Desafíos de la infraestructura de red

Factores a tener en cuenta en la migración a la nube

La migración a la nube casi nunca se produce de una vez. Pocas organizaciones pueden incorporar un único proveedor de soluciones en la nube, más bien son más las que utilizan una combinación de nube pública, privada e infraestructura local.

Existen buenas razones para mantener una infraestructura heterogénea, aunque no se puede decir lo mismo de las funciones de red que la apoyan:

• Seguridad, p.ej. firewall, mitigación de DDoS y gestión de acceso de usuarios.

• Rendimiento y fiabilidad, p.ej. equilibrio de carga, aceleración de tráfico y optimización de la WAN.

Paradójicamente, un enfoque híbrido para proteger y acelerar los complejos entornos en la nube crea en realidad problemas de rendimiento, deficiencias en materia de seguridad y problemas de soporte. Para evitar estos problemas, los equipos informáticos y de seguridad deben encontrar formas de que estas funciones de red cooperen de la mejor forma posible.

Infraestructura de seguridad y rendimiento: modelos y desafíos comunes

Por lo general, para proteger y acelerar la infraestructura de nube híbrida y multinube se requiere una o más de las siguientes opciones:

• Dispositivos de hardware en entorno local

• Varias soluciones de punto entregadas en la nube

Lamentablemente, ambos enfoques plantean desafíos importantes.

Desafíos de los dispositivos de hardware en entorno local

Es sabido que el hardware de los centros de datos es caro, exige mucho tiempo y, además, suele contar con limitaciones de capacidad. Por ejemplo, según un estudio de Cloudflare, el 98 % de todos los ataques DDoS de capa 3/4 del cuarto trimestre de 2021 generaron hasta 1 millón de paquetes por segundo (pps). Por lo general, una interfaz Ethernet de 1 Gb/s puede entregar entre 80 000 y 1,5 millones de pps.

Suponiendo que la interfaz también entrega tráfico legítimo, incluso estos ataques DDoS, cuya tasa de paquetes es "pequeñas, pueden interrumpir fácilmente una propiedad de Internet. La alternativa es mantener suficiente capacidad para el peor de los casos, pero no es una propuesta barata.

El hardware también crea vulnerabilidades en la seguridad. Los parches y las actualizaciones son un ejemplo. Los parches dependen de la instalación manual, que podría retrasarse por motivos logísticos o despistes. Además, una vez que se publica un parche, la vulnerabilidad correspondiente se convierte en un objetivo de mayor visibilidad para los atacantes oportunistas.

Es más, cuando se implementan en un enfoque de nube híbrida, los dispositivos de hardware de red crean deficiencias de seguridad. Obviamente es imposible instalar tu propio hardware en un proveedor de nube de terceros. Esto significa que diferentes partes de la infraestructura están protegidas de diferentes maneras, lo que reduce la visibilidad y el control de los equipos de seguridad e informática sobre los ataques entrantes y el tráfico legítimo.

Desafíos con ciertas soluciones basadas en la nube

Los servicios en la nube tienen un coste total de propiedad inferior al del hardware, pero pueden ralentizar el rendimiento de las aplicaciones y la red si se implantan de forma incorrecta. Por ejemplo, muchos de ellos dependen de un número limitado de centros de datos especializados, por ejemplo, centros de filtrado para mitigación de DDoS. Si tu empresa (o tus usuarios finales) no está cerca de uno de esos centros de datos, tu tráfico tendrá que recorrer una larga distancia para llegar a ellos, aunque el destino final esté cerca.

Este proceso de retorno puede agregar una latencia considerable. Además, el problema se agrava cuando una organización utiliza diferentes proveedores para diferentes funciones de red, y el tráfico debe hacer muchos saltos de red antes de llegar a su destino.

El uso de diferentes proveedores para diferentes funciones también plantea desafíos en materia de soporte. Cuando algo sale mal, puede ser difícil saber cuál proveedor es la causa de la congestión o la interrupción. Además, el tiempo (y, por lo tanto, los costos) necesario para administrar todos estos proveedores pueden ser altos.

¿Cómo pueden las organizaciones superar estos desafíos?

Las redes distribuidas en la nube compensan las deficiencias de seguridad y reducen la latencia

Las estrategias anteriormente mencionadas para proteger y acelerar la infraestructura de la nube comparten varias limitaciones:

• Problemas de rendimiento: el hardware tiene una capacidad limitada, mientras que los servicios basados en la nube pueden causar latencia, especialmente cuando el tráfico pasa por varias redes en la nube para el uso de varios servicios.

• Controles y supervisión inconsistentes: el uso de distintos servicios para diferentes funciones de red dificulta la aplicación de reglas coherentes y la supervisión del tráfico global.

• Soporte: el uso de distintos servicios dificulta el diagnóstico de los problemas.

Las soluciones a todos estos problemas son la integración y el alcance global, es decir, permitir que estas funciones de red funcionen juntas de la forma más eficaz posible en todo el mundo.

En la práctica, este enfoque normalmente significa usar una red de nube distribuida. Una red de nube distribuida es una red con:

• Muchos puntos de presencia con distribución global. Gracias a ello, los usuarios finales siempre están cerca de la red, lo que elimina la latencia que proviene del tráfico que viaja hacia y desde un centro de filtrado lejano, servidor VPN u otro servicio.

• La capacidad de realizar varias funciones de seguridad y rendimiento en cada punto de presencia. De esta forma, el tráfico se puede filtrar, enrutar y acelerar en un solo centro de datos, en lugar de tener que saltar de una ubicación a otra para cada función, lo que a su vez crea redundancia. Si un centro de datos se sobrecarga o falla de otro modo, otros pueden hacerse cargo al instante.

• La capacidad de trabajar con la nube y la infraestructura local. Esta capacidad, junto con las anteriores, permite a los equipos informáticos y de seguridad establecer controles coherentes y supervisar el tráfico global desde un único lugar.

Las redes distribuidas en la nube a menudo dependen de Anycast, un método de direccionamiento y enrutamiento de red en el que las solicitudes entrantes se pueden dirigir a una variedad de ubicaciones o "nodos" diferentes. Anycast permite a estas redes enrutar el tráfico entrante a la ubicación más cercana con capacidad para procesar la solicitud con eficacia, un componente crítico que reduce la latencia para los usuarios finales.

Con una interconexión, enrutamiento inteligente y redundancia de este tipo, los desafíos como los controles inconsistentes, la latencia y los retos en materia de soporte son mucho menos propensos a interferir en la migración a la nube.

La red en la nube distribuida de Cloudflare tiene centros de datos en 310 ciudades de 120 países, cada uno de los cuales puede aplicar reglas de firewall, mitigar ataques DDoS, equilibrar la carga del tráfico y almacenar contenido en caché para acelerar la entrega de contenido a los usuarios finales, entre otras capacidades.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

• Las ventajas y desventajas de la infraestructura heterogénea.

• Los desafíos con el hardware local y múltiples soluciones específicas entregadas en la nube.

• Cómo una red distribuida en la nube elimina estos desafíos.

Recursos relacionados

• La desaparición de los equipos de hardware de red

• ¿Qué es Anycast?

• La red global de Cloudflare