Habilitar y proteger la informática ubicua desde la nube inteligente hasta la inteligencia perimetral

Publicado el 5 noviembre, 2019

Corporate Vice President, Azure Networking

Las empresas están adoptando la nube para ejecutar sus cargas de trabajo críticas. El número de dispositivos conectados en entornos locales y remotos y los datos que generan siguen aumentando, de modo que se requieren nuevas infraestructuras de borde de red empresarial. A esto lo denominados inteligencia perimetral, es decir, el acercamiento de la informática a los orígenes de datos y a los usuarios con el fin de reducir la latencia. La nube inteligente, con la eficacia de la informática masiva, el almacenamiento y la variedad de servicios, funciona juntamente con la inteligencia perimetral mediante modelos de programación similares para brindar escenarios innovadores e informática ubicua. Las redes son el elemento crucial para la integración de la nube inteligente con la inteligencia perimetral.

La misión de Azure Networking es proporcionar una red que ofrezca el máximo rendimiento, seguridad y confianza para sus cargas de trabajo, que se entregan y administran desde la nube inteligente a la inteligencia perimetral. Seguimos realizando innovaciones para conectar y ampliar sus servicios a la nube y al borde, para que estén protegidos, se entreguen con un rendimiento óptimo y proporcionen una supervisión minuciosa.

Red global de Microsoft

Microsoft ejecuta una de las redes de área extensa (WAN) más grandes del mundo que proporciona servicio a todos los servicios en la nube de Microsoft, incluido Azure, Dynamics 365, Microsoft 365, LinkedIn, Xbox y Bing. La red WAN conecta todos los centros de datos de Microsoft que ejecutan nuestros servicios en la nube, así como a nuestros clientes y asociados a través de sitios perimetrales. Estos sitios están ubicados de forma estratégica alrededor del mundo y son los que usamos para intercambiar el tráfico con proveedores de servicios de Internet, en el caso del tráfico de Internet, y con asociados de ExpressRoute, en el caso del tráfico de conectividad privada. También usamos los servicios Azure Front Door y Azure Content Delivery Network en nuestros sitios perimetrales para mejorar y acelerar la experiencia de nuestros propios servicios, como Microsoft 365. Para ofrecer una cobertura global, la red WAN cuenta con más de 130 000 millas de fibra óptica submarina, terrestre y metropolitana, que Microsoft administra en su totalidad mediante tecnologías de redes definidas por software (SDN) internas a fin de proporcionar la mejor experiencia de redes. Los líderes del sector, como Thousand Eyes, han informado sobre el rendimiento de nuestra red global y, en un estudio de 2018, descubrieron que es la más sólida y coherente. Un principio fundamental para proporcionar una experiencia excelente es acercar el tráfico a la red de Microsoft al cliente tanto como sea posible y mantenerlo en la red de Microsoft el mayor tiempo posible. Todo el tráfico generado entre los centros de datos y los servicios de Microsoft permanece por completo dentro de la red de Microsoft y no se transfiere a Internet.

Imagen que muestra los pilares básicos de Azure Networking.

Figura 1. Pilares básicos de Azure Networking

Conexión y extensión

Para obtener la mejor experiencia de Internet, los datos deben entrar y salir de la red de Microsoft lo más cerca posible de usted o de sus usuarios. Actualmente, contamos con más de 160 sitios perimetrales y tenemos un plan agresivo para aumentar el número de sitios, sobre el cual puede obtener más información en nuestro blog de expansión de sitios perimetrales. Así mismo, estamos aumentando el número de sitios de encuentro de ExpressRoute, lo que le proporciona mayor flexibilidad para conectarse de manera privada a sus cargas de trabajo de Azure.

Permanecer conectado para el acceso y la ingesta de datos en los entornos de aplicaciones altamente distribuidos de hoy en día es fundamental para cualquier empresa. Muchas empresas necesitan operar en condiciones muy imprevisibles y de gran dificultad. Por ejemplo, en el ámbito de la energía, la agricultura, la minería y el transporte a menudo se opera en lugares remotos, rurales o aislados con una conectividad de red deficiente. ExpressRoute for Satellites ya está disponible con carácter general. Permite el acceso a los servicios en la nube de Microsoft que usan conectividad por satélite. Gracias a que cada vez hay más constelaciones de satélites comerciales disponibles, las nuevas arquitecturas de soluciones ofrecen un rendimiento mejorado y asequible para acceder a Microsoft.

