NetApp Tech OnTap
     

SMT: con «S» de «seguro»

NetApp, Cisco y VMware optimizan la seguridad de los entornos multi-tenancy

Tanto si pone en marcha una virtualización a gran escala, un cloud privado o uno público, la seguridad puede suponer un reto. Cisco, NetApp y VMware saben que la seguridad es una cuestión fundamental para la infraestructura compartida y llevan años colaborando para encontrar una solución al problema.

Seguramente conozca nuestra solución conjunta de multi-tenancy seguro (SMT) de artículos anteriores de Tech OnTap®. En enero de 2010, Chris Naddeo de Cisco escribió un amplio artículo acerca de sus funcionalidades de calidad de servicio (QOS). Un artículo escrito unos meses más tarde abordaba la puesta en marcha de nuestra solución de SMT de primera generación en entornos cloud según Cisco® Validated Design (CVD). Sin embargo, ninguno de estos dos artículos ofrecía una visión detallada completa de las funcionalidades de seguridad de SMT.

Ahora, menos de un año después de la versión inicial, hemos creado una versión optimizada de SMT que mejora la flexibilidad de la puesta en marcha y amplía aún más las funcionalidades y la seguridad del diseño. En este artículo hablaremos de la arquitectura de la seguridad de nuestro diseño de multi-tenancy seguro. El nuevo diseño de SMT está formado por una serie de componentes básicos y otros opcionales útiles para la adaptación flexible de un entorno a sus necesidades específicas en lo que a seguridad se refiere. Estos componentes aparecen detallados más adelante.

Comprender la seguridad en SMT


El diseño inicial de SMT se basaba en cuatro pilares:

  • Disponibilidad
  • Compartimentación segura
  • Garantía de servicios
  • Gestión de servicios

La arquitectura del nuevo SMT sigue esta misma línea. Aunque hemos conseguido importantes avances en todas las áreas desde la primera versión, queremos hablar concretamente de la compartimentación segura para entornos multi-tenancy. Desde nuestra perspectiva, se trata de entornos en los que la infraestructura es compartida por elementos que se podrían definir como clientes separados, diferentes unidades de negocio, departamentos, aplicaciones o cualquier otra entidad que requiera un aislamiento seguro.

Servicios que ofrece el componente de compartimentación segura de SMT.

Figura 1) Servicios que ofrece el componente de compartimentación segura de SMT mejorado.

La compartimentación segura garantiza que un cliente no tenga acceso a los recursos de otro, como equipos virtuales, redes o almacenamiento. Cada cliente debe estar separado, de forma segura, del resto.

La arquitectura de SMT evita que un cliente tenga acceso tanto a los datos de otro cliente como a las funciones administrativas de la infraestructura compartida. La principal innovación que aporta nuestra implantación de SMT (y ahora la segunda generación de SMT) a la compartimentación segura es la capacidad de proporcionar una separación total en cada capa: informática, de red y de almacenamiento. Otras soluciones solo proporcionan áreas de aislamiento dentro de la infraestructura, en lugar de ofrecer una separación total de clientes.

Los principios de seguridad fundamentales implantados en esta arquitectura son, entre otros:

  • Aislamiento: es la base de la seguridad en un centro de datos con una arquitectura multi-tenancy. En función de los objetivos del diseño, se puede lograr usando servidores de seguridad, listas de acceso, VLAN, virtualización, almacenamiento y separación física. Con una combinación de estas opciones es posible mantener el nivel adecuado de seguridad en las aplicaciones y servicios de diferentes clientes.
     
  • Aplicación de normativas y control de acceso: en un entorno multi-tenancy, las cuestiones de control de acceso y aplicación de normativas requieren una consideración especial. Las funcionalidades de los aparatos y dispositivos de cada capa de la arquitectura se pueden aprovechar para crear complejas normativas y niveles de control de acceso que pueden mejorar la compartimentación segura de cada cliente.
     
