Bypass inteligentes: velocidad y seguridad optimizadas

En la actualidad, existen dos grandes tendencias en las redes que trabajan un poco en contra una de la otra. Por un lado, las redes están volviéndose más rápidas, con la adopción cada vez más común de Ethernet de 100Gb y la visibilidad de Ethernet de terabit en el horizonte. Por otro lado, las redes se están volviendo más complejas, con más switches, más nodos y más herramientas de seguridad y gestión.

Muchas de las herramientas de seguridad se despliegan en línea, lo que significa que los paquetes de red deben fluir a través de ellas, ser analizados (y posiblemente alterados o incluso bloqueados) y luego fluir hacia afuera. Pero imagina que actualizas la velocidad de tu red manteniendo tus herramientas en línea en su lugar. Es posible que estas herramientas no puedan mantenerse al día con la velocidad de los paquetes que llegan por el cable.

Si las herramientas tardan demasiado en procesar el tráfico de red o si se ven abrumadas por el volumen de paquetes, es posible que no logres alcanzar el potencial máximo de velocidad de tu infraestructura de red e incluso podrías terminar con paquetes perdidos o interrupciones de red.

Índice
  1. El bypass en línea al rescate
  2. El latido del corazón
  3. Seleccionar y elegir herramientas
  4. Manejo del volumen
  5. Herramientas fuera de banda
  6. La red es el banco de pruebas
    1. ¿Qué es un bypass inteligente?
    2. ¿Cuál es la ventaja de utilizar un bypass inteligente?
    3. ¿Cómo se seleccionan las herramientas que se deben pasar por alto?
    4. ¿Qué sucede si una herramienta en línea falla?

El bypass en línea al rescate

Un broker de paquetes de red de próxima generación (NGNPB), como el Gigamon Visibility and Analytics Fabric, ofrece una solución a este problema que te permite aprovechar todos los beneficios de las herramientas en línea a través de una función llamada bypass en línea. Como su nombre lo indica, el bypass en línea te permite enrutar los flujos de red alrededor de las herramientas en línea según sea necesario.

Como se puede ver en la Figura 1, con la función de bypass en línea del Gigamon NGNPB en su lugar, las herramientas en línea pueden operar separadas de la red, en lugar de estar conectadas a la red en una pila frágil con múltiples puntos potenciales de falla. Y hay muchas otras características interesantes que el bypass en línea puede ofrecer.

La separación de las herramientas de la red física y la conversión de velocidad te permite actualizar las velocidades de enlace de tu red según sea necesario y seguir utilizando tus herramientas de monitoreo y seguridad existentes. Con múltiples enlaces en tu red, a menudo las solicitudes y respuestas pueden seguir diferentes rutas, lo que se conoce como enrutamiento asimétrico. Esto se resuelve mediante la agregación del tráfico de los enlaces antes de enviarlo a tus herramientas, asegurando que los paquetes de una sesión se mantengan juntos.

El latido del corazón

Una de las formas en que el Gigamon NGNPB ayuda a realizar un seguimiento del estado operativo de cada herramienta de seguridad en línea es insertando pequeños paquetes de latido en el flujo de paquetes a través de cada herramienta. Al monitorear el flujo a través de la herramienta, el NGNPB sabe cómo se ven las velocidades de tráfico para un tráfico saludable y puede detectar de inmediato cuando el tráfico se ralentiza o se detiene repentinamente debido a un problema con esa herramienta.

En ese escenario, el Gigamon NGNPB redirigirá inmediatamente el tráfico de red para evitar la herramienta defectuosa y enviará una alerta indicando que la herramienta está fallando. El NGNPB funciona a velocidades de cable, por lo que el cambio y la redirección solo toman milisegundos. Los usuarios ni siquiera deberían darse cuenta cuando esto sucede. La herramienta puede restaurarse a su posición en línea tan rápido como sea posible cuando esté lista y funcionando de manera óptima nuevamente.

Seleccionar y elegir herramientas

Una de las desventajas de una solución en línea tradicional es que es todo o nada: todos tus paquetes terminan pasando por toda tu pila de herramientas en línea. Con el bypass en línea, puedes ser mucho más selectivo y detallado.

Por ejemplo, podrías enviar solo ciertos tipos de tráfico a ciertas herramientas. Esas herramientas seguirían funcionando como herramientas en línea, inspeccionando y aprobando cada paquete que reciben, pero solo recibirían el tráfico que necesitan para realizar su trabajo, no necesariamente la manguera completa de tu red empresarial. Un ejemplo podría ser enviar todo el tráfico a través de un sistema de prevención de intrusiones (IPS), solo enviar el tráfico web a través de un firewall de aplicaciones web (WAF) y permitir que los protocolos de detección de red (como ULDP) eviten todas las herramientas.

Existen muchas formas en que puedes segmentar el tráfico hacia diferentes herramientas: por ejemplo, puedes separar el tráfico por usuarios y sesiones de servidor específicos, por clase o tipo de servicio, por requisitos de nivel de servicio acordados o por ubicación geográfica, según lo dicten las circunstancias específicas.

