Blog de tecnología
Trevor_Pott , Visitor
Blog de tecnología
Seguridad extendida a todos los puntos de conexión: protección basada en contenedores con el cSRX
Sep 5, 2019

El uso de contenedores como solución compacta para ejecutar microservicios da lugar a una nueva capa de infraestructura que es necesario proteger. Gracias a Juniper Connected Security, las empresas pueden ofrecer una seguridad líder en el sector para proteger sus cargas de trabajo basadas en contenedores, con una visibilidad y una aplicación de políticas que se extienden hasta la comunicación entre los microservicios dentro de una aplicación.

 

Como cualquier otra solución de TI, los contenedores tienen que estar protegidos, y los administradores tienen que tener visibilidad sobre los flujos de datos que entran y salen de ellos. Ampliar las aplicaciones monolíticas es complicado y, cuando se consigue, resultan extremadamente ineficaces. Por eso, durante las dos últimas décadas, las aplicaciones se han venido fragmentando en microservicios, que a su vez impulsan la adopción de contenedores.

 

Gracias a la aparición de controladores de redes definidas por software (SDN), como Contrail, el cortafuegos SRX basado en contenedores de Juniper (cSRX) puede participar en las cadenas de servicios de las funciones de red. Al funcionar como un elemento «intercalado» en la línea («bump in the wire») entre dos flujos de datos y un contenedor de destino, el cSRX agrega puntos de cumplimiento donde antes no los había y ofrece la protección de red más completa del mercado para contenedores Docker. Con Contrail, los desarrolladores de aplicaciones pueden estar seguros de que la seguridad es transparente.

 

El cSRX también ofrece una mayor visibilidad de red, para que las empresas puedan actuar más rápidamente ante las amenazas nuevas. Las aplicaciones o microservicios basados en contenedores pueden ofrecerse con su propio cortafuegos de nueva generación, o incluso con toda una cadena de servicios de seguridad de red, según sea necesario.

 

 

Ventajas del cortafuegos basado en contenedores cSRX

 

  • Diseñado específicamente para proteger los contenedores: El cSRX es el primer cortafuegos basado en contenedores del mercado. Para no perder agilidad, el cSRX prescinde de las funciones de red y de enrutamiento dinámico de los cortafuegos vSRX o SRX físicos. En función de la demanda, los entornos basados en contenedores permiten crear y eliminar cargas de trabajo rápidamente. Cada segundo cuenta. Por eso, el hecho de que el cSRX tarde muy poco en crear instancias supone una gran ventaja para los clientes.

 

  • Compacto y ágil: las instancias de cortafuegos cSRX se instalan en cuestión de segundos y son todo lo compactas que cabe esperar de las aplicaciones basadas en contenedores. Esto se consigue aplicando un enfoque de microservicios a la seguridad basada en contenedores.

 

  • Protección frente a amenazas cada vez más sofisticadas: El cSRX integra funciones como la prevención de amenazas avanzadas o el bloqueo de IP y URL en base a la inteligencia sobre amenazas, lo que lo convierte en mucho más que el cortafuegos básico típico de las implementaciones basadas en contenedores y lo sitúa en un lugar destacado de la infraestructura basada en contenedores.

 

  • Compatible con las nuevas tecnologías: su tamaño compacto y el poco tiempo que necesita para crear instancias confieren al cSRX la flexibilidad necesaria para adaptarse a las nuevas tecnologías, tales como los micro centros de datos en la base de las torres de telefonía móvil 5G.

 

  • Tamaño reducido para su integración en dispositivos de IoT: el cSRX ofrece una gestión de amenazas unificada y un cortafuegos líder en el sector en un tamaño compacto compatible con los contenedores, y es capaz de crear instancias en cuestión de segundos. Todo esto le permite proteger dispositivos con recursos limitados y operar a niveles en los que cada megabyte de RAM por instancia cuenta.

 

  • Segmentación en zonas: el cSRX segmenta el tráfico en zonas, lo que permite a cada contenedor cSRX proteger varias aplicaciones o microservicios basados en contenedores, según sus configuraciones de seguridad individuales, reduciendo aún más el espacio que necesita este cortafuegos.

 

  • Participación en las cadenas de servicios de las funciones de red: al participar en las cadenas de servicios de las funciones de red, el cSRX ofrece una alta disponibilidad y una seguridad basada en contenedores capaz de integrar nuevas funciones de red según las necesidades.