  • Visibilidad: las infraestructuras compartidas son muy flexibles a la hora de admitir una ampliación para dar cabida a nuevos equipos virtuales y servicios. La virtualización de servidores y el uso de tecnologías como VMotion™ facilitan la puesta en marcha de nuevos servidores y el cambio de una ubicación física a otra con muy poca intervención manual. Cuando estos equipos se mueven y cambian los patrones de tráfico, los administradores de seguridad pueden tener dificultadas para controlar las amenazas de manera activa. Esta arquitectura aprovecha las funcionalidades de detección de amenazas y migración disponibles en cada capa de la red para recopilar alarmas, datos e información de eventos y analizar y correlacionar dinámicamente la información para identificar el origen de las amenazas, visualizar las rutas de ataque, sugerir y aplicar, si se desea, acciones de respuesta.
     
  • Flexibilidad: la flexibilidad significa que los extremos, la infraestructura y las aplicaciones del entorno multi-tenancy están protegidos y pueden resistir ataques destinados a provocar interrupciones del servicio, revelación de datos y un acceso no autorizado. Reforzar correctamente la infraestructura, dar redundancia a las aplicaciones e implantar servidores de seguridad son algunos de los pasos necesarios para conseguir el nivel de flexibilidad deseado.

Los componentes de red, informáticos, de almacenamiento y de gestión de esta arquitectura proporcionan funciones y funcionalidades que forman el marco de trabajo que garantiza la compartimentación segura. La figura 2 muestra la arquitectura de seguridad empleada en este diseño y se resaltan las áreas funcionales de la solución, sus componentes y sus correspondientes funciones de seguridad.

Marco de trabajo de la arquitectura de SMT.

Figura 2) Marco de trabajo de la arquitectura de SMT.

La nueva versión de SMT reconoce los diferentes patrones de tráfico que se producen en un entorno compartido. Los flujos de tráfico se dividen lógicamente en dos categorías diferentes: este-oeste y norte-sur. En un ejemplo típico, VMware® vShield proporciona seguridad para el tráfico este-oeste y se usa alguna combinación de servicios de seguridad de Cisco para proporcionar el nivel de seguridad necesario para el tráfico norte-sur. Estos componentes se describen con más detalle posteriormente.

Seguridad para el tráfico «este-oeste» frente al tráfico «norte-sur».

Figura 3) Seguridad para el tráfico «este-oeste» frente al «norte-sur».

Los flujos de tráfico norte-sur pueden ser de entrada o salida en relación con la infraestructura de SMT y normalmente van del cliente al servidor. Este tráfico cruza el centro de datos y se expone fácilmente a cualquier servicio que esté en esta ruta, incluidos los dispositivos de servidor de seguridad, de equilibrio de carga, de detección de intrusión y de análisis de red. En un entorno multi-tenancy, también se puede hacer pasar el tráfico entre clientes por los servicios de red de la infraestructura compartida. Esta funcionalidad es perfecta porque las normativas de cada cliente se aplican de manera uniforme entre todos los clientes. La exposición de los flujos de tráfico de entrada-salida a los servicios de seguridad en el centro de datos depende de los requisitos específicos de las aplicaciones y de las normativas generales de seguridad de la empresa.

Es importante destacar la naturaleza flexible de esta arquitectura, en la que un arquitecto de seguridad puede usar cualquier combinación de funciones de seguridad, tal como se describe en la siguiente sección que trata de las opciones de seguridad que ofrece SMT. Esta flexibilidad es una defensa total.

El tráfico este-oeste hace referencia a la comunicación entre servidores dentro del centro de datos. La protección de la comunicación entre servidores puede ser un requisito impuesto por las aplicaciones o uno empresarial. Normalmente, las aplicaciones empresariales requieren más disponibilidad, escalabilidad y/o potencia de procesamiento que la que puede proporcionar una única instancia de servidor. Para resolver estas cuestiones, los desarrolladores de aplicaciones usan funciones de servidores dedicadas. Cada función está especializada y depende de otros servidores. Los equipos virtuales son totalmente compatibles con este modelo de aplicaciones. En SMT, los flujos de servidor a servidor entre equipos virtuales pueden producirse en un único contenedor de cliente o entre clientes.

Para optimizar los patrones de tráfico este-oeste en un centro de datos virtualizado, es recomendable utilizar un dispositivo servidor de seguridad virtual como vShield para proporcionar conectividad segura entre equipos virtuales. Este servicio puede admitir con seguridad la comunicación dentro de un cliente o entre diferentes clientes. Por ejemplo, un servidor de seguridad virtual puede proporcionar conectividad segura para equipos virtuales cliente que necesiten acceder a servicios de la infraestructura (como Active Directory) alojados en un cliente de la infraestructura común.