MACsec, un estándar de cifrado del sector para las conexiones punto a punto, ya se admite en ExpressRoute Direct como función en versión preliminar. Los clientes de ExpressRoute Direct pueden garantizar la confidencialidad e integridad de los datos entre las conexiones físicas y los enrutadores de ExpressRoute para cumplir los requisitos de seguridad y cumplimiento. Los clientes controlan y administran por completo el ciclo de vida de las claves MACsec mediante Azure Key Vault.

Hemos invertido en tecnologías ópticas para reducir significativamente el costo de las redes de uso medido. Le transferimos estos ahorros con un nuevo tipo de circuito ExpressRoute denominado ExpressRoute Local, disponible a través de los asociados de ExpressRoute. Si selecciona un sitio de ExpressRoute cerca de nuestros centros de datos y solo accede a los datos de ese centro, los precios de salida se incluyen en el precio del circuito de ExpressRoute Local. Para obtener conectividad en regiones de la misma geoárea, puede usar ExpressRoute Standard y, para acceder a cualquier sitio del mundo, puede usar ExpressRoute Premium.

El nuevo servicio Peering Service para la nube de Microsoft, actualmente en versión preliminar, permite que la conectividad a Internet de nivel empresarial acceda a Azure, Dynamics 365 y Microsoft 365, a través de asociaciones con proveedores de Internet y proveedores de intercambio de Internet. Peering Service también proporciona telemetría de latencia de Internet, supervisión de rutas y alertas contra apropiaciones, fugas y otros errores de configuración del protocolo de puerta de enlace de borde.

Logotipos de emparejamiento - actualización 2 - MR

Figura 2. asociados del lanzamiento que admiten el nuevo servicio Peering Service

Hemos mejorado nuestro servicio de VPN para admitir hasta 10 Gbps de ancho de banda cifrado agregado, IKE v1 en todas nuestras SKU de VPN Gateway y la captura de paquetes para ayudar a depurar problemas de configuración. También hemos mejorado nuestro servicio de VPN de punto a sitio para admitir Azure Active Directory y la autenticación multifactor. Así mismo, ponemos a su disposición un cliente de OpenVPN que puede descargar y ejecutar para acceder a su red virtual desde cualquier lugar.

Azure Virtual WAN reúne nuestros servicios de conectividad de Azure en una sola interfaz operativa con los principales asociados de SD-WAN. Azure Virtual WAN permite una arquitectura de red de tránsito global al proporcionar una conectividad ubicua entre conjuntos distribuidos globalmente de radios, como redes virtuales, sitios, aplicaciones y usuarios. Entre los cambios significativos se incluye la versión preliminar de la conectividad universal y de centro de conectividad a centro de conectividad. Los usuarios de Virtual WAN pueden conectar varios centros de conectividad para obtener una conectividad completa de malla del mismo nivel para simplificar aún más su arquitectura de red. Además, ExpressRoute y la conexión de punto a sitio ahora se encuentran disponibles con carácter general con Virtual WAN.

Imagen que muestra información general de la topología completa de Azure Virtual WAN en los clientes y sitios de clientes que se conectan a Azure.

Figura 3. Información general de la topología completa de Azure Virtual WAN en los clientes y sitios de clientes que se conectan a Azure

Hemos estado trabajando en estrecha colaboración con los líderes del sector para expandir la compatibilidad del ecosistema con Virtual WAN. Hoy, anunciamos que Cisco y Microsoft se asociarán para modernizar la red para la nube. Cisco, uno de los asociados estratégicos y globales más grandes, trabajará con Microsoft para integrar la tecnología SD-WAN de Cisco con Azure Virtual WAN y Office 365 a fin de permitir una conectividad de sucursal óptima, distribuida y directa a Azure y Office 365.

Además, otros asociados, como Cloudgenix, Fortinet, Nokia-Nuage, y Silver Peak, han finalizado sus integraciones con Virtual WAN y estas están disponibles de manera inmediata.

IPv6

La red virtual de doble pila (IPv4 + IPv6) estará disponible con carácter general más adelante durante este mes. Por primera vez en la nube, Azure permitirá a los clientes traer su propio espacio privado IPv6 a la red virtual, por lo que se evitará la necesidad de tener que realizar cambios en el enrutamiento. IPv6 permite a los clientes solucionar el agotamiento de IPv4, cumplir los requisitos normativos y expandirse en los crecientes mercados de IoT y dispositivos móviles con sus aplicaciones basadas en Azure.

