Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
HogarZonificación de redes en 2023: cómo la IA y la automatización cambian las cosas
Klaus Haller | 07 de junio de 2023
La zonificación de redes es un control de seguridad preventivo fundamental que reduce la superficie de ataque de una empresa y dificulta los movimientos laterales. Hace que la vida de los atacantes sea más desafiante porque no pueden acceder directamente a todas las máquinas virtuales (VM) desde Internet. Y, incluso si ingresan a la red de la empresa, no pueden saltar rápidamente de una VM a la siguiente si los firewalls y las zonas restringen la conectividad y el tráfico de la red interna. Sin embargo, el auge de la IA y la automatización de TI desafía un principio fundamental de zonificación: las etapas. ¿Sigue siendo adecuada la diferenciación entre zonas de producción, preproducción e integración, pruebas y desarrollo? ¿Qué adaptaciones trae la década de 2020?
La zona de desarrollo, la zona de prueba, la zona de preproducción y la zona de producción: las metodologías ágiles de ingeniería reemplazaron al viejo modelo en cascada, pero las etapas sobrevivieron (Figura 1). Algunos departamentos de TI tienen tres (o solo dos) etapas, algunos hablan sobre etapas de prueba de integración o prueba unitaria. Los objetivos son los mismos:
Relacionado: ¿El mayor problema de la IA? Chatbots mentirosos
Las organizaciones con certificaciones ISO 27001 deben separar los sistemas de desarrollo, prueba y producción para el cumplimiento de ISO de todos modos (ISO 27001:2022 Anexo A 8.31).
Figura 1: Un concepto de zonificación de red clásico y sofisticado
Relacionado: Exasesor tecnológico de Biden sobre lo que le falta a Washington sobre la IA
En la práctica, los diseños de redes más grandes diferencian entre zonas internas y externas (es decir, accesibles por Internet) y colocan firewalls de aplicaciones web y soluciones de administración de interfaz de aplicaciones (API) entre Internet y las zonas externas. Los países o unidades de negocio son otras dimensiones de zonificación generalizadas. Los mismos conceptos de zonificación o más simples podrían aplicarse en las etapas que no son de producción.
Esa era la configuración tradicional. En los últimos años, la IA y la automatización de TI han entrado en el centro de atención y han traído cambios.
La alta disponibilidad y los ciclos rápidos de codificación a implementación requieren automatización en los centros de datos. Además, la automatización hace que los administradores sean mucho más eficientes. La instalación y configuración de software es una tarea de un solo clic en la actualidad, en comparación con un trabajo de tiempo completo en años anteriores, donde los administradores hacían malabarismos con veinte disquetes. Los servidores de monitoreo de hoy tienen alarmas automatizadas. Informan a los administradores de forma proactiva si es necesario realizar intervenciones manuales. Además, las canalizaciones de CI/CD son estándar. Sin embargo, estas ganancias de eficiencia requieren una modificación de los conceptos de zonificación de la red (Figura 2).
El impacto de los componentes de monitoreo e implementación y las canalizaciones de CI/CD en la zonificación de la red
Las soluciones de monitoreo verifican la disponibilidad de las máquinas virtuales y los componentes de la red, y buscan eventos que puedan indicar incidentes de seguridad. En el Reino Unido, existe una solución de monitoreo para el centro de datos completo, pero no para la zona de producción. En España hay uno de desarrollo y en India uno de testing. Las aplicaciones de monitoreo implican la necesidad de acceso entre etapas. Puede colocar componentes de monitoreo en una zona dedicada dentro de la zona de producción o completamente por separado. Obviamente, los errores operativos son menos probables si estas aplicaciones se separan en zonas. Además, los cortafuegos deben abrirse de forma selectiva en lugar de simplemente abrir todos los cortafuegos.
Las soluciones de monitoreo son un ejemplo; otras soluciones (p. ej., para la gestión de parches o el análisis de vulnerabilidades) entran en la misma categoría. Sin embargo, aunque podría ser posible (pero no necesariamente siempre sensato) eludir el acceso entre etapas para tales soluciones, las canalizaciones de CI/CD, por definición, son entre etapas. Primero, implementa el código en su computadora portátil local, luego en un servidor de prueba, un entorno de integración y finalmente en producción. Por lo tanto, la naturaleza pura de las canalizaciones de CI/CD requiere acceso entre etapas. Nuevamente, si una herramienta debe implementar y cambiar las máquinas virtuales en todas las etapas, los firewalls entre las zonas no deben demolerse por completo, sino que solo deben abrirse de manera selectiva para esta herramienta.
AI critica la idea de separar los datos de producción de las actividades de desarrollo. Entrenar modelos de IA significa ejecutar algoritmos que detectan dependencias de miles de variables y millones de conjuntos de datos, que serían imposibles de detectar manualmente. Esta capacitación requiere datos reales (aunque es posible que no requiera todos los datos confidenciales, como nombres de clientes, direcciones y números de seguro social). La tarea similar al desarrollo del entrenamiento de modelos tiene que ejecutarse en datos de producción y, por lo tanto, en una zona de producción. Sin embargo, una (sub)zona de producción analítica y de IA aislada tiene sentido. La IA generalmente significa cantidades significativas de datos que desea mantener seguros y separados de su flujo de trabajo normal. La figura 3 ilustra esta nueva (sub)zona.
Cómo la IA y los científicos de datos requieren adaptaciones en la zonificación de redes
Los componentes de automatización de TI y los entornos de capacitación de IA difieren de las cargas de trabajo de aplicaciones "normales". Ambos requieren la adaptación de los conceptos de zonificación tradicionales para la conectividad entre etapas. Sin embargo, es crucial distinguir entre las instancias de producción y su ingeniería.
La ingeniería de la plataforma de IA y el seguimiento de las herramientas de automatización sigue la metodología habitual de ingeniería de la empresa. Los ingenieros trabajan primero en la zona de desarrollo antes de promover los cambios para probar los entornos de preproducción y producción. Sin requisitos especiales, se aplican las reglas clásicas en ingeniería: conectividad solo con la etapa actual y sin datos de producción para el desarrollo y las pruebas iniciales. La Figura 3 ilustra esto al darle a la plataforma de IA una caja adicional en producción. Aquí, los científicos de datos pueden experimentar. Por el contrario, la plataforma de IA se encuentra en las zonas estándar de desarrollo, prueba y preproducción con todas las restricciones típicas.
Para concluir: los conceptos convencionales de zonificación y puesta en escena permanecen vigentes en la década de 2020, aunque con pequeñas excepciones para las herramientas relacionadas con la automatización de TI y el entrenamiento de modelos de IA. El mundo de las zonas y los escenarios no se vuelve borroso. Cada vez es más colorido y sofisticado.
Más información sobre formatos de texto