Componentes que forman la base de la nueva versión de SMT


La infraestructura básica usada para SMT se compone de:

  • Switches de centro de datos de Cisco Nexus®
  • Cisco Unified Computing System™ (Cisco UCS)
  • Switch virtual distribuido Cisco Nexus 1000V
  • Almacenamiento de NetApp®
  • VMware vSphere™
  • VMware vCenter™ Server

La infraestructura necesaria para SMT es prácticamente idéntica a la arquitectura FlexPod™ anunciada recientemente y descrita en otro artículo de este número de Tech OnTap. FlexPod es un punto de partida excelente para SMT, pero no lo ofrece de forma predeterminada.

La base de SMT requiere varios componentes adicionales que se suman a los de la infraestructura básica.

La familia de soluciones de seguridad vShield de VMware ofrece protección preparada para la virtualización para centros de datos virtuales y entornos cloud, lo que refuerza la seguridad de las aplicaciones y los datos, mejora la visibilidad y la supervisión y acelera las actividades de cumplimiento de normativas de TI. La familia vShield incluye:

  • vShield Edge, que proporciona seguridad periférica de red y servicios para aislar los equipos virtuales en un grupo de puertos separándolos de la red externa. vShield Edge conecta redes aisladas de clientes separados a redes compartidas (vínculo superior) y proporciona servicios de seguridad de perímetro común como DHCP, VPN y NAT.
     
  • vShield App proporciona servicios de servidor de seguridad entre equipos virtuales mediante la aplicación de un filtro de servidor de seguridad en cada adaptador de red virtual. El filtro de servidor de seguridad funciona con transparencia y no requiere cambios de red ni la modificación de las direcciones IP para crear zonas de seguridad. Las reglas se pueden escribir usando agrupaciones de vCenter como centros de datos, clústeres, pools de recursos y vApps u objetos de red como un grupo de puertos y VLAN para reducir el número de reglas del servidor de seguridad y facilitar el seguimiento de dichas reglas.
     
  • vShield Zones de VMware es un servidor de seguridad virtual orientado a la conexión y gestionado de manera centralizada que se suministra con vSphere 4.1 y aprovecha la cercanía del host ESXi y la visibilidad de red virtual para crear zonas de seguridad. Gracias al aprovechamiento de varios contenedores lógicos de VMware, es posible reducir considerablemente el número de reglas necesario para proteger un entorno multi-tenancy y, por lo tanto, reducir la carga operativa relacionada con el aislamiento y la segmentación de clientes y aplicaciones. Esta nueva forma de crear normativas de seguridad está estrechamente ligada a los objetos de equipos virtuales de VMware y, por lo tanto, hace un seguimiento de los equipos virtuales durante el progreso de VMotion.

    Además de ser un servidor de seguridad de extremo con detección de activos, vShield Zones contiene una característica de generación de informes de red virtual a nivel de micro flujo que es fundamental para comprender y supervisar los flujos de tráfico virtual e implantar normativas de particiones según la amplia información que está disponible para los administradores de seguridad y redes.
     
  • La función de supervisión de flujos muestra los flujos de red permitidos y bloqueados en la granularidad del protocolo de las aplicaciones. Esto se puede usar para auditar el tráfico de red y como herramienta de solución de problemas operativos.

Cisco Nexus 1000V. Aunque el switch Cisco Nexus 1000V es un componente estándar de FlexPod, queremos mencionarlo aquí explícitamente por sus funcionalidades de seguridad. Cisco Nexus 1000V es un switch de software en un servidor que proporciona los servicios de Cisco VN-Link a los equipos virtuales alojados en ese servidor. Aprovecha el marco de trabajo de VMware vSphere para ofrecer total integración entre los entornos de servidores y red y ayudar a garantizar la disponibilidad de funcionalidades de red consistentes y basadas en normativas en todos los servidores del centros de datos. Permite transferir las normativas junto con un equipo virtual durante la migración dinámica, de modo que se garantiza el mantenimiento de una red persistente, de la seguridad y del cumplimiento de normativas de almacenamiento, lo que a su vez mejora la continuidad empresarial, la gestión del rendimiento y el cumplimiento de normativas de seguridad.

