuda a las organizaciones a lograr una mayor coherencia entre las necesidades comerciales y las redes. Las soluciones Cisco SD-Access, SD-WAN y ACI han cambiado la forma en que las organizaciones definen las políticas de segmentación, utilizando la intención. Con IBN, las políticas se traducen y se aplican automáticamente a la infraestructura de red. Y para asegurarse de que la intención se logre realmente, la analítica basada en el contexto brinda seguridad y recomienda las correcciones de curso necesarias.
Sabemos que las organizaciones grandes y medianas necesitan adoptar una estrategia de red holística para hacer frente a los desafíos únicos de rendimiento, seguridad y administración de las aplicaciones y arquitecturas altamente distribuidas. Los enfoques heredados que se han basado en procesos manuales para administrar y proteger datos y aplicaciones ya no son adecuados ni sostenibles.
Necesitamos una arquitectura de red basada en intenciones en todos los dominios.
Creando puentes entre dominios
Podría preguntarse, ¿por qué no ejecutar la empresa en una sola estructura? En el mundo real, cada dominio de red tiene un conjunto único de requisitos y está diseñado específicamente para abordarlos. El campus tiene que manejar clientes cableados e inalámbricos con altas demandas de movilidad y diversos mecanismos de identidad. El centro de datos debe ofrecer un alto ancho de banda y control de este a oeste, integrándose con entornos de contenedores y máquinas virtuales. Los clientes también construyen redes y tejidos para administrar los dominios de falla y la separación en función de los dominios de administración. Muchos fabric de red ayudan a resolver estos requisitos, pero aún necesitamos conectar estos fabric sin problemas.
La integración de políticas entre dominios es la mejor manera de preservar la unicidad del dominio y aún proporcionar consistencia y administración esenciales. Con la integración de políticas, cada dominio, aunque funciona de forma independiente, puede colaborar con otros en beneficio de toda la red.
Cisco está tomando medidas para aplicar la integración de políticas y garantías en todos los dominios de la red, para permitir que la intención de TI y de negocios se exprese en un dominio y luego se intercambie, aplique y supervise en todos ellos.
Hoy presentamos las primeras integraciones. Daremos poder a los administradores de TI, por primera vez, para que proporcionen un rendimiento, cumplimiento y aplicación de la seguridad consistente en todo el campus y el centro de datos.
Ilustración 1 Políticas de integración entre los dominios de red empresariales
Cisco ACI y Cisco SD-Access
En las redes empresariales, la solución SD-Access de Cisco ha reemplazado la necesidad de control de acceso basado en direcciones IP y sus configuraciones manuales asociadas, con la administración por grupos basados en identidad en los que los usuarios y dispositivos se asignan a grupos. En el centro de datos, Cisco ACI utiliza un método de agrupación similar para las aplicaciones. Tanto SD-Access como ACI asocian políticas de seguridad con estos grupos. Con la nueva integración, SD-Access transmitirá información a ACI sobre los grupos de usuarios y dispositivos que crea y, a su vez, conocerá los grupos que ACI crea para las aplicaciones. Este intercambio permitirá que SD-Access y ACI aprendan y hagan cumplir las políticas de los demás en sus respectivas redes, aprovechando Cisco Identity Services Engine (ISE) como intermediario común.
Por ejemplo, supongamos que un hospital aloja aplicaciones de salud y facturación en su centro de datos. Los empleados del hospital están segmentados en grupos de usuarios separados. Al mapear los grupos entre el centro de datos y el campus, la política de un extremo a otro se puede aplicar automáticamente de modo que solo el grupo de proveedores de salud (médicos y enfermeras) tenga acceso a la aplicación de salud, y solo los empleados y ejecutivos del departamento de finanzas tengan acceso a la aplicación de facturación, independientemente de su ubicación. La política de extremo a extremo reduce en gran medida el riesgo de una violación de datos financieros confidenciales y de los registros de salud de los pacientes.
Las integraciones de políticas que socializamos hoy son solo el comienzo. Estamos comprometidos a ayudar a nuestros clientes a administrar y orquestar redes en toda la empresa, a medida que aprovechan las nuevas oportunidades que las tecnologías actuales les brindan. Desde ITS, estaremos con ustedes en este viaje.