Los ingenieros de La Salle-URL comparten las últimas novedades y proyectos en el campo de las soluciones de red en ingeniería telemática.

13 Abril 2022 | Publicado por userDataCenter

Ponencia Checkpoint 21/22 – Nueva era de seguridad para el centro de procesamiento de datos híbrido

¡Buenos días, compañeras y compañeros de la Salle! En esta entrada que se os trae hoy aquí se os hablará brevemente sobre la ponencia del pasado jueves día 7 de abril en la asignatura “Gestión y planificación de redes”.
Tuvimos el privilegio de recibir a Raúl Villanúa, ejerciendo actualmente como Security Engineer & Team Leader en la reconocida empresa Checkpoint. Raúl trató una serie de conceptos bastante interesantes y directamente relacionados con la seguridad dentro de los CPDs on-premise que valen la pena destacar sobre todo de cara a su diseño, tarea que se nos ha encargado a modo de proyecto desde la misma asignatura.

En primer lugar, empezó haciendo una reflexión introductoria a modo de debate sobre cuáles eran los principales motivos que impulsaban a los clientes más importantes del mercado actual a trasladar su CPD al cloud. Ideas como la viabilidad o el ahorro de infraestructura hicieron acto de presencia por parte de los alumnos, pero el entorno principal para el que el experto cree que debería utilizarse es en modelos de negocio estacionarios ya que se adapta a lo que uno necesita en todo momento (doblar la potencia un cierto período de tiempo, activar y desactivar un servicio durante unos minutos, etc.). Al parecer, muchos clientes se plantean el cambio a la nube con el propósito de ahorrar costes lo que es completamente erróneo, pues la cantidad de material on-premise que se desecha puede llegar a ser considerable.

Raúl procedió su ponencia con una idea principal bien definida: “cloudificar los CPDs on-premise”. Los clientes actualmente buscan soluciones que duren lo máximo posible adaptándose a los diferentes cambios que puedan acontecer realizando únicamente un solo esfuerzo económico. Una primera característica que debe garantizarse siempre para conseguirlo es la seguridad máxima, pues se han dado casos de clientes que comienzan a retirar funciones de seguridad de sus firewalls debido a que éstos han llegado a su límite en cuanto a rendimiento, acción que compromete totalmente la seguridad del entorno. En segundo lugar, otra capacidad imprescindible es la hiperescalabilidad que permite crecer bajo demanda, asegurando que la solución a ofrecer podrá adaptarse para soportar, por ejemplo, desde incrementos de tráfico en momentos puntuales hasta nuevos protocolos de comunicación que requieran más ciclos de CPU. En tercer lugar, debe garantizar la máxima eficiencia a la hora de montar arquitecturas de clases en las que se aproveche la máxima cantidad de material posible por el que se ha pagado a diferencia de otras propuestas existentes actualmente tales como las configuraciones activo-activo o activo-pasivo. En definitiva, lo que debe procurarse siempre es que el cliente no piense que se ha equivocado comprando nuestra solución asegurando la linealidad de esta en los costes de los incrementos de capacidad.

Así pues, la solución que Checkpoint ofrece al mercado desde hace unos dos o tres años no es otra que un dispositivo llamado Quantum Maestro Orchestrator MHO-175 cuya funcionalidad es muy parecida, en términos generales, a la de un switch convencional. Éste es el encargado de ser el gestor de una arquitectura de comunicaciones de firewall en la que, en vez de tener dispositivos uno al lado del otro donde uno está activo y el otro en standby, se pueden llegar a tener hasta cincuenta y dos equipos operando al mismo tiempo en función de la demanda del cliente. Dentro de cada dispositivo existe la opción de crear instancias virtuales (datacenter, web, email, etc.) en función del servicio para el que se quiera destinar. La principal ventaja de ello es que las condiciones de Maestro son muy potentes ya que el cliente únicamente debe preocuparse de insertar todo el músculo que necesite en función de la capacidad requerida llegando a soportar enlaces de comunicaciones del orden de terabits. Cabe recalcar que se aprovecha toda la capacidad de los dispositivos que se insertan ofreciendo una escalabilidad totalmente lineal en el escenario. En cuanto a la conectividad, Maestro, habitualmente presentando redundancia para evitar puntos de fallo, se conecta directamente a la red mientras que las conexiones con los firewalls son cables directos con ópticas ya soldadas. Una ventaja muy importante que ofrece es que es compatible tanto con los dispositivos Checkpoint más novedosos que acaban de ser lanzados al mercado como con los más antiguos que existen (siempre y cuando tengan algún enlace al menos de 10 gigabits), hecho que permite reaprovechar en gran medida el hardware ya obtenido por el cliente. En cambio, uno de los principales inconvenientes es que únicamente es compatible con Checkpoint, siendo una complicación considerable en caso de que el CPD del cliente esté formado por dispositivos firewall de diferentes fabricantes.

La conferencia acabó explorando con algo más de detalle algunos casos reales de escenarios en los que Maestro está actualmente implementado y funcionando, siendo capaz de adaptarse a las diferentes necesidades de negocio que el cliente pueda presentar ya sea desde formaciones de security groups hasta gestión de autoscaling a través de umbrales de rendimiento. Por último, sólo queda agradecerle por parte de los alumnos a Raúl por el tiempo empleado en nosotros ya que los contenidos expuestos nos resultarán de gran utilidad de cara a la entrega mencionada a realizar al final de curso.
 

Enric Sasselli
Share