Como los centros de datos son cada vez más flexibles, aumentan las dificultades de los administradores de seguridad para supervisar activamente las amenazas de la infraestructura. Para resolver este problema, el switch virtual distribuido Cisco Nexus 1000V admite la supervisión mediante NetFlow, Switch Port Analyzer (SPAN) y Encapsulated Remote SPAN (ERSPAN). Estas funciones permiten que Cisco Nexus 1000V exporte datos del flujo de tráfico de equipos virtuales del entorno virtual a dispositivos de análisis externos o blades de servicio virtuales avanzados. En cualquier caso, Cisco Nexus 1000v ofrece visibilidad mejorada para que los equipos de seguridad puedan identificar el origen de las amenazas, visualizar las rutas de ataque y, finalmente, actuar.

El dispositivo de servicios virtuales Cisco Nexus 1010 aloja el módulo supervisor virtual (VSM) Cisco Nexus 1000V y admite el blade de servicio virtual del módulo de análisis de red (NAM) Cisco Nexus 1000V para proporcionar una solución integral para switches de acceso virtuales. Cisco Nexus 1010 proporciona hardware dedicado para VSM, por lo que facilita la puesta en marcha de switches de acceso virtuales al mismo tiempo que mejora el rendimiento y la eficiencia operativa.

NetApp MultiStore® permite crear particiones lógicas separadas y totalmente privadas en un único sistema de almacenamiento de NetApp en dominios administrativos diferenciados que reciben el nombre de unidades vFiler™. Estas unidades vFiler consiguen hacer que una única controladora de almacenamiento física parezca ser varias controladores lógicas. Cada unidad vFiler se puede gestionar individualmente con diferentes conjuntos de características de rendimiento y normativas. Puede aprovechar MultiStore para permitir que varios clientes compartan los mismos recursos de almacenamiento con un compromiso mínimo de la privacidad o la seguridad. El control administrativo del contenedor de almacenamiento virtual se puede delegar directamente en el cliente. El tema MultiStore se trató ya en un artículo reciente de Tech OnTap.

Opciones de seguridad de SMT


Además de los componentes estándar descritos en la sección anterior, también puede elegir entre una serie de componentes opcionales relacionados con la seguridad para satisfacer requisitos de seguridad concretos.

VMware vCloud Director (VCD) se basa en VMware vSphere y expone la infraestructura compartida virtual como centros de datos multi-tenancy completamente separados del hardware subyacente. Esto significa que, utilizando esta tecnología, puede proporcionar servicios de TI estandarizados en infraestructuras virtuales a través de un catálogo en línea. El tema vCloud Director se trató ya en otro artículo reciente de Tech OnTap.

La plataforma del sistema de switches virtuales (VSS) 1440 de la serie 6500 de Cisco Catalyst® es totalmente compatible con el uso de los módulos de servicio integrados de Cisco, como el motor de control de aplicaciones (ACE), el módulo de servicios de servidor de seguridad y el módulo de análisis de red. VSS de Cisco Catalyst se usa como plataforma de servicios basada en la red para la arquitectura de multi-tenancy seguro.

Los servicios de servidor de seguridad de Cisco proporcionan funcionalidades de seguridad de servidor orientadas a la conexión dentro de la arquitectura de SMT. Integrado como módulo o como dispositivo dedicado, los contextos de seguridad de servidor de seguridad virtual de Cisco se pueden introducir de forma transparente en el nivel de red de la capa dos o como «salto» de router en la tres. Con cualquier modelo de puesta en marcha, las normativas de seguridad asociadas a cada contexto de servidor de seguridad virtual se aplican de forma sistemática para proteger las redes relacionadas.

El módulo de motor de control de aplicaciones de Cisco (ACE) y las plataformas de aplicaciones se encargan del equilibrio de carga de los servidores, el control de tráfico de red, la redundancia del servicio, la gestión de recursos, el cifrado y la seguridad, así como la aceleración y optimización de aplicaciones, todo ello en un único dispositivo de red. Las tecnologías Cisco ACE proporcionan al centro de datos funciones a nivel de servicio de disponibilidad, escalabilidad y seguridad de dispositivos y redes.

