Informe tcnico

Cinco pasos para la proteccin del Data Center:

Las soluciones de seguridad tradicionales pueden
no ser suficientes
Descripcin general
Los administradores del Data Center se enfrentan a un gran desafo: necesitan proteger el Data Center sin que
se vean reducidos el rendimiento y la funcionalidad que permiten los nuevos entornos de Data Center. Muchos
de ellos tratan de hacerlo mediante soluciones diseadas para el permetro de Internet, pero estas soluciones
no son suficientes. El Data Center impone requisitos nicos de aprovisionamiento, rendimiento, virtualizacin,
aplicaciones y trfico para los que los dispositivos de seguridad del permetro de Internet simplemente
no se han diseado.

La proteccin del Data Center requiere una solucin que pueda realizar las siguientes acciones:

Proporcionar visibilidad y control sobre las aplicaciones personalizadas de Data Center

Procesar los flujos de trfico asimtrico y transacciones de aplicacin entre dispositivos y Data Centers
Adaptarse, a medida que evolucionen los Data Centers, a la virtualizacin, las redes definidas por software
(SDN), la virtualizacin de funciones de red (NFV), Cisco Application Centric Infrastructure (ACI), etc.
Hacer frente al ciclo del ataque completo: antes, durante y despus de que se produzca
Integrarse con la seguridad implementada a travs de toda la red
Admitir implementaciones y trfico entre Data Centers geogrficamente dispersos, incluidos los entornos
pblicos y de nube

Objetivo prioritario a defender: el Data Center

Muchas campaas actuales de delincuencia online se han diseado especficamente para ayudar a los
adversarios a llegar hasta el Data Center, que contiene datos de gran valor, como datos personales de clientes,
informacin financiera y datos protegidos por leyes de propiedad intelectual. 1 Sin embargo, proteger el Data Center
es un verdadero desafo. El trfico asimtrico, las aplicaciones personalizadas, los grandes volmenes de trfico
que deben dirigirse fuera de la capa de informtica y hasta el permetro del Data Center para su inspeccin,
la virtualizacin a travs de varios hipervisores, as como los Data Centers geogrficamente dispersos, son
factores que dificultan la proteccin del Data Center por parte de las soluciones de seguridad que no se han
diseado para tal fin. El resultado de todo ello es la existencia de lagunas en la cobertura de seguridad, un notable
impacto en el rendimiento del Data Center, la necesidad de poner en peligro la funcionalidad del Data Center para
incluir limitaciones de seguridad, as como un aprovisionamiento complejo de soluciones de seguridad que
menoscaba la capacidad del Data Center para proporcionar recursos de forma dinmica y a demanda.

1
Informe anual de seguridad de Cisco 2014: http://www.cisco.com/web/offers/lp/2014-annual-security-
report/index.html?keycode=000350063.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 1 de 6
 Mientras tanto, el Data Center permanece en evolucin, migrando de entornos fsicos a entornos virtuales
de ltima generacin, como SDN y ACI. El trfico del Data Center ya crece exponencialmente, impulsado en gran
medida por el uso de la nube y el entorno emergente Internet of Things (IoT), en el que Internet y las redes
se expanden a lugares como plantas de fabricacin, redes de energa, instalaciones sanitarias y transportes.

Cisco prev que, en 2017, el 76 por ciento del trfico del Data Center permanecer dentro de este y se generar,
en gran medida, a partir de datos de almacenamiento, produccin y desarrollo en un entorno virtual. 2 Gartner tiene
previsto aumentar en un 3000 por ciento las conexiones por segundo del Data Center para finales de 2015. 3

Los Data Centers modernos ya proporcionan un sinfn de aplicaciones, servicios y soluciones para las empresas.
Muchas organizaciones confan en los servicios que se han implementado a travs de Data Centers
geogrficamente dispersos para satisfacer sus crecientes necesidades de trfico y Cloud Computing. Tambin
es necesario abordar iniciativas estratgicas como el anlisis de Big Data y la gestin de la continuidad empresarial,
que aumentan la importancia del Data Center como parte fundamental de la red troncal de la empresa.
Sin embargo, estos aspectos tambin afianzan el Data Center como el principal objetivo para los actores
malintencionados, que disean amenazas cada vez ms sofisticadas destinadas a evadir la deteccin y acceder
a los recursos de Data Center. Todo esto significa que los equipos de seguridad lo tendrn ms difcil a la hora
de monitorizar y proteger el Data Center.

