DOCUMENTO TÉCNICO

La arquitectura de referencia de la seguridad de F5 para los proveedores de servicios

Updated October 28, 2013
  • Share via AddThis

Introducción

Los proveedores de servicios de comunicaciones (PSC) deben garantizar que los clientes puedan realizar llamadas y utilizar sus aplicaciones para smartphones con una conectividad fiable, y ofrecer servicios diferenciados que mejoren la competitividad y puedan mejorar los flujos de ingresos relativamente planos. Por tanto, los proveedores de servicios tienen que garantizar una calidad de red superior sin que esto suponga mayor complejidad ni más costes. Dado que las amenazas a la seguridad afectan directamente a la calidad de la red y la experiencia de los clientes, la seguridad se convierte en una prioridad absoluta, y los PSC deben que defenderse de forma continuada contra un número cada vez mayor de amenazas.

Al mismo tiempo, los proveedores de servicios se las ven con el crecimiento explosivo de los datos, y la presión de la competencia y del sector les empujan a embarcarse en actualizaciones de 4G LTE, que llevan mucho tiempo y resultan costosas. Esta transición está cambiando drásticamente el panorama de las amenazas a la seguridad. Además, las migraciones a IPv6 y la tecnología de virtualización de funciones de red (NFV) son inminentes o ya están en marcha. Como resultado, los PSC necesitan de un apoyo multifacético para garantizar que sus redes sigan siendo predecibles, fiables y disponibles.

F5 ofrece un conjunto de soluciones de seguridad dinámicas y multicapa capaces de satisfacer las necesidades de los PSC en toda la arquitectura de prestación de servicios. Esta gran variedad de soluciones, necesaria para proteger toda la infraestructura del PSC, no puede proporcionarla un cortafuegos y ni los productos puntuales tradicionales. Las soluciones de seguridad de F5 ayudan a los PSC a optimizar, asegurar y rentabilizar sus redes simplificando la arquitectura y las operaciones de entrega, mejorando la disponibilidad y fiabilidad del servicio, y proporcionando conocimiento y control de las aplicaciones al mismo tiempo que se reducen los costes.

Los retos

El panorama de la seguridad para los proveedores de servicios está cambiando drásticamente a medida que la transición a 4G LTE hace que la arquitectura de prestación de servicios sea más plana, más abierta y esté basada en IP. Como resultado, los proveedores de servicios se enfrentan a ataques cada vez más complejos, multifacéticos, combinados y de gran tamaño dirigidos contra los suscriptores y la infraestructura de servicios. Hay que evitar que estos comportamientos malintencionados, como los ataques DoS, las redes de robots, los robos de identidad y los sistemas comprometidos, afecten negativamente a la red, al igual que los problemas no intencionados relacionados con la seguridad, como las tormentas de señalización y los sistemas mal configurados.

Al mismo tiempo, y para mejorar el rendimiento empresarial, los PSC tienen que reducir los costes y mejorar la eficiencia operativa de sus redes, además de soportar importantes gastos para implementar los servicios 4G LTE y gestionar de forma segura la explosión de tráfico, lo que sigue poniendo a prueba toda la infraestructura. Por último, en las nuevas arquitecturas 4G LTE, los elementos estratégicos de la red, como la gestión de políticas, el direccionamiento DNS y los servicios IMS, dependen de una nueva infraestructura de señalización que también debe protegerse.

En este entorno, los retos de seguridad a los que se enfrentan los proveedores de servicios son:

  • Amenazas a la disponibilidad de los servicios, como los ataques DoS (denegación de servicio) y los ataques DDoS (denegación de servicio distribuido), el barrido de puertos IP y las tormentas de señalización.
  • Robo de datos, desde información personal y bancaria hasta activos corporativos y contraseñas.
  • Malware en el lado del dispositivo y el servidor que degrada el rendimiento o interfiere con el servicio.
  • Amenazas persistentes avanzadas (APT) que ponen en peligro los activos de la red y del centro de datos debido a la insuficiencia de los controles de acceso.
  • Ataques a aplicaciones web como los 10 ataques principales de OWASP.