Cisco ACE ofrece los siguientes servicios a nivel de dispositivo:

  • Redundancia física con funcionalidades de recuperación tras fallos
  • Escalabilidad mediante virtualización, lo que permite la partición lógica y la asignación de los recursos de ACE para satisfacer los requisitos de servicios de clientes específicos
  • Servicios de seguridad, incluidas ACL y cifrado de transporte (SSL/TLS), entre el contexto virtual ACE, los clientes y la red de servidores asociada

Los dispositivos del sistema de prevención de intrusión de Cisco (IPS) son sensores de red que se pueden disponer por toda la infraestructura como dispositivos de análisis de red promiscuos o sistemas de prevención de intrusión en línea. Los sensores IPS de Cisco le protegen mediante la detección, clasificación y bloqueo de amenazas basadas en la red, para lo que utilizan firmas de ataques asociadas con gusanos, virus y diferentes escenarios de abuso de aplicaciones. Este proceso se realiza por conexión, lo que permite que el tráfico legítimo fluya sin obstrucciones.

El módulo de análisis de red de Cisco (NAM) se suministra en diferentes modelos:

  • Módulo de servicio integrado para la plataforma de switches Cisco Catalyst 6500
  • Dispositivo físico con compatibilidad con Ethernet de varios gigabits o Ethernet de 10 GB
  • Blade de servicio virtual para puestas en marcha de Cisco Nexus 1000v

Independientemente del modelo, NAM ofrece análisis del flujo del tráfico de aplicaciones, hosts y conversaciones; mediciones del rendimiento de aplicaciones, servidores y latencia de red; indicadores de la calidad de la experiencia para servicios de red; y análisis de problemas mediante el uso de profundas y esclarecedoras capturas de paquetes. Cisco NAM incluye una interfaz gráfica de usuario de análisis de tráfico en línea integrada, que proporciona acceso rápido a los menús de configuración y presenta informes de rendimiento de fácil lectura en la web de diferentes tipos de servicios y tráfico. La línea de productos Cisco NAM mejora la visibilidad y supervisa el rendimiento de las diversas capas físicas y virtuales de la infraestructura.

Cisco Security Manager es una aplicación empresarial de gestión diseñada para configurar servicios de seguridad de servidor, VPN y sistemas de prevención de intrusión (IPS) en dispositivos de red y seguridad de Cisco.

Conclusión

Aunque apenas hemos tocado la superficie del total de funcionalidades de nuestra arquitectura de SMT, esperamos que esta introducción haya servido como presentación general de sus funcionalidades de seguridad. Si quiere más información acerca de las funcionalidades de compartimentación segura y las funcionalidades nuevas y optimizadas para el resto de aspectos fundamentales (disponibilidad, garantía de servicios y gestión), consulte nuestra guía de diseño. (Recuerde que esta guía habla de SMT y ESMT como términos sinónimos). Esta guía de 140 páginas trata todos los aspectos de la arquitectura y puesta en marcha de SMT.

Comunidad de NetApp
 ¿Qué opina de la nueva versión de SMT?

Formule preguntas, intercambie ideas y comparta sus opiniones en las comunidades en línea de NetApp.

Chris O’Brien

Chris O’Brien
Arquitecto de Soluciones
Cisco

Chris ha diseñado la arquitectura de las tecnologías de centros de datos más recientes del grupo de Arquitectura de Sistemas y Estrategia de Cisco. Actualmente se ocupa principalmente de la validación de diseños de centros de datos y la optimización de aplicaciones. Chris ha trabajado anteriormente como desarrollador de aplicaciones y tiene más de 15 años de experiencia en el sector de TI.

David Klem

David Klem
Arquitecto de Referencia
NetApp

David se unió a NetApp en 2005 como parte del equipo inicial que ideó la arquitectura y creó Kilo Client de NetApp, un cloud interno de 1.700 nodos que utilizaba NetApp Engineering. Actualmente, David trabaja para el equipo NetApp Infraestructure y Cloud Enablement, que se centra en las mejores prácticas y soluciones para arquitecturas basadas en cloud. Antes de empezar a trabajar en NetApp, trabajó en Cisco durante seis años como ingeniero en la plataforma de switches Cisco Catalyst®.

 
En profundidad