Webinars 2013
CINCO MÉTODOS PRÁCTICOS PARA
INCREMENTAR LA DISPONIBILIDAD DE
LAS APLICACIONES
INFORMACIÓN GENERAL
Miguel Ángel Chávez Cervantes Ingeniero en Electrónica y Comunicaciones • 10 años de experiencia en el área de Networking y Diplomado en Seguridad en
tecnologías de la Información • Ingeniero certificado en diferentes marcas y tecnologías
Juniper Networks PaloAlto Networks Trend Micro Barracuda Infoblox Entre otras
• Consultor en el área de Seguridad en redes • Premio al mejor Ingeniero Juniper Networks 2010 en la región Latinoamérica • Experiencia en Pent testing y análisis de riesgos • Consultor Técnico Comercial en Grupo Smartekh
C INCO MÉTODOS PRÁCTICOS PARA INCREMENTAR
LA DISPONIBILIDAD DE LAS APLICACIONES
OBJETIVO
Conocer de manera General 5 aspectos que nos ayuden a mantener la disponibilidad a las aplicaciones criticas de nuestra organización, dichos aspectos son analizados desde el punto de vista de Networking y Seguridad de la información.
Agenda
1. La disponibilidad y sistemas redundantes.
2. ¿Qué significa ganar o perder un 9? ¿En cuánto tiempo tienes arriba el sistema ?
3. Cinco aspectos que hoy en día no resuelven para ganar ventaja
4. ¿Cuál es el riesgo latente en cuanto disponibilidad?
ELECCIONES EN MÉXICO 2012
Sin Visibilidad y Control Gestión Compleja OPEX
LA DISPONIBILIDAD Y SISTEMAS
REDUNDANTES
DISPONIBILIDAD Y SISTEMAS
REDUNDANTES
¿Qué es disponibilidad? Concepto que se refiere al hecho de garantizar el acceso a la información por la entidad que lo requiere y está autorizada para ello. Conceptos
Alta disponibilidad (High availability) es un protocolo de diseño del sistema y su implementación asociada que asegura un cierto grado absoluto de continuidad operacional durante un período de medición dado.
Los sistemas redundantes en ingeniería de sistemas, son aquellos en los que se repiten datos o hardware de carácter crítico que se quiere asegurar ante los posibles fallos que puedan surgir por su uso continuado.
La fiabilidad es la probabilidad de que un dispositivo realice adecuadamente su función prevista a lo largo del tiempo, cuando opera en el entorno para el que ha sido diseñado.
MTBF
MTTF
TIPOS DE SISTEMAS EN
REDUNDANCIA EN TI
Discos Raid
Bonding Sistemas eléctricos
Componentes en HA
Balanceo de cargas
SSL VPN
Firewall IPSec VPN
IPS
L2 Switch
L2/L3 Switch
L2/L3 Switch
L2/L3 Switch
Ejemplo como crece la red para
estar arriba WAN Edge Router
WAN Edge Router
Servers + Storage
Muchos equipos
y capas 1 Muchos Sistemas
operativos en
gestión 2
Alta latencia 3
Estar arriba, el reto 4
Mucho tiempo
invertido en
implementación 5
L2/L3 Switch
Hard to manage
STP in a flat L2
access network
Security Sprawl
Capa WAN
Capa de Core
Capa de
Agregación
Capa de Acceso
COMPLEJIDAD – UNA FUNCIÓN DE DISPOSITIVOS +
INTERACCIONES
Com
ple
jidad
5,000
2,500
0 2000 1000 3000
No. de puertos
5000 4000 6000
10,000
7,500
200
100
400
300
Equipos Interacciones
Interacciones
Equipos gestionados
Resolver el N mas pequeño posible.
N*(N-1)
2 No. de Interacciones =
N = No. de equipos gestionados
Mas complejo
Muy Complejo
Modelo escalable L2/L3
Limite en L2 y VLANs a cada chassis
Ningún loops, evitar STP
ECMP usado a nivel de ruteo en core
Hasta 480 servidores en un Chassis Virtual
Más de 500 nodos en core
Misma arquitectura GbE y 10GbE
Ventajas de esta arquitectura
Permite a las aplicaciones mantener adyacencia L2 en un SW
Entorno TOR para optimizar espacio
Limite en el nivel de acceso con VLAN mejora la transferencia de datos a las aplicaciones de baja latencia
Extender el Chassis Virtual por fibra a otras ubicaciones
L2/L3 Virtual Chassis
Wire-rate 10GbE
Core
Access
L2-solamente:
35µs latencia VLAN a
VLAN
L2/L3 en acceso: 3.6µs en latencia
VLAN-VLAN 10x mas rápido!