 

Juniper Connected Security

 

Los puntos de conexión son el lugar perfecto para inspeccionar el tráfico y comprobar que no introduce riesgos, así como para aplicar las políticas de seguridad.

    

Juniper Connected Security integra productos de red y de seguridad de la información, de manera que es posible detectar amenazas y aplicar políticas en varios puntos de la red. Juniper Connected Security segmenta la red y protege el perímetro, la nube, los entornos virtuales y los basados en contenedores, e incluso la informática periférica.

 

La microsegmentación se vuelve realidad

 

Ya hace tiempo que Contrail ofrece funciones de microsegmentación avanzada. Pero la microsegmentación puede resultar muy costosa. Los microsegmentos son segmentos de redes virtuales o grupos de contención basados en reglas que, idealmente, se utilizan para encapsular todos los microservicios que conforman una misma aplicación o que ocupan un mismo nivel. En la práctica, cada microsegmento funciona como una pequeña red. Por lo tanto, para comunicar más allá de ese segmento, los flujos de datos tienen que atravesar un router. Con Contrail, ese router es el vRouter, distribuido en cada host de cómputo.

 

La necesidad de que los datos entrantes y salientes de un microsegmento atraviesen un router ofrece un punto de paso natural en el que se pueden implementar funciones de red. Hasta hace poco, tales funciones de red requerían costosos equipos y había que enviar cada flujo de datos fuera del host de creación de contenedores, a través de distintos hardware.

 

Las cadenas de servicios de Contrail y el cSRX cambian las reglas del juego. Entre las funciones de red que se pueden aplicar a la cadena de servicios se encuentran las siguientes:

    

  • Cortafuegos de aplicaciones (AppFW)
  • Identificación de aplicaciones (AppID)
  • Sistemas de prevención de intrusiones (IPS)
  • Traducción de la dirección de red (NAT)
  • Administración unificada de amenazas (UTM)
  • Enhanced Web Filtering (EFW)
  • Análisis

    

Gracias al cSRX, Contrail es capaz de crear microsegmentos sumamente pequeños con perímetros sumamente fuertes y de instanciar rápidamente las cadenas de servicios de las funciones de red para proteger cada microsegmento. En cuestión de segundos, pueden crearse cadenas de servicios enteras, lo que permite a los microsegmentos y a cualquier otra función de red empezar a funcionar más rápidamente que los contenedores o las máquinas virtuales que conforman la aplicación que protegen.

 

En combinación con Contrail Enterprise Multicloud, el cSRX constituye la primera solución de producción que ofrece completas funciones de orquestación, automatización, seguridad y análisis para implementar en un contenedor servicios a consumidores y empresas dinámicos, todo ello al menor costo y aprovechando al máximo los recursos. Para las plataformas de aplicaciones basadas en contenedores como OpenShift o Kubernetes, Contrail Enterprise Multicloud incluye Contrail Networking y el controlador Contrail Security, Contrail vRouter con seguridad de capa 4, cSRX y/o vSRX con seguridad de capa 7, AppFormix Analytics Agent y el complemento CNI (interfaz de red de contenedores) de Kubernetes.

 

1ES1.PNG

 

 

Al extender la seguridad allá donde residen las aplicaciones de nube, Juniper Connected Security garantiza políticas de seguridad homogéneas en todas las infraestructuras de IoT y en la nube privada y pública. El cortafuegos basado en contenedores de Juniper, cSRX, protege las aplicaciones y los microservicios basados en contenedores mediante una serie de servicios de seguridad avanzados pensados para entornos virtualizados. Gracias a su reducido tamaño, los fabricantes pueden instalarlo en dispositivos de IoT.

 

El cSRX ofrece a los administradores una gran variedad de funciones y una interfaz de gestión con la que ya están familiarizados, ya que es la misma que la de nuestros cortafuegos vSRX y SRX físicos. Desempeña una función destacada en Juniper Connected Security: la protección de dispositivos y cargas de trabajo individuales en entornos en los que los recursos son limitados.

 

Hoy en día, proteger las redes pasa por tener múltiples puntos de aplicación de políticas de seguridad y la visibilidad necesaria para responder ante las amenazas dondequiera que se materialicen. Gane visibilidad, automatización y protección con Juniper Connected Security.

0 Kudos