Una imagen que muestra un diagrama arquitectónico de un enrutamiento de la red virtual de Azure con IPv6 entre VM, la subred y Load Balancer.

Figura 4. Diagrama arquitectónico de un enrutamiento de la red virtual de Azure con IPv6 entre VM, la subred y Load Balancer

Protección

Creación de redes de Confianza cero

Las aplicaciones en la nube y los recursos móviles han redefinido el perímetro de seguridad. Las ubicaciones físicas de la organización ya no definen el nuevo perímetro, sino que ahora este se extiende a cada punto de acceso que hospeda o almacena servicios y recursos corporativos, y accede a ellos.

En lugar de creer que todo lo que se esconde detrás del firewall corporativo es seguro, el modelo de Confianza cero asume que existen brechas y verifica cada solicitud como si se originara en una red no controlada. Independientemente de dónde se origine la solicitud o del recurso al que acceda, la Confianza cero nos enseña que "nunca debemos confiar en nada y que siempre tenemos que verificarlo todo".

Los servicios de Azure Networking proporcionan controles críticos que mejoran la visibilidad y permiten impedir que los actores malintencionados se desplacen de forma lateral por la red. Las redes deberían segmentarse, e incluso aplicar una macrosegmentación más profunda definida por software, y la protección contra amenazas en tiempo real, el cifrado de un extremo a otro, la supervisión y el análisis deberían implementarse.

Azure Private Link: extendido en todas las regiones de Azure

Azure Private Link trae los servicios de Azure a su red virtual privada. Los servicios de Azure compatibles, como Storage, SQL Database y Azure Synapse Analytics, se pueden consumir a través de una dirección IP privada, por lo que no es necesario abrir las listas de control de acceso (ACL) a la red pública de Internet. El tráfico que pasa por Private Link siempre permanecerá en la red troncal de Microsoft y nunca entrará en la red pública de Internet. También se puede acceder de forma privada a los recursos de la plataforma como servicio (PaaS) desde el entorno local a través de VPN o del emparejamiento privado de ExpressRoute, lo que permite mantener ACL simples. A partir de hoy, Private Link estará disponible en todas las regiones públicas de Azure.

Imagen que muestra un diagrama arquitectónico de Private Link implementado en el entorno local.

Figura 5. Diagrama arquitectónico de Private Link implementado en el entorno local

Al usar Azure Private Link, Azure se convierte en la primera nube que proporciona cumplimiento y gobernanza de datos mediante la implementación de la protección integrada contra la filtración de datos. Esto nos permite avanzar un paso más hacia nuestro objetivo de conseguir redes de confianza cero en las que los actores malintencionados de la red confiable no puedan filtrar datos a cuentas no seguras, dado que se asignan instancias individuales de PaaS como puntos de conexión privados, en lugar de front-end de servicio. Private Link también permite a los proveedores de software como servicio (SaaS) de Azure extender la misma funcionalidad a sus clientes. Snowflake es una empresa pionera en adoptar el programa y próximamente también se adoptará en más servicios para asociados.

Azure Firewall Manager es un nuevo servicio de administración de seguridad que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad basados en la nube. Actualmente, Azure es el único proveedor en la nube que ofrece gobernanza de tráfico, control de enrutamiento y seguridad integrada de terceros a través de Azure Firewall y Firewall Manager. Los administradores globales pueden crear de manera central una arquitectura tipo hub-and-spoke y asociar directivas de seguridad o enrutamiento con el centro de conectividad, lo que se denomina centro virtual protegido.

Diagrama de Azure Firewall Manager implementado en los centros de conectividad protegidos de Virtual WAN.

Figura 6. Diagrama de Azure Firewall Manager implementado en los centros de conectividad protegidos de Virtual WAN

Con los asociados de seguridad de confianza, puede usar sus conocidas ofertas de seguridad como servicio (SECaaS) de terceros líderes del sector para proteger el acceso a Internet de los usuarios. Estamos muy contentos de anunciar nuestra asociación con ZScaler, iboss y Checkpoint (tendrá lugar próximamente) como asociados de seguridad de confianza.

Ya está disponible con carácter general el filtrado basado en inteligencia sobre amenazas de Azure Firewall

Gracias al filtrado basado en inteligencia sobre amenazas, ahora se puede configurar Azure Firewall para alertar y denegar el tráfico con direcciones IP y dominios malintencionados conocidos casi en tiempo real. La direcciones IP y los dominios proceden de la fuente de inteligencia sobre amenazas de Microsoft.

