Las herramientas de seguridad necesitan bases sólidas

0
216

Allen Hebert, Ingeniero de sistemas senior de Gigamon

 

Uno de los pasos más importantes en el diseño y despliegue de una plataforma de visibilidad es determinar dónde y cómo se colectarán los paquetes de información a lo largo y ancho del ambiente computacional. No importa cuán imponente tus herramientas de seguridad o rendimiento son, si no les provees con los paquetes informáticos correctos, no serán capaces de hacer su trabajo de monitorear y proteger la infraestructura de red. Así de simple es. Una plataforma de visibilidad está diseñada desde los cimientos para colectar paquetes de interés provenientes de todo el entorno computacional, filtrado, transformación y posteriormente su entrega a las herramientas que las procesarán.

Este primer paso en el diseño del proceso, construye una sólida base para la capa de visibilidad de tráfico de red. El proceso de identificar el tráfico relevante y deducir donde en la red, se colectarán esos paquetes informáticos.

¿Qué paquetes necesito colectar?

Realmente depende de las herramientas que estés usando para monitorear y asegurar tu ambiente computacional. Estas aplicaciones dictarán que tipo de tráfico necesitas colectar. Si tienes herramientas que están analizando paquetes para reportar sobre aplicaciones o rendimiento de la red, resolución de problemas, será mejor que colectes datos en esos uplinks del acceso a la red a la capa de distribución o tal vez, de la capa de distribución al core. La meta es ver los paquetes de los usuarios finales a los servidores a los que usualmente tienen acceso ya sea en el centro de datos corporativo o en el Internet y esos paquetes típicamente atraviesan esos uplinks.

Para las herramientas de seguridad, las partes críticas de su entorno informático son los enlaces a Internet, el centro de datos a los enlaces de capa de agregación dentro de su centro de datos, los conmutadores virtuales en su nube privada y los paquetes que fluyen hacia o desde sus servidores en la nube pública. Hay muchos tipos diferentes de herramientas de seguridad disponibles en el mercado, y cada uno tiene preferencias específicas de recopilación de datos. Algunas herramientas se centran en la prevención de pérdida de datos (DLP), la detección y protección de intrusos y malware; Otros en aplicaciones, Web, bases de datos y seguridad de archivos. Por ejemplo, si está preocupado por el malware y la protección contra intrusos o tal vez DLP, debe recopilar datos de las conexiones a Internet y los vínculos del centro de datos que contienen paquetes destinados a los servidores de archivos y correo. Si le preocupa la actividad maliciosa dentro de su centro de datos (DLP, IDS, exfiltración de datos), desee supervisar el tráfico este-oeste (servidor a servidor) recopilando paquetes de los enlaces que transportan tráfico de servidor a servidor Como los conmutadores virtuales dentro de su nube privada. Como dice el refrán, usted no puede protegerse contra las amenazas que no se puede ver.

Es aconsejable aprender las necesidades de datos de sus herramientas para asegurarse de que está recogiendo los paquetes que importan. Para maximizar su eficacia y proteger su red de problemas de rendimiento o amenazas de seguridad, lo mejor es recopilar y entregar todos los paquetes que una herramienta necesita para ver y evitar el envío de paquetes irrelevantes, lo que aumentará el ancho de banda requerido en la interfaz de red física y agregará extra Procesador para filtrar datos extraños.

Colectar paquetes: La capa física

Los clientes a menudo preguntan: “¿Dónde debo desplegar mis TAPs?” Normalmente, sólo unos pocos miembros de su organización tendrán una respuesta a esa pregunta. De hecho, es una ocurrencia relativamente rara que aquellos que poseen las herramientas tienen un conocimiento profundo de la arquitectura de red que se les encarga el monitoreo. El equipo de seguridad (y tal vez otros equipos que tienen herramientas que desean ver paquetes) sabe qué tipo de datos necesitan ver sus herramientas y el equipo de red sabe dónde están los paquetes que fluyen dentro de su red. Una coordinación estrecha entre estos dos grupos es clave para desplegar eficazmente una plataforma de visibilidad.

Una vez que haya definido los requisitos de recopilación de datos de las herramientas, debe seleccionar dónde, en su entorno informático se pueden obtener estos datos. Necesitará un dibujo de red que incluya información tanto sobre las conexiones físicas entre el equipo de red como sobre la ruta lógica de los paquetes. Por lo general, tal dibujo no existe, simplemente hay demasiada información para caber todo en un solo dibujo. El dibujo lógico del entorno informático que muestra servidores, centros de datos, VLANs de usuario final y puntos de acceso a Internet, así como la forma en que se conectan entre sí a través de cortafuegos y funciones de enrutamiento. Esta vista lógica del entorno de cómputo debe entonces colocarse encima del dibujo de la red física de tal manera que muestre claramente los paquetes de trayecto que toman del punto A al punto B.

Además de las ubicaciones tradicionales (por ejemplo, Red de área local, Centro de datos, DMZ), los paquetes de interés se pueden encontrar en un entorno de servidor virtual o un servicio de nube pública como Amazon Web Services (AWS).

Para proporcionar el mayor beneficio, las herramientas que funcionan mediante el análisis de paquetes necesitan recopilar todos los paquetes que necesitan del entorno informático que supervisan. Para ser responsable desde el punto de vista fiscal, deberá identificar el número más pequeño de cables de red físicos que alcancen este objetivo e instalar un punto de acceso de prueba (TAP) en estos vínculos. Un TAP normalmente es una pieza relativamente simple de hardware que se instala en el cable que conecta dos dispositivos de red y genera una copia de toda la información que viaja entre los dos dispositivos de red.

Lo mejor es utilizar TAP 99% del tiempo, pero si no puede darse el lujo de poner TAPs cada enlace conectado a un switch de distribución determinado, entonces se puede obtener una copia del tráfico configurando un puerto SPAN / Mirror en un switch o enrutador dentro de una ruta lógica de datos donde circula el tráfico de interés. La regla de oro de una plataforma de visibilidad es: TAP donde se pueda, SPAN si es necesario. SPAN y TAP no son iguales.

Cantidad y calidad

Recolectar paquetes es probablemente la parte más importante del diseño de su plataforma de visibilidad. Si recoge los paquetes erróneos, recopila muy pocos paquetes descuidando una parte de su entorno informático o pierde paquetes durante un ataque de denegación de servicio u otra situación de impacto en su red, el rendimiento de la herramienta se verá seriamente afectada. La mayoría de las herramientas de seguridad dependen de ver toda la conversación para localizar y aislar las amenazas y si falta un paquete de una sesión de aplicación, se descarta toda la transacción. Los paquetes importan. Construya su red de visibilidad sobre una base sólida. Planee su esquema ideal de recolección de paquetes, implemente lo que pueda y documente los puntos débiles en su plan de recolección de datos.

El objetivo de crear una plataforma que mejore la supervisión de su entorno informático requiere diseño, implementación y mantenimiento adecuados. He visto muchas implementaciones de herramientas fantásticas que están conectadas a un único puerto SPAN de un enrutador central. En mi opinión este enfoque hace un mal servicio al proveedor de herramientas que creó un gran producto y al cliente que esperaba un gran producto para satisfacer la necesidad de negocio para la que lo compró.

Si está leyendo este artículo, probablemente esté descontento con el statu quo y está buscando un enfoque más confiable, predecible y escalable para supervisar y proteger sus datos en movimiento. La Plataforma de Visibilidad le dará la posibilidad de alcanzar este objetivo. Vea lo que importa.