Los cortafuegos de red tradicionales no pueden proporcionar la escalabilidad, flexibilidad e inteligencia necesarias, ni son fáciles de gestionar. Los PSC necesitan una capacidad de respuesta constante para proporcionar seguridad eficaz ante un número creciente de ataques que cada vez son más sofisticados. Además, las amenazas no se originan únicamente en Internet; los ataques de redes de robots DDoS, el malware y otras fuentes se originan también en los dispositivos móviles. Dado que las amenazas son ahora bidireccionales, las soluciones de seguridad deben ser capaces además de proporcionar protección bidireccional a la infraestructura de la red.

Otros métodos tradicionales de protección tratan de unificar muchos productos individuales, como los dispositivos DDoS, los dispositivos DNS, los cortafuegos de aplicaciones web y los equilibradores de carga, pero este enfoque aumenta la complejidad de la arquitectura y la latencia, y aumenta los puntos de fallo en la red. Además, desde el punto de vista de las operaciones, gestionar y dar soporte a productos de varios proveedores de seguridad con sistemas y tecnologías dispares es extremadamente difícil y requiere muchos recursos. Y, peor aún, las colecciones de productos puntuales no logran integrar la información de los diferentes vectores de ataque ni proporcionar una defensa unificada. Es fundamental disponer de información exhaustiva sobre los ataques, ya que cuando la red experimenta problemas de seguridad no resueltos, aumentan las llamadas al servicio técnico y disminuye la satisfacción de los clientes, lo que favorece la pérdida de clientes.

Soluciones

Para que la seguridad tenga éxito es necesario adoptar un enfoque de soluciones multicapa. Los PSC tienen que diseñar arquitecturas de prestación de servicios que apliquen una seguridad de amplio espectro en las redes, en los dispositivos de los usuarios y en los centros de datos. Dentro de la red, las soluciones deben ofrecer protección tanto en el plano de datos como en el del control: en el plano de datos para proteger la infraestructura central de paquetes móviles, y en el plano del control para proteger la infraestructura de mensajería y señalización. En el centro de datos, las soluciones deben ofrecer protección a nivel de aplicación para la infraestructura de datos, así como para las propias aplicaciones alojadas.

F5 ofrece un conjunto de soluciones de seguridad dinámico y multicapa que ayuda a los proveedores de servicios a proteger toda la infraestructura y a escalar para poder actuar con inteligencia y flexibilidad en las condiciones más exigentes. A diferencia de los productos puntuales de la competencia que únicamente dan respuesta a un conjunto limitado de problemas de seguridad, las soluciones de seguridad de F5 se basan en una plataforma unificada y en unas capacidades inigualables que hacen frente a las amenazas en toda la infraestructura del PSC. Como resultado, estas soluciones ayudan a los proveedores de servicios a proteger, optimizar y rentabilizar sus redes.

diagrama
La solución de seguridad de F5 para los proveedores de servicios

Las plataformas de F5 son soluciones de cortafuegos certificadas que simplifican la arquitectura de la red, proporcionan mayor flexibilidad para responder rápidamente a las nuevas amenazas, y ofrecen un rendimiento y una fiabilidad de nivel de operador. Estas capacidades universales de la plataforma se implementan a través de las soluciones de F5, que están destinadas a conseguir diferentes funciones en la infraestructura principal de los PSC:

  • Seguridad de la red central de paquetes (S/Gi)
  • Seguridad del protocolo de mensajería y señalización
  • Seguridad de los centros de datos de Internet

Las soluciones se integran en una única arquitectura de prestación de servicios que ofrece la máxima seguridad y una experiencia óptima a los suscriptores.

F5 no ofrece un único producto de seguridad para esta arquitectura. En su lugar, la solución se proporciona mediante la combinación de componentes inteligentes y escalables dentro de la cartera de seguridad de F5: una plataforma unificada que comprende F5 BIG-IP Advanced Firewall Manager (AFM), BIG-IP Application Security Manager (ASM), BIG-IP Global Traffic Manager (GTM), BIG-IP Local Traffic Manager (LTM) y F5 Traffix Signaling Delivery Controller (SDC).