También ampliamos nuestro firewall de aplicaciones web (WAF) con tres nuevas características: protección contra bots de WAF, directivas por sitio de WAF y filtrado geográfico. La regla de protección contra bots administrada por Azure establecida en Azure Front Door detecta distintas categorías de bots y permite a los clientes establecer acciones en consecuencia. Los clientes pueden bloquear bots malintencionados en el borde de la red, lo que permite que los bots buenos lleguen a los back-end de la aplicación y registren o redirijan bots desconocidos a un sitio alternativo. El conjunto de reglas de protección contra bots administrado por Azure también se ofrece como versión preliminar en la SKU de Azure Application Gateway v2. La directiva por sitio de WAF con Application Gateway permite a los clientes especificar directivas de WAF para diferentes aplicaciones web hospedadas en una única instancia de Application Gateway. De este modo, puede especificar una directiva de seguridad más precisa y se elimina la necesidad de crear implementaciones adicionales por sitio. Azure Application Gateway presenta los filtros geográficos con reglas personalizadas existentes en la versión preliminar de la SKU v2. Esta funcionalidad le permite ampliar las reglas personalizadas basadas en intervalos IP o IP existentes para incluir también los países como criterio de coincidencia y tomar las medidas correspondientes. Esto le permite restringir el tráfico desde un país determinado o solo permitirlo desde un conjunto de países.

Recientemente, anunciamos la disponibilidad con carácter general de Azure Bastion. El servicio Azure Bastion se aprovisiona directamente en su instancia de Virtual Network, lo que permite el acceso de Secure Shell (SSH) y de escritorio remoto (RDP) sin problemas a todas las máquinas virtuales de la red virtual sin necesidad de una dirección IP pública. La integración perfecta y la configuración sencilla de una sola vez de ACL en las subredes eliminan la necesidad de administración constante.

Diagrama con la arquitectura de Azure Bastion que muestra el acceso SSL a los recursos de la red virtual a través de Azure Portal.

Figura 7. Arquitectura de Azure Bastion que muestra el acceso SSL a los recursos de la red virtual a través de Azure Portal

Entregar

Hoy también presentamos una característica nueva, el motor de reglas de Content Delivery Network, con el que Azure Content Delivery Network permite a los clientes personalizar cómo se controlan las solicitudes HTTP. El motor de reglas permite definir condiciones de coincidencia muy eficaces, como la detección de dispositivos, el protocolo HTTP y los valores de encabezado, y, además, desencadena acciones adecuadas. Todas las reglas HTTP se ejecutan en nuestros sitios perimetrales cerca de los usuarios finales, lo que proporciona ventajas de rendimiento significativas en comparación con la ejecución de reglas en los orígenes de los clientes.

El controlador de entrada de Application Gateway permite que Azure Application Gateway se utilice como entrada para una instancia de Azure Kubernetes Service (AKS). El controlador de entrada se ejecuta como un pod dentro del clúster de AKS. Consume recursos de entrada de Kubernetes y los convierte en una configuración de Azure Application Gateway que permite a la puerta de enlace equilibrar la carga de tráfico en los pods de Kubernetes. El uso del controlador de entrada de Application Gateway permite a los clientes exponer un solo punto de conexión accesible desde Internet para comunicarse con sus clústeres de AKS. Application Gateway interactúa directamente con pods mediante direcciones privadas, de modo que se elimina la necesidad de agregar DNAT adicional que incurra kube-proxy, por lo tanto, proporciona un enrutamiento de tráfico eficiente a los pods. El controlador de entrada de Application Gateway proporciona compatibilidad con todas las características de Application Gateway, incluidas las funcionalidades de WAF para garantizar el acceso al clúster de AKS.

Diagrama que muestra el controlador de entrada de App Gateway explicado en relación con AKS.

Figura 8. Controlador de entrada de App Gateway explicado en relación con AKS

Azure Key Vault es un servicio administrado por la plataforma que protege las claves criptográficas y otros secretos que usan las aplicaciones y los servicios en la nube. Azure Application Gateway v2 ahora admite la integración directa de los certificados TLS almacenados de Key Vault para sus clientes de escucha habilitados para HTTPS. Ello permite mejorar la seguridad del certificado TLS al separar de manera clara el proceso de administración de certificados de Application Gateway y la administración de aplicaciones web de back-end