Un enfoque integrado de múltiples capas para proteger las redes a escala web

Por Jeff Sugimoto, líder global del negocio de escala web de Nokia

Internet ha evolucionado de una red IP de mejor esfuerzo para correo electrónico y navegación a una red en el centro de una revolución digital en la forma en que vivimos, trabajamos y jugamos. Todos los sectores, desde la industria y el comercio hasta el entretenimiento y la energía, ahora dependen de las redes IP para la conectividad, y todos esperan capacidad de respuesta en tiempo real, conectividad segura y 100 por ciento de confiabilidad a cambio de sus tarifas.

Las empresas de escala web a menudo ofrecen puntos de interconexión para el tráfico y asegurar estos puntos intermedios es esencial. Las consecuencias económicas y políticas de tales ataques de violación de datos de intermediarios están aumentando.

Las empresas que adoptan la digitalización están preocupadas por la pérdida de ingresos y reputación, mientras que los gobiernos están preocupados por la creciente interrupción de la infraestructura y los servicios críticos, aparentemente por parte de actores estatales nefastos.

DDoS se está convirtiendo en la categoría de tráfico de más rápido crecimiento, incluso más rápido que los juegos o los videos. Los nuevos dispositivos, incluidos miles de millones de dispositivos de Internet de las cosas (IoT) y servidores de gran ancho de banda, son secuestrados y utilizados junto con técnicas de reflexión, amplificación y bombardeo de alfombras para lanzar ataques cada vez más sofisticados que reducen la calidad del servicio y el acceso al servicio. Los nuevos vectores de ataque DDoS de ráfaga corta causan interrupciones que son mucho más difíciles de identificar y mitigar que los ataques anteriores.

En el pasado, los enrutadores de emparejamiento se veían obligados a enviar todo el tráfico sospechoso de llevar ataques DDoS volumétricos o de nivel de aplicación a centros de depuración centralizados apilados con dispositivos de mitigación DDoS. Los analistas de seguridad hicieron todo lo posible para limpiar el tráfico sospechoso a través del análisis manual, pero esto tuvo un costo considerable en licencias de dispositivos DDoS y ancho de banda de backhaul. El análisis manual también era propenso a falsos positivos y falsos negativos.

Lo que exaspera aún más el panorama emergente de amenazas a la seguridad es que las funciones de red y servicio se están desagregando, distribuyendo e implementando en cualquier lugar al que necesiten ir para optimizar la capacidad, la latencia, la confiabilidad y la experiencia del servicio. Este diseño abierto, desagregado y distribuido presenta muchas superficies nuevas que los atacantes pueden explotar.

La evolución de la seguridad de la red IP

La solución a estos desafíos radica en aprovechar la infraestructura de red IP y hacer que desempeñe un papel más importante en la protección de la red, sus servicios y, por lo tanto, la experiencia de servicio de los clientes. Para proporcionar la escalabilidad y la funcionalidad requeridas para proteger grandes redes de misión crítica, la seguridad de la red IP debe ser como el reenvío de paquetes: una función altamente escalable y de alto rendimiento de la red de enrutadores IP. La seguridad debe estar integrada en el ADN de cada capa de la red IP.

El silicio IP de un enrutador debe estar diseñado para soportar ataques de velocidad de bits constante o en ráfagas sin interrupciones del servicio. Debe ofrecer la velocidad de filtrado, la precisión y la escala necesarias para ser un sensor de ataque DDoS y un dispositivo de mitigación de alta precisión, y debe proporcionar cifrado incorporado para proteger todos los datos que fluyen a través de él. Y debe hacer todo esto a la velocidad de la línea, sin afectar el rendimiento de ningún servicio que se ejecute en el mismo conjunto de chips.

El sistema operativo de red (NOS) del enrutador IP debe estar diseñado específicamente para ser seguro, robusto y trabajar con el silicio IP para mitigar todos los ataques que intenten consumir sus recursos, secuestrar sus procesos o sabotear su plano de control.

También se puede implementar un componente de análisis de seguridad de big data que contiene la amplia inteligencia situacional de extremo a extremo y el análisis multidimensional para ayudar a automatizar la respuesta de la red a los ataques para minimizar el impacto en la red.

Seguridad integrada basada en silicio

El silicio de red IP basado en enrutadores, diseñado para la seguridad, debe tener la capacidad de distinguir y controlar el tráfico bueno y malo con gran precisión, al tiempo que minimiza los daños colaterales. Debe poder ver el servidor secuestrado y los dispositivos IoT responsables del ataque y poder detener o limitar el tráfico de estas fuentes sin afectar a ningún otro tráfico que comparta ese túnel.