STP
SIMPLIFICAR ES EL MENSAJE.
Disminuir las capas en la red
LAN, reducción de costos y
complejidad.
Las prácticas de redundancia
fueron creadas con los
Switches y protocolos base.
Los switches de hoy en día
permiten tener nuevos
diseños aprovechando
capacidades con la finalidad
de simplificar.
¿PORQUÉ BUSCAR LA DISPONIBILIDAD
CON MENOR REDUNDANCIA FÍSICA?
Ahorros en TI Ahorro espacio
Mejorar el
medio ambiente Mejor NSB Menos hardware,
menos OPEX
Adaptabilidad e
interconectividad
OTRAS ALTERNATIVAS EN
DISPONIBILIDAD
Virtualización
Balanceo de enlaces y cargas
¿QUÉ SIGNIFICA GANAR O PERDER UN 9?
¿EN CUÁNTO TIEMPO TIENES ARRIBA EL
SISTEMA?
¿QUÉ SIGNIFICA PERDER O
GANAR UN 9?
¿QUÉ SIGNIFICA PERDER O
GANAR UN 9?
Estrategia y visión
Organización
Procesos
Aplicaciones y datos
Tecnología
Infraestructura
Operación en tiempo real
Acceso a las aplicaciones críticas
Uso de los recursos
Movilidad y Globalización
Experiencia del cliente
Dependencias de negocio
¿EN CUÁNTO TIEMPO TENGO
ARRIBA EL SISTEMA?
Conceptos base
Resilent
Recoverable
Capacity Planning
¿EN CUÁNTO TIEMPO TENGO
ARRIBA EL SISTEMA?
Servicio Resilent Capacity Plan
Recoverable % de disponibilidad
Red No Si Si 99.88%
DNS Total ?? n/a
Firewalls Total Si Si 99.9%
Balanceador Total Si n/a 99.8%
AutenticaciónWLAN
?? ?? Si
Servidores de BD
No Si Si
99.96%
Ejemplos Servicios con cierto riesgo
CINCO ASPECTOS QUE NO SE RESUELVEN
PARA GANAR VENTAJA.
¿QUÉ TAN SIMPLE ES EL PERÍMETRO?
Muchos dispositivos que no resuelven el problema
Cada dispositivo tiene una vision limitada del tráfico
Mayor complejidad y costos en cuanto mantenimiento
Internet
Y en el caso del UTM todo en la misma caja lo hace lento
LAS ARQUITECTURAS TRADICIONALES MULTI-PASOS SON LENTAS
ID Basada en Puerto/Protocolo
L2/L3 Networking, HA, Administracion de la Configuracion,Reportes
ID Basada en Puerto/Protocolo
Decodificador HTTP
L2/L3 Networking, HA, Administracion de la Configuracion,Reportes
Política de Filtrado URL
ID Basada en Puerto/Protocolo
Firmas del IPS
L2/L3 Networking, HA, Administracion de la Configuracion,Reportes
Política de IPS
ID Basada en Puerto/Protocolo
Firmas del AV
L2/L3 Networking, HA, Administracion de la Configuracion,Reportes
Política del Anti-Virus
Política del Firewall Decodificador IPS Decodificador AV y Proxy
Las arquitecturas tradicionales en UTM y Firewall
Fire
wall d
e N
ueva G
enera
ció
n
Wan
10 GbE (standby)
1 GbE
Core
Acceso
10 GbE (active)
COLAPSANDO CAPAS, CONSOLIDANDO
SEGURIDAD
Rápida Integración de
servicios
Simplicidad de
operación
Reducción de
espacio, enfiramiento,
y uso de energía
Top of Rack o
implementación
End of Row
VISIBILIDAD
ZONA FINANZAS
ZONA OPERACIONES
Hypervisor
VM 4
VM 1
VM 2
VM 3
Virtual Machines
SSL VPN
DMZ
CLIENTS
Usuarios
Apps
Secure VDI Support
botnets
Visibilidad de las aplicaciones en general y asegurar las que van de acuerdo a los objetivos de la organización.
Visibilidad en el uso de la red, ancho de banda.
Visibilidad de los usuarios, dispositivos móviles y aplicaciones de manera granular.
Monitoreo del flujo de información sensible.
CONTROL
Bajo Alto
Network Control
La visibilidad proporciona la habilidad de implementar políticas de
acuerdo ciertas necesidades y el control
• Permitir
• Permitir, pero escanear contra amenazas
• Permitir ciertos usuarios
• Permitir ciertas funciones
• Denegar aplicaciones malas conocidas
• Descifrar cuando sea apropiado
• Calidad de Servicio (QoS)
…cualquier combinación de las anteriores
GESTIÓN
Reto
Como escaralarlo
Consume Tiempo / Propenso a fallas
Cambios no deseados configuración
Enorme esfuerzo en habilitar servicios traves de multiples dispositivos
Gestión“Traditional” via CLI
Gestión Centralizada (SDN)
Ventajas
Un solo punto de gestión de la red
Seguridad/Fisica/Virtual/cable/Inalambrica/Servicios
Automatización /Facil escalable
Presentación de servicios/Basado en GUI
GESTIÓN
Marco de Gestión Aprovisionamiento, Monitoreo de los elementos de red
Fallos Configuración Accounting Desempeño Seguridad
SSL/TL
S
SSHv2 SNMPv
3
AAA
Built-in
Firewall
!
Gestión a Profundidad
CORRELACIÓN
“LogServer” Correlación
“Aquí hay todo tipo de eventos. Por favor, revisa todos ellos y? Házme saber si usted encuentra algo extraño
“De todos los eventos entrantes millones Creo que es necesario revisar
éste.”
CAPACIDAD MULTI-VENDOR A NIVEL DE BITACORAS
Eventos de red.
Switches & routers, incluye el flujo de datos
Bitacoras de Seguridad
Firewalls, IDS, IPS, VPNs, Scanners de Vulnerabilidades, Gateway AV y Antivirus
Sistemas Operativos/Bitacoras a Nivel de Host
Microsoft, Unix and Linux
Apliaciones
Base de Datos, mail & web
Usuarios y usos
Autenticación y flujo de datos
Utilerias en seguridad:
Flujo de datos (geográficos)
Shadownet
Botnet
Formatos
para PCI
BusquedasFo
renses Reporttes
granulares
¿CUÁL ES TU RIESGO LATENTE EN
CUANTO A DISPONIBILIDAD?
¿CUÁL ES EL RIESGO DE
DISPONIBILIDAD LATENTE? Servicio Nivel de
riesgo Áreas de impacto
Costo por caída % de disponibilidad
Red medio Toda la organización
$90,000.00 99.88%
DNS bajo Internet
Firewalls bajo DMZ, Internet $15,000.00 (baja) $150,000.00
99.9%
Balanceador bajo DMZ, Internet $30,000.00 (baja) $300,000.00
99.8%
AutenticaciónWLAN
medio Alumnos, Academicos
Servidores de BD bajo Toda la Organización
$500,000.00 (baja) $1,800,000.00
99.96%
¿CUÁL ES EL RIESGO DE
DISPONIBILIDAD LATENTE?
Servicio Resilent Capacity Plan
Recoverable % de disponibilidad
Red No Si Si 99.88%
DNS Total ?? n/a
Firewalls Total Si Si 99.9%
Balanceador Total Si n/a 99.8%
AutenticaciónWLAN
?? ?? Si
Servidores de BD No Si Si
99.96%
Ejemplos de servicios con cierto riesgo
RESUMIENDO…
Cobertura
en disponibilidad
Conocer puntos de falla
Detectar dependencias
Conocer las capacidades
de recuperación
Objetivos de
negocio en un SLA
CONCLUSIONES GLOBALES
Organización Disciplina Procesos
Nivel Recuperación
Servicio y Soporte
GRACIAS!!