Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Soluciones de red Xi Frame en la nube pública

Por Timothy Strobeck



Introducción:



Crédito: Pexels

La virtualización de aplicaciones y escritorios no es una tecnología nueva, pero se ha convertido en un componente esencial para empresas de todos los tamaños durante la mayor parte de una década. Cada vez más clientes ven los beneficios de las aplicaciones y los escritorios virtuales; puede leer más sobre por qué recurren a VDI y DaaS aquí .


La transición de los entornos de escritorio y aplicaciones virtuales de las instalaciones a la nube en el pasado ha sido un desafío debido a los requisitos de seguridad, los requisitos de red y la falta de familiaridad general con los servicios en la nube. Nuestro objetivo es ocultar la complejidad y hacer que la informática del usuario final (EUC) sea lo más simple y fácil posible, al mismo tiempo que somos flexibles para respaldar sus propios requisitos de red y seguridad.


Al final de este blog, debería tener respuestas a algunas preguntas clave que lo ayudarán a comenzar con el escritorio como servicio en la nube pública:


  • ¿Estoy cómodo o mi equipo de seguridad con tener cargas de trabajo directamente en Internet con una dirección IP pública?

  • ¿Tengo herramientas de seguridad o de inspección de red que requieran que el tráfico se ejecute a través de mi red local?


Red de arquitectura


A menudo recibimos preguntas de los clientes como "conocemos el valor y los conceptos centrales de Frame, pero desde una perspectiva de redes, ¿cuáles son nuestras opciones?" Estos blogs ayudarán a diseñar la pila completa de la red a la aplicación para que pueda configurar de forma segura sus cuentas, cargas de trabajo y arquitectura de red.


Dependiendo del escenario de implementación, la arquitectura de la red puede variar ampliamente debido a la complejidad de los entornos y cómo cada entorno se conecta a la infraestructura existente o a los centros de datos locales. Esta publicación de blog describe algunos escenarios de implementación de uso común y analiza sus impactos en la seguridad de la red. Para simplificar las cosas, esta publicación hace referencia a AWS, pero estos escenarios se pueden replicar en otros proveedores de la nube [Microsoft Azure y Google Cloud Platform (GCP)].


Escenario de implementación 1: VM de carga de trabajo que utilizan direcciones IP públicas


Frame se fundó con la idea de utilizar completamente la nube pública para entregar aplicaciones y escritorios. El modelo de implementación tradicional es para que Frame se aprovisione en su cuenta de infraestructura de nube híbrida a través de un rol asumido de administración de identidad y acceso (IAM). Se crea una nube privada virtual (VPC), se colocan subredes en todas las zonas de disponibilidad (AZ) y se crean puertas de enlace de Internet (IGW) para permitir que las cargas de trabajo se comuniquen con Internet y respondan a la plataforma Frame.



Los únicos puertos que se abren de forma predeterminada son 443 desde Internet para permitir que los usuarios se conecten a la carga de trabajo a través de TLS 1.2 y 8112 desde tres de las IP de marco que corresponden a nuestras puertas de enlace. Cada carga de trabajo a la que se conecten los usuarios obtendrá una IP pública de Amazon durante la sesión. Una vez que el usuario se desconecta y finaliza la sesión, la instancia se cierra y la IP se libera de nuevo al grupo de Amazon. Desde el punto de vista de la administración, el modelo es extremadamente simple y fácil de administrar. Pero algunos equipos de seguridad pueden preferir no exponer ciertas cargas de trabajo directamente a Internet. Si bien el Frame Guest Agent (FGA) que se ejecuta en la carga de trabajo se ha reforzado y requiere autenticación, es posible que otro software instalado por el cliente no tenga los mismos niveles de endurecimiento.



Escenario de implementación 2: VM de carga de trabajo que utilizan IP privadas con Secure Gateway Appliance (SGA)


Desde el punto de vista de la red, no exponer directamente sus cargas de trabajo a Internet proporciona cierta protección contra las travesuras que ocurren en Internet. Una opción para abordar esto es con la función de carga de trabajo de IP privada de Frame.



En este escenario, Frame proporciona un dispositivo llamado Streaming Gateway Appliance (SGA) que actúa como un proxy inverso para las cargas de trabajo de IP privadas. La plataforma Frame redirige al usuario al dispositivo Streaming Gateway, y el dispositivo dirige al usuario a la carga de trabajo correcta. En este escenario, hay subredes públicas y subredes privadas creadas en la VPC, un IGW ubicado en la subred pública y puertas de enlace NAT configuradas para enrutar el tráfico a través de la subred pública.


La plataforma Frame activará instancias en las subredes privadas y no expondrá directamente esas cargas de trabajo a Internet. Desde el punto de vista de la seguridad, un atacante necesitaría conocer el bloque CIDR de IP privada de su VPC, saber cuándo se activaron esas instancias y tener un token de sesión validado para comenzar a atacar. Con cualquier variación del espacio de IP privado 10.XXX / 172.31.XX / 192.168.XX, eso es mucho para consultar. Esta capa de ofuscación ayuda a limitar la actividad de escaneo de Internet y protege sus cargas de trabajo. Como paso de validación adicional, el SGA también validará su token de sesión de usuario antes de permitirle pasar por el SGA y conectarse a la carga de trabajo en sí.



Escogiendo el escenario correcto


Volvamos a las preguntas planteadas al principio de este blog y evaluemos los pros y los contras.


¿Estoy cómodo o mi equipo de seguridad con tener cargas de trabajo directamente en Internet con una dirección IP pública?

  • Ventajas: disponible en cualquier lugar de Internet, no se requiere una configuración especial, es fácil de configurar

  • Contras: disponible en cualquier lugar de Internet, por lo que la superficie de ataque puede ser mayor

¿Tengo herramientas de seguridad o inspección de red que requieran que el tráfico se ejecute a través de mi red local?

  • Ventajas: aproveche las herramientas ya instaladas para la inspección de la red

  • Contras: la latencia se puede introducir desde la nube a las instalaciones y de regreso al usuario


Entonces, ¿qué elección deberías hacer? Como siempre, depende de su caso de uso y de las aplicaciones o escritorios que intente ofrecer. Siempre debe considerar los requisitos de red, la seguridad y la experiencia del usuario final cuando evalúe nuevas implementaciones de aplicaciones o escritorios para sus usuarios. La flexibilidad con Frame para admitir las arquitecturas de red más exigentes y mantenerlo lo más simple posible es un gran diferenciador.


Fuente: https://www.nutanix.com/blog/xi-frame-networking-solutions-in-the-public-cloud


3 vistas0 comentarios