  • BIG-IP AFM es un cortafuegos de red de alto rendimiento, con estado y de proxy completo, que defiende contra ataques DDoS de la capa de red, como las inundaciones SYN, así como ataques de la capa de sesión, como las inundaciones SSL.
  • BIG-IP ASM, un avanzado cortafuegos de aplicaciones web (Advanced Web Application Firewall), utiliza la gran fluidez de las aplicaciones de F5 para detectar y mitigar los ataques basados en HTTP.
  • BIG-IP GTM es una solución escalable de DNS y DNSSEC que mitiga los ataques de red y de sesión basados en DNS en la infraestructura de DNS.
  • BIG-IP LTM es una solución de entrega de aplicaciones que aporta gestión inteligente del tráfico basada en el contenido.
  • Traffix SDC es una solución de enrutamiento Diameter que proporciona ocultación de la topología y protección contra tormentas de señalización de terceros.

Por qué funciona esta solución

Las soluciones de seguridad de F5 ofrecen importantes capacidades que se extienden por toda la arquitectura de servicios: escalabilidad, flexibilidad, visibilidad de las aplicaciones, capacidad de gestión y rendimiento. Como resultado, los PSC se evitan tener que adoptar varios productos puntuales de distintos proveedores en diferentes partes de la arquitectura de prestación de servicios. Esto permite una seguridad de amplio espectro sin el coste y la complejidad operativa de un entorno de varios proveedores.

Más bien por el contrario: al ofrecer capacidades de seguridad dinámicas y multicapa desde una plataforma unificada, las soluciones de F5 simplifican las arquitecturas y operaciones de los PSC, mejoran la disponibilidad y fiabilidad del servicio, proporcionan conocimiento de las aplicaciones y reducen los costes de capital y operativos. El resultado es una calidad de red superior que puede mejorar directamente la satisfacción del cliente.

Principales capacidades y ventajas

Las soluciones de seguridad de F5 ofrecen una serie de capacidades importantes para satisfacer las necesidades de los PSC en sus arquitecturas de prestación de servicios. Estas capacidades son inherentes a la plataforma unificada y permiten una realización amplia de sus beneficios.

  • Una arquitectura de proxy completo: Esta arquitectura permite que los dispositivos F5 finalicen, inspeccionen y reenvíen las sesiones para ofrecer una visibilidad y control máximos.
  • Escalado y rendimiento: una sola plataforma de F5 se escala para gestionar hasta 576 millones de conexiones simultáneas, 640 GB por segundo de rendimiento y 8 millones de conexiones por segundo para mitigar incluso los mayores ataques volumétricos.
  • Una plataforma unificada: la plataforma de F5 ofrece múltiples soluciones de seguridad como servicios habilitados por software en una arquitectura de sistema común para simplificar las operaciones y reducir los costes totales de propiedad.
  • Flexibilidad y programabilidad: la plataforma de F5 ofrece la flexibilidad de una política de seguridad personalizada a través del lenguaje de scripting F5 iRules. También proporciona programabilidad automatizada e integración de orquestación mediante las API F5 iControl y F5 iCall. Un marco de trabajo que el usuario puede personalizar simplifica y acelera las implementaciones de seguridad en toda la red con las plantillas F5 iApps.
  • Ediciones virtuales de hardware y software: las plataformas de F5 son compatibles con ediciones virtuales exclusivas de hardware y software de alto rendimiento que están preparadas para la virtualización de funciones de red (NFV) y ofrecen la máxima flexibilidad operativa.
  • Disponibilidad y fiabilidad: el sistema proporciona una alta disponibilidad y fiabilidad con redundancia de hardware, sincronización, supervisión de estado y capacidades de conmutación por error y por recuperación.
  • Capacidad de gestión: una sofisticado conjunto de gestión permite a los PSC gestionar de forma centralizada las políticas de cortafuegos, orientar las políticas de seguridad de forma lógica en torno a aplicaciones específicas, supervisar la eficacia de las políticas en todos los dispositivos y auditar los cambios en las políticas.
  • Conciencia y protección de DDoS para todas las capas: BIG-IP AFM es consciente de DDoS y puede evitar automáticamente las inundaciones y manejar docenas de ataques de las capas 2 a 4 en implementaciones de hardware a velocidades de línea. Las soluciones de DDoS de F5 proporcionan seguridad en las capas de red, de sesión y de aplicación.

Ventajas para las empresas

Las soluciones de seguridad de F5 ofrecen una serie de ventajas a los PSC.

