Procesos compartidos para las tecnologías de seguridad a nivel de paquetes
Las tecnologías de red y seguridad a nivel de paquete, como los cortafuegos de inspección de estado, IPSEC y el equilibrio de carga, imponen menores exigencias computacionales en cuanto al número de ciclos de CPU necesarios para cada paquete.
Además, el procesamiento por paquete es muy consistente, lo que simplifica la predicción del rendimiento.
En el panorama actual, las funciones de seguridad (por ejemplo, FWaaS) son suministradas como servicios por proveedores de servicios que despliegan estas funciones en la nube/puntos de presencia (PoP).
Para atender a múltiples inquilinos, las implementaciones de la tecnología de seguridad subyacente aprovechan un modelo de tenencia de enrutamiento y reenvío virtual (VRF).
Bajo este modelo, el tráfico de múltiples inquilinos atraviesa el mismo dispositivo de seguridad o contenedor/proceso, abordando eficazmente los retos relacionados con el solapamiento de direcciones IP entre inquilinos.
El tráfico de los inquilinos se identifica a través de interfaces de túnel u otros mecanismos, y a continuación se aplican las configuraciones específicas adaptadas a cada inquilino, como las políticas de seguridad específicas para cada inquilino.
Para mitigar cualquier posible problema de «vecino ruidoso», se aplica una limitación de la velocidad de paquetes a la entrada en función de cada inquilino.
Esta estrategia garantiza que el rendimiento de seguridad de cada inquilino individual no se vea afectado por las actividades de otros inquilinos potencialmente problemáticos.
Dado el procesamiento coherente por paquete, la limitación de la tasa resulta eficaz para garantizar un tratamiento de procesamiento equitativo para todos los inquilinos.
Otra preocupación importante para las organizaciones es la posible fuga de datos confidenciales resultante de la explotación de vulnerabilidades dentro de procesos o contenedores compartidos por paquetes maliciosos de otros inquilinos.
Un argumento que suelen presentar los proveedores de servicios de seguridad es que el procesamiento por paquetes es sencillo, lo que reduce la probabilidad de vulnerabilidades y su correspondiente explotación.
Es cierto que las tecnologías de seguridad a nivel de paquetes son más sencillas, y este argumento tiene cierta validez.
Los dos retos mencionados anteriormente, es decir, el problema del «vecino ruidoso» y las «vulnerabilidades de los recursos compartidos», pueden no plantear problemas significativos para las tecnologías de seguridad a nivel de paquetes que utilizan procesos compartidos.
Sin embargo, creemos que estos retos pueden ser más pronunciados y sustanciales para las tecnologías de seguridad SASE (Secure Access Service Edge) o SSE (Secure Service Edge).
Distinción entre la seguridad SASE/SSE y las tecnologías y retos de la seguridad a nivel de paquetes
Las tecnologías de seguridad SASE/SSE (Secure Access Service Edge/Secure Service Edge) trascienden la seguridad tradicional a nivel de paquetes, ofreciendo un conjunto completo de funciones:
- Funciones de seguridad integrales: SASE/SSE abarca una amplia gama de funciones de seguridad, incluyendo IDPS (Detección y Prevención de Intrusiones), Seguridad DNS, SWG (Secure Web Gateway), ZTNA (Zero Trust Network Access), CASB (Cloud Access Security Broker) con firewall de reputación IP/URL/Dominio/Archivo, control de acceso con atributos profundos a nivel de tráfico como URI, cabeceras de petición, cabeceras de respuesta, Anti-Malware y DLP (Data Leak Prevention).
La Red de Confianza Cero (ZTN) en SASE/SSE es fundamental, ya que garantiza el acceso sólo previa autenticación y autorización del usuario, con un control granular sobre los recursos de la aplicación teniendo en cuenta la identidad y el contexto del dispositivo. - Inspección profunda de contenidos: El núcleo de la seguridad SASE/SSE reside en la inspección profunda de contenidos.
Utilizando proxies que gestionan las conexiones de los clientes, inician las conexiones de los servidores, descifran los flujos, extraen datos relevantes del tráfico, realizan funciones de seguridad e impiden la transmisión de contenidos maliciosos.