Manejo del volumen

Incluso después de reenviar selectivamente solo cierto tráfico a herramientas de seguridad en línea específicas, puede haber mucho más tráfico del que una sola instancia de una herramienta puede manejar. Aquí es donde el balanceo consciente del flujo de tráfico te permite distribuir la carga agregada entre múltiples puertos e instancias de herramientas, asegurando que los paquetes de la misma sesión lleguen a la misma herramienta.

Herramientas fuera de banda

Con el bypass en línea, puedes elegir qué herramientas estarán en línea y cuáles estarán fuera de banda, y cambiar fácilmente las cosas en respuesta al rendimiento de una herramienta en línea o a medida que tu confianza en una herramienta de seguridad cambie. Por ejemplo, podrías comenzar a usar una nueva herramienta IPS en modo pasivo para analizar copias fuera de banda del tráfico hasta que estés satisfecho con sus capacidades de detección, momento en el que puedes cambiarla a modo activo o en línea y cambiar el flujo real de tráfico de red para que pase a través del IPS. Incluso podrías usar diferentes conjuntos de herramientas para diferentes flujos de tráfico en varios niveles de riesgo, monitoreando copias de tipos de tráfico con los que te sientas cómodo utilizando solo herramientas fuera de banda, evitando las herramientas en línea, mientras diriges los tipos de tráfico más riesgosos a través de las herramientas en línea.

La red es el banco de pruebas

La capacidad de poner algunas herramientas fuera de banda ofrece una ventaja adicional para el bypass en línea: puedes implementar prototipos e implementaciones de prueba de concepto en paralelo con tu entorno de producción en el mismo hardware e infraestructura.

Debido a que las herramientas fuera de banda no alteran los paquetes a medida que fluyen, no afectarán el flujo general de la red, pero aún podrás ver cómo reaccionan estas herramientas en tu entorno. Esto puede facilitar el mantenimiento de tus herramientas actualizadas; los nuevos conjuntos de herramientas (o las últimas revisiones de herramientas) se pueden implementar en paralelo con los entornos antiguos y el cambio de la producción antigua a la producción nueva se puede lograr en horas en lugar de semanas o meses.

El bypass en línea puede ayudarte a aprovechar al máximo tus herramientas incluso a medida que aumentas la velocidad y las capacidades de tu red. Aprende todo sobre esto en la página de bypass en línea de Gigamon.

¿Qué es un bypass inteligente?

Un bypass inteligente es una característica ofrecida por los brokers de paquetes de red de próxima generación (NGNPB) que permite enrutar los flujos de red alrededor de las herramientas en línea según sea necesario. Esto evita que las herramientas en línea se conviertan en cuellos de botella y permite que la red funcione a su máxima capacidad.

¿Cuál es la ventaja de utilizar un bypass inteligente?

La principal ventaja de utilizar un bypass inteligente es que puedes mantener la velocidad y la seguridad de tu red incluso al actualizar la velocidad de tu red y mantener tus herramientas de seguridad existentes. Esto evita la pérdida de paquetes y las interrupciones de red causadas por herramientas en línea que no pueden mantenerse al día con el flujo de paquetes.

¿Cómo se seleccionan las herramientas que se deben pasar por alto?

Con un bypass inteligente, puedes ser selectivo en cuanto a qué herramientas se pasan por alto. Puedes enviar solo ciertos tipos de tráfico a ciertas herramientas, lo que te permite utilizar herramientas específicas para tareas específicas y evitar que el tráfico innecesario pase por ellas.

¿Qué sucede si una herramienta en línea falla?

Si una herramienta en línea falla, el bypass inteligente redirigirá inmediatamente el tráfico de red para evitar esa herramienta y enviará una alerta para informar sobre el fallo. Esto garantiza que el tráfico de red no se vea afectado y que las herramientas en línea defectuosas no se conviertan en un punto de falla en la red.

Los bypass inteligentes son una solución efectiva para optimizar la velocidad y la seguridad de tu red. Al utilizar la función de bypass en línea de los brokers de paquetes de red de próxima generación (NGNPB), puedes mantener tus herramientas de seguridad existentes mientras actualizas la velocidad de tu red. Esto evita los cuellos de botella y las interrupciones de red causadas por herramientas en línea que no pueden mantenerse al día con el flujo de paquetes.

Además, con un bypass inteligente, puedes ser selectivo en cuanto a qué herramientas se pasan por alto, lo que te permite utilizar herramientas específicas para tareas específicas y evitar que el tráfico innecesario pase por ellas. En caso de que una herramienta en línea falle, el bypass inteligente redirigirá el tráfico para evitar esa herramienta y enviará una alerta para informar sobre el fallo.

Los bypass inteligentes son una solución integral para garantizar el rendimiento óptimo y la seguridad de tu red. Aprovecha esta tecnología para mantener tu red funcionando de manera eficiente y protegida.

Si quieres conocer otras notas parecidas a Bypass inteligentes: velocidad y seguridad optimizadas puedes visitar la categoría Inteligencia.

Subir