Otra complicacin para los administradores del Data Center y sus equipos: el aprovisionamiento y las limitaciones
de rendimiento tienen un impacto significativo en la manera de implementar soluciones de seguridad, como
firewalls de ltima generacin, y en la cantidad de trfico que pueden inspeccionar. La seguridad no puede
menoscabar el rendimiento del Data Center. En el Data Center actual, el aprovisionamiento de la seguridad debe
llevarse a cabo en plazos de horas o minutos, no de das o semanas. El rendimiento debe ampliarse de forma
dinmica para procesar trfico o rfagas de gran volumen.

Cinco pasos para la proteccin del Data Center

Una seguridad completa del Data Center requiere un planteamiento basado en una defensa en profundidad,
que abarca cinco reas clave. La solucin debe:

1. Proporcionar visibilidad y control sobre las aplicaciones personalizadas de Data Center. Los
administradores del Data Center necesitan tener visibilidad y control sobre las aplicaciones
personalizadas de Data Center; no nicamente sobre las aplicaciones tradicionales basadas en la red
(por ejemplo, Facebook y Twitter) y microaplicaciones asociadas que inspeccionan los dispositivos
de seguridad tradicionales del permetro de Internet. La mayora de firewalls de ltima generacin estn
diseados para inspeccionar el tipo de trfico que fluye a travs del permetro de Internet y no protegen
estas aplicaciones personalizadas del Data Center.
2. Administrar los flujos de trfico asimtrico y transacciones de aplicacin entre dispositivos y Data
Centers. La seguridad debe integrarse en el fabric de Data Center, no simplemente en el permetro. Las
soluciones en el permetro no pueden inspeccionar ambos flujos de trfico, el trfico cliente-servidor
(entrante-saliente) y el trfico horizontal (entre aplicaciones); este ltimo representa la mayor parte del
trfico del Data Center. Si el trfico de aplicaciones se debe enviar al permetro del Data Center,
a un firewall de ltima generacin para su inspeccin y devolverlo a la capa de informtica (conexinentre
nodos), la solucin menoscaba el flujo de trfico dinmico que requieren los Data Centers modernos.

2
ndice mundial sobre entornos de nube de Cisco: previsin y metodologa, 2012-2017: http://www.cisco.com/2012
2017/c/en/us/solutions/collateral/service-provider/global-cloud-index-gci/Cloud_Index_White_Paper.html.
3
Security Week: http://www.securityweek.com/data-centered-focusing-security-combat-rise-data-center-attacks

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 2 de 6
 Muchos firewalls de ltima generacin no pueden proteger el trfico asimtrico. En el routing asimtrico,
tpico de los Data Centers, un paquete recorre un trayecto distinto para volver a su origen. Esto supone
un problema para muchos firewalls de ltima generacin, pues se han diseado para rastrear,
inspeccionar y administrar los flujos de trfico a travs de una ruta nica y predecible.
Las soluciones de seguridad para el Data Center tambin deben poder procesar transacciones
de aplicaciones entre Data Centers o dispositivos, incluidos los dispositivos virtuales. Los dispositivos
virtuales son igual de vulnerables que los fsicos, pero la seguridad en el Data Center tambin debe
poder afrontar los desafos especficos de los entornos virtuales, incluida la creacin, eliminacin
y migracin constantes de la carga de trabajo.
3. Adaptarse a medida que evolucionen los Data Centers. A medida que los entornos de Data Center
migren desde modelos fsicos a otros virtuales y de ltima generacin SDN, ACI y NFV, las soluciones
de seguridad deben poder ampliarse de forma dinmica y proporcionar una proteccin homognea, capaz
de funcionar con fluidez en este proceso de evolucin y en entornos de Data Center hbridos. En estos
nuevos modelos de Data Center, que implican un aprovisionamiento rpido de dispositivos virtuales
y fsicos, puede suceder que las reglas de seguridad se amplen rpidamente y sin control. La gestin
de la lista de control de acceso (ACL) ya supone un desafo para muchos equipos de TI.
Se requiere una aplicacin automtica, ya que el aprovisionamiento de los nuevos dispositivos permite
reducir de das a minutos la duracin de las implementaciones, sin preocuparse por las consecuencias para
la seguridad. De forma parecida, la capacidad de implementar una nica solucin de seguridad a travs
de Data Centers hbridos, muchos de ellos con varios hipervisores (monitores de mquinas
de virtualizacin), permite a los equipos de TI centrarse en la funcionalidad del Data Center sin tener que
responsabilizarse de la sobrecarga de seguridad administrativa.
4. Hacer frente al ciclo del ataque completo: antes, durante y despus de que se produzca. Los
planteamientos de seguridad tradicionales ofrecen una visibilidad y una percepcin limitadas de las
amenazas en un entorno de Data Center, y se centran principalmente en bloquearlas en el permetro.
Para abarcar el ciclo del ataque completo, es necesario monitorizar un amplio abanico de vectores
de ofensivas mediante soluciones que acten all donde pueda manifestarse la amenaza: en la red,
en los terminales, en los dispositivos mviles y en los entornos virtuales. Para proteger el Data Center
moderno y su trfico especializado, se requiere un planteamiento holstico y centrado en las amenazas
que incluya proteccin antes, durante y despus de un ataque.
Los firewalls de ltima generacin no ofrecen prcticamente ninguna solucin que permita identificar
y mitigar los ataques sigilosos diseados para burlar las defensas; no pueden ofrecer funciones
de anlisis y solucin de problemas tras haber detenido un ataque; y son incapaces de rastrear
y proteger el tipo de trfico asimtrico que generan los Data Centers. Esto los convierte en herramientas
casi exclusivamente de defensa y, aun as, no sirven de nada ante amenazas emergentes
o desconocidas dirigidas a servidores vulnerables, aplicaciones nicas y datos valiosos.
5. Proteger toda la red. Toda solucin de seguridad en el Data Center debe tener en cuenta la necesidad
del usuario remoto de conectarse directamente a recursos crticos de Data Center. Necesita aportar
transparencia entre el usuario remoto y el recurso del Data Center, pero forma parte de un entorno de red
complejo que se extiende por sucursales, a travs del ncleo, y al exterior, hasta la nube. La solucin
de seguridad debe formar parte de la arquitectura de Data Center, as como de una solucin ms amplia
que pueda detectar tanto las amenazas basadas en Internet como los ataques dirigidos al Data Center,
a la vez que proporcione una proteccin perfecta a travs de toda la ruta de datos.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 3 de 6
 La seguridad en el Data Center es diferente. Para proteger de forma efectiva el Data Center moderno, as como
los nuevos modelos de Data Centers que estn emergiendo actualmente, las organizaciones no pueden confiar
nicamente en un firewall de ltima generacin. Necesitan una arquitectura y una estrategia de seguridad
completas e integradas que proporcionen una proteccin uniforme e inteligente en toda la red distribuida, desde
el permetro al Data Center y a la nube, sin menoscabar el rendimiento.

Proteccin del Data Center moderno

Cisco ofrece potentes herramientas para defender los entornos actuales de Data Center en evolucin; no solo
el permetro del Data Center. Los innovadores appliances de seguridad adaptativos Cisco Adaptive Security
Appliances (ASA) para la seguridad en el Data Center se han diseado para proteger los entornos tanto fsicos
como virtuales y para permitir a las organizaciones migrar sin contratiempos de Data Centers tradicionales a otros
de ltima generacin que aseguren las implementaciones futuras, protejan la inversin y ofrezcan una proteccin
completa. Entre las nuevas incorporaciones a la plataforma Cisco ASA destacan las siguientes:

Appliance de seguridad virtual Cisco Adaptive Security Virtual Appliance (ASAv): Cisco ASAv
es una versin virtual del conjunto de funciones de firewall Cisco ASA completo, combinado con
la escalabilidad dinmica y el aprovisionamiento simplificado para entornos virtuales. Se ha diseado
para su ejecucin en distintos hipervisores y es independiente de la tecnologa VMware vSwitch, lo que
lo convierte en una solucin de Data Center vlida para entornos de Cisco, hbridos y de otros
proveedores. La arquitectura flexible de Cisco ASAv permite su implementacin como gateway
de seguridad tradicional o como recurso de seguridad para entornos SDN y ACI inteligentes que pueden
integrarse directamente en las cadenas de servicio de aplicaciones.
Cisco ASA 5585-X con FirePOWER Services: un appliance de seguridad en el Data Center de diseo
especfico y totalmente compatible con entornos de Data Center tradicionales, SDN y ACI. El appliance
de seguridad adaptable Cisco ASA 5585-X con FirePOWER Services cuenta con un firewall avanzado
y funcionalidad de seguridad IPS de ltima generacin, capaz de detectar e inspeccionar aplicaciones
personalizadas de Data Center, en combinacin con funciones de aprovisionamiento y rendimiento
mejorado. Proporciona capacidades de clustering para hasta 16 nodos, con lo que alcanza
un rendimiento de 640 Gbps especfico para Data Centers que puede implementarse en varios de estos
ltimos. Las soluciones agrupadas pueden administrarse como un nico dispositivo para reducir
significativamente la sobrecarga administrativa. Al igual que el ASAv, el 5585-X tambin se ha diseado
para funcionar en entornos de Data Center tradicionales y de ltima generacin, tales como SDN, NFV
y ACI, por lo que proporciona una seguridad uniforme a travs de los entornos hbridos y una proteccin
sin fallos a medida que se vayan migrando los Data Centers.
IPS de ltima generacin Cisco FirePOWER Next-generation IPS: FirePOWER es el NGIPS lder del
mercado, disponible como solucin fsica o virtual, que identifica y evala las conexiones a los recursos
de Data Center, a la vez que monitoriza la actividad de red sospechosa. La actividad de archivos
se monitoriza y controla casi en tiempo real y determinados archivos (especialmente los archivos
desconocidos que podran ser malware) se someten a un anlisis ms detallado mediante sandboxing
(anlisis de comportamiento y ejercicio de archivo aislado) o consultas a la nube (comprobacin
de reputacin mediante la inteligencia conjunta de la comunidad). Este planteamiento permite llevar
a cabo un anlisis riguroso y dar respuesta al trfico esencial del Data Center.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 4 de 6
 Entre las soluciones de Cisco que ayudan a proporcionar seguridad completa en el Data Center tambin
se incluyen las siguientes:

Cisco Identity Services Engine y TrustSec: los equipos de TI pueden crear, compartir e implementar
polticas dinmicamente a medida que se aaden nuevos dispositivos o usuarios al entorno de Data
Center a travs de UCS Director. A continuacin, ISE puede aadir etiquetas de grupos de seguridad que
contienen la poltica de seguridad y las reglas de aplicacin directamente en paquetes individuales.
Adems, este etiquetado de seguridad permite segmentar los Data Centers a partir del rol del dispositivo
y usuario, sin las complicaciones y la sobrecarga que se asocian a las VLAN y ACL.
Tecnologa Cisco OpenAppID para Snort: los equipos de TI pueden crear, compartir e implementar
la deteccin de aplicaciones, as como desarrollar reglas personalizadas para aplicaciones
personalizadas en el Data Center, con la tecnologa Cisco OpenAppID. Se trata de un lenguaje
de deteccin abierto y centrado en las aplicaciones, y de un mdulo de procesamiento para Snort,
el sistema de prevencin de intrusiones (IPS) y el sistema de deteccin de intrusiones (IDS)
desarrollados por Sourcefire, que ahora forma parte de Cisco. Cisco OpenAppID est totalmente
integrado en el marco Snort y proporciona a los administradores una percepcin ms profunda de las
aplicaciones de sus redes.
Los usuarios de Snort pueden emplear detectores Cisco OpenAppID para detectar e identificar
aplicaciones, as como para informar sobre el uso de estas ltimas. Cisco OpenAppID proporciona
un contexto de capa de aplicacin con eventos relacionados con la seguridad y ayuda a mejorar
el anlisis y a acelerar la solucin de problemas. Permite a Snort emitir bloqueos o alertas al detectar
determinadas aplicaciones, lo que ayuda a reducir los riesgos mediante la gestin del rea total
de la amenaza.
Soluciones Cisco FireAMP y FireSIGHT: se requieren una proteccin y un anlisis de malware
avanzado para proporcionar un planteamiento holstico y centrado en las amenazas que proteja el Data
Center moderno antes, durante y despus de un ataque. Los productos Cisco FireAMP, de Sourcefire,
utilizan Big Data para detectar, entender y bloquear los brotes de malware avanzado. Se trata de la nica
solucin que proporciona la visibilidad y el control que se necesitan para detener las amenazas que
pasan desapercibidas para otros niveles de seguridad. Combinando productos Cisco FireAMP con Cisco
ASA, los usuarios pueden proporcionar una inspeccin y proteccin profundas para el trfico asimtrico
del Data Center. Cisco FireSIGHT, tambin de Sourcefire, proporciona la visibilidad de la red, el contexto
y la automatizacin que se requieren para responder a las condiciones cambiantes y a los nuevos
ataques. Los administradores pueden administrar cientos de appliances de forma centralizada mediante
Cisco FireSIGHT Management Center.

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 5 de 6
 Para obtener ms informacin
Para obtener ms informacin sobre los productos de seguridad de Cisco, incluidos el firewall Cisco ASAv,
el dispositivo Cisco ASA 5585-X, la solucin Cisco Secure Data Center y las soluciones de seguridad
de Sourcefire, visite www.cisco.com/c/en/us/products/security/index.html.

Para obtener ms informacin sobre Snort y Cisco OpenAppID, visite www.snort.org.

Impreso en EE. UU. C11-732259-00 07/14

2014 Cisco y/o sus filiales. Todos los derechos reservados. Este documento es informacin pblica de Cisco. Pgina 6 de 6