  • Simplificación de la arquitectura y las operaciones: la plataforma unificada de F5 incluye una gama de soluciones de seguridad para las redes de datos y de señalización, así como para el centro de datos, lo que permite a los proveedores de servicios simplificar sus arquitecturas de seguridad con menos productos y proveedores puntuales. La naturaleza integral de la plataforma de soluciones también facilita la reducción de gastos, formación y resolución de problemas, así como el control centralizado de las políticas de seguridad en toda la infraestructura de entrega.
  • Mejora del rendimiento: los productos de F5 consolidan las funciones de seguridad en una plataforma unificada de gran capacidad que reduce el número de saltos de red y la latencia, y que ofrece un rendimiento de seguridad acelerado por hardware.
  • Defensa contra los ataques volumétricos con una escalabilidad sin precedentes: las soluciones de seguridad de F5 ofrecen a los proveedores de servicios una plataforma altamente escalable que permite un rendimiento superior, conexiones por segundo y sesiones concurrentes para proteger entornos de gran tráfico contra ataques volumétricos.
  • Mejora de la experiencia del servicio: las soluciones de F5 permiten a los proveedores de servicios implementar políticas por usuario (en lugar de por dirección IP) para protegerse de ataques y amenazas, y garantizar una mejor disponibilidad y fiabilidad del servicio. Como resultado, los proveedores de servicios pueden mantener la confianza de los suscriptores y proteger la calidad de los servicios, los datos de los suscriptores y su reputación frente a dañinos ataques de seguridad.
  • Reducción de costes: la plataforma de F5 consolida las funciones de seguridad en un marco unificado para reducir los gastos de capital y los gastos operativos. Además, la alta escalabilidad y capacidad de la plataforma de F5 ofrecen un menor coste total de propiedad porque reducen el tiempo de gestión general de los dispositivos, los costes de tamaño y los costes energéticos.
  • Incremento de la flexibilidad operativa: los proveedores de servicios pueden responder a los ataques de día cero y a otras amenazas utilizando el lenguaje de scripting iRules, sin necesidad de actualizaciones de firmas o de nuevas actualizaciones de software. Con iRules, las soluciones de F5 pueden comunicarse e interactuar con los sistemas de orquestación para actualizar las políticas y llevar a cabo la supervisión externa, mientras que la API iControl proporciona una interfaz que funciona de forma fluida con los sistemas de registro y generación de informes.
  • Elección de ediciones de hardware o virtuales: los servicios de seguridad de F5 están disponibles desde hardware exclusivo (desde una gama de dispositivos hasta sistemas basados en chasis), así como desde ediciones virtuales basadas en software. Esta combinación ofrece flexibilidad de pago a medida que crece para adaptar los sistemas a las necesidades y los presupuestos. F5 también proporciona Virtual Clustered Multiprocessing (vCMP) de multi-arrendamiento para compartir recursos en dispositivos y blades de chasis.
diagrama
La arquitectura de seguridad de F5 para los proveedores de servicios

Conclusión

La seguridad de F5 para los proveedores de servicios proporciona una arquitectura de seguridad dinámica y de varias capas para los PSC que se enfrentan a las crecientes amenazas de seguridad, por no mencionar el explosivo crecimiento de los datos, los flujos de ingresos planos, las actualizaciones de 4G LTE y los rápidos cambios en las normas y la tecnología. Para ofrecer experiencias superiores y diferenciadas a los clientes en este entorno tan desafiante, los PSC deben operar redes de alta calidad que sean predecibles, fiables, disponibles y que no sean complejas ni demasiado costosas. El conjunto de soluciones de F5 para proveedores de servicios ayuda a proteger toda la infraestructura y se adapta para funcionar con inteligencia y flexibilidad en las condiciones más exigentes.

A diferencia de los productos de la competencia que únicamente dan respuesta a un conjunto limitado de problemas de seguridad, las soluciones de seguridad de F5 se basan en una plataforma unificada y escalable que puede hacer frente a las amenazas en toda la infraestructura del PSC. Las soluciones de seguridad de F5 también ofrecen importantes capacidades en toda la arquitectura de servicios para mejorar la escalabilidad, la flexibilidad, la visibilidad de las aplicaciones, la capacidad de gestión y el rendimiento. Como resultado, los PSC pueden simplificar la arquitectura de prestación de servicios y proporcionar una seguridad de amplio espectro sin la complejidad o el coste de un entorno de varios proveedores basado en soluciones puntuales.