Ahora, profundicemos en las diferencias de ejecución entre SASE/SSE y las tecnologías de seguridad a nivel de paquetes:
- Cambio del procesamiento por paquete al procesamiento por sesión: En el contexto de SASE/SSE, la ejecución de la seguridad ya no opera a nivel por paquete, sino a nivel de flujos de sesiones de tráfico.
A diferencia de las tecnologías por paquete, existe variabilidad en el número de ciclos de computación utilizados en el procesamiento de seguridad SASE/SSE entre los inquilinos, por las siguientes razones:- Las funciones de seguridad aplicadas al flujo de tráfico pueden variar entre los arrendatarios.
- Incluso cuando se aplican funciones de seguridad similares, la naturaleza de los datos que se intercambian puede requerir un procesamiento más intensivo.
Por ejemplo, considere los escenarios que implican Anti-Malware y DLP, que requieren extraer texto de varios tipos de archivos, descomprimir archivos transferidos, desempaquetar colecciones de archivos, etc.
Algunos inquilinos pueden transferir archivos comprimidos, lo que da lugar a un procesamiento intensivo que repercute en el rendimiento y la latencia de otros inquilinos.
El ruido generado por un inquilino en particular, ya sea debido a una infección o a un elevado tráfico empresarial durante un acontecimiento importante, puede afectar al rendimiento del tráfico de otros inquilinos.
- Procesamiento de seguridad complejo: El procesamiento de seguridad de SASE/SSE es intrínsecamente intrincado, y a menudo incorpora varias bibliotecas, incluidos componentes de terceros y de código abierto.
Éstos abarcan funciones como clientes OIDC (OpenID Connect), clientes Kerberos, clientes SAMLv2 para la autenticación, complejos motores de políticas para la aplicación, SDK de proveedores de inteligencia sobre amenazas, extracción de datos , descodificación JSON/XML, descodificación base64, motores de descompresión de datos y extracción de texto a través de proyectos de código abierto como Tika, entre otros para la seguridad a nivel de datos como Anti-Malware y DLP.
Esta complejidad aumenta la superficie de ataque para una posible explotación.
Aunque los proveedores de SASE/SSE dan prioridad a la rápida resolución de las vulnerabilidades, puede existir un lapso de tiempo entre la explotación y la resolución.
Cuando se emplean procesos compartidos para varios inquilinos, los atacantes pueden explotar potencialmente las vulnerabilidades y acceder a información sensible no sólo del inquilino previsto, sino también de todos los datos de los inquilinos que compartan ese contexto de ejecución. - Traiga su propia función de seguridad: Aunque los servicios SASE/SSE ofrecen funciones de seguridad completas listas para usar, también proporcionan a las organizaciones la flexibilidad de introducir sus funciones de seguridad personalizadas utilizando módulos Lua o módulos WebAssembly (WASM).
Sin embargo, en estos casos, los procesos compartidos plantean retos significativos, ya que pueden conducir potencialmente a la exfiltración de datos de otros inquilinos si no se gestionan con cuidado.
Abordar esta preocupación se vuelve más complejo cuando se emplean procesos compartidos, y siempre puede haber formas potenciales de eludir estos controles.
En resumen, la seguridad SASE/SSE ofrece un marco de seguridad integral que va más allá de la seguridad a nivel de paquetes, pero introduce complejidades y retos relacionados con el uso variable de la computación, el procesamiento intrincado y los recursos compartidos.
Mantener una seguridad robusta en estos entornos es fundamental para protegerse contra los retos de rendimiento Y las violaciones de datos y privacidad.
Buscar soluciones SASE/SSE que ofrezcan aislamiento de la ejecución
Sin duda, las organizaciones valoran la lógica de los proveedores de SASE/SSE que emplean procesos compartidos para múltiples inquilinos.
Este enfoque utiliza eficazmente los recursos informáticos entre los inquilinos, lo que contribuye a la sostenibilidad y la rentabilidad.
Los proveedores de servicios pueden, a su vez, repercutir este ahorro de costes en sus clientes.
Sin embargo, algunos segmentos de la industria son reacios a aceptar los riesgos de seguridad asociados a la arquitectura multiarrendatario y los procesos compartidos.
Algunas organizaciones pueden prever futuras necesidades de un enfoque más reacio a los riesgos.
En tales casos, las organizaciones deben buscar servicios SASE/SSE que ofrezcan flexibilidad, proporcionando opciones tanto para procesos compartidos como para procesos/contenedores dedicados.
Los contextos de ejecución dedicados con procesos/contenedores dedicados para el procesamiento del tráfico, pueden abordar eficazmente los retos descritos en la sección anterior:
- Aislamiento del rendimiento: Alcanzar un rendimiento determinista se convierte en algo factible sin tener que preocuparse por los perturbadores «inquilinos ruidosos».
Con un contexto de ejecución dedicado, es relativamente sencillo asignar recursos informáticos dedicados a inquilinos individuales.
También se pueden configurar topes de recursos para evitar que los vecinos ruidosos agoten todos los recursos de los nodos de cálculo. - Aislamiento de seguridad: Un contexto de ejecución dedicado garantiza que cualquier intención maliciosa o amenaza interna que intente explotar los servicios SASE/SSE de un inquilino no provocará fugas de datos para los inquilinos que opten por contextos de ejecución dedicados.
- Sin preocupaciones ‘Traiga su propia función de seguridad’: Un contexto de ejecución dedicado garantiza sin lugar a dudas que los scripts Lua/módulos WASM se ejecuten exclusivamente dentro de procesos dedicados.
En consecuencia, cualquier desafío de procesamiento o exfiltración de datos se limita al arrendatario que trae sus funciones de seguridad personalizadas, lo que proporciona tranquilidad a otros arrendatarios en este sentido, si los proveedores de servicios habilitan esta característica sólo para los procesos dedicados.
Anticiparse a las necesidades futuras: La importancia de la informática confidencial
De cara al futuro, algunas organizaciones son cada vez más conscientes de la creciente importancia de la informática confidencial.
Esta concienciación es especialmente relevante en el contexto de la inspección TLS y la gestión de numerosos datos confidenciales, incluidos secretos y contraseñas, dentro de los servicios SASE/SSE.
Una preocupación recurrente gira en torno a la posibilidad de que el personal con acceso a la infraestructura del servidor, incluido el personal del proveedor de servicios, pueda obtener acceso no autorizado a la memoria de los procesos y contenedores.
Además, incluso los atacantes que consigan explotar los sistemas operativos de los servidores podrían violar la memoria de estos contenedores y procesos.
Esta preocupación se hace más pronunciada en situaciones en las que los servicios están disponibles en múltiples Puntos de Presencia (POP) en diferentes países con distintos niveles de definiciones e implementaciones legales.
Los procesadores modernos, como los equipados con Intel Trust Domain Extensions (TDx), ofrecen funciones avanzadas para la ejecución de confianza.
Estas tecnologías desempeñan un papel crucial a la hora de garantizar que ni siquiera los administradores de la infraestructura o los atacantes con privilegios elevados puedan descifrar el contenido de la memoria, ya que permanece cifrado de forma segura por el hardware TDx.
Los proveedores de SASE/SSE que ofrecen contextos de ejecución dedicados están mejor posicionados para proporcionar esta característica esencial de confidencialidad en comparación con otros.
Por lo tanto, se recomienda encarecidamente a las organizaciones que consideren proveedores que ofrezcan la flexibilidad tanto de procesos compartidos como de contextos de ejecución dedicados.
Esta flexibilidad les ayudará a preparar para el futuro sus estrategias de mitigación de riesgos y a garantizar el máximo nivel de seguridad de los datos en entornos en evolución.
-
Blog CTO Insights
La serie de blogs Aryaka CTO Insights proporciona liderazgo de pensamiento para temas de red, seguridad y SASE.
Para conocer las especificaciones de los productos Aryaka, consulte Aryaka Datasheets.