Para lograr esta tarea se requiere monitorear y controlar decenas de miles de fuentes, lo que a su vez requiere decenas de miles de filtros y colas que se pueden configurar sin afectar el rendimiento, incluso cuando los enlaces están completamente saturados.

Una nueva generación de cifrado basado en silicio

Las empresas de escala web pueden ayudar a garantizar la confidencialidad y la integridad de todos los flujos de datos que atraviesan sus redes mediante el cifrado a nivel de red. Sin embargo, hay fallas en las técnicas existentes. La tecnología de cifrado de última generación optimizada para entornos de escala web debería proporcionar:

Baja latencia: para admitir aplicaciones y servicios sensibles al tiempo
Simple, de bajo costo: para permitir la implementación a gran escala
Flexible: para admitir todos los protocolos de red
Muy seguro: basado en estrictos estándares de cifrado de 256 bits
Multiprotocolo: ampliado desde Ethernet y VLAN para incluir cifrado nativo en MPLS, enrutamiento de segmentos u otros protocolos de enrutamiento.

Para proporcionar la latencia, el rendimiento y la capacidad de red universal necesarios, este enfoque de cifrado debe implementarse en silicio. Con este enfoque basado en silicio, la mejor tecnología de red de su clase se fusiona con el mejor cifrado de su clase para hacer que las redes seguras (al igual que el reenvío de paquetes) sean una capacidad universal de alto rendimiento de la propia red.

Un sistema operativo de red de autodefensa

El sistema operativo de red (NOS) de un enrutador debe desempeñar un papel importante en la seguridad de la red. Los filtros de hardware en la tarjeta de línea deben usarse para identificar y descartar el tráfico de pares o paquetes que no son de confianza identificados como parte de un ataque en curso. Se monitorean los paquetes del Protocolo de resolución de direcciones (ARP) y el Protocolo de mensajes de control de Internet (ICMP) que se usan comúnmente en los ataques. Cada vez que cruzan un umbral dinámico, se les limita la tasa o se marcan para su descarte, según corresponda.

En el momento en que los paquetes salen de la tarjeta de línea y entran en el procesador de control, gran parte del tráfico de ataque ya se ha limitado o descartado. Una vez que ingresan al complejo del procesador de control, se brindan más defensas al eliminar los paquetes que tienen un formato incorrecto o que han violado su protocolo que podría interferir con la lógica del plano de control.

Luego, el tráfico se aísla en miles de interfaces virtuales y colas a las que accede la CPU de manera programada. Este aislamiento garantiza una protección total para que los jugadores malintencionados nunca puedan bloquear a los que se portan bien y el complejo de control nunca podrá verse abrumado.

Análisis de grandes datos

Las herramientas de análisis de Big Data se pueden combinar con información en tiempo real de la propia red para proporcionar una respuesta eficaz a los ataques DDoS a medida que aumentan en escala, sofisticación y frecuencia.

Al tener una instantánea precisa y en tiempo real de lo que fluye a través de la red, mediante el procesamiento de telemetría avanzada de la red y un conocimiento profundo del tráfico de Internet, se pueden crear políticas para identificar y mitigar los ataques volumétricos que componen casi todos los DDoS.

Esta nueva generación de identificación/mitigación basada en red es mucho más rentable y escalable para eliminar DDoS volumétricos en comparación con los modelos de centro de depuración basados en dispositivos, lo que permite que las redes a escala web brinden protección DDoS volumétrica para todos los clientes, no solo para una pequeña cantidad de los clientes más exigentes.

Conclusión

Dado que las redes IP desempeñan un papel cada vez más importante en nuestra vida diaria, los ataques contra ellas seguirán creciendo en escala, sofisticación y frecuencia. Tanto el rendimiento de la red como la confidencialidad/integridad de los datos que fluyen a través de ella están en el punto de mira.

Para ganarse la confianza de los clientes, las redes Webscale deben poder demostrar que pueden evitar estos ataques de manera proactiva o, como mínimo, identificarlos y erradicarlos rápidamente.

El éxito implica un cambio fundamental en la forma en que las empresas de Webscale protegen sus redes IP. Requiere pasar de las soluciones de seguridad superpuestas a las capacidades de seguridad integradas en la propia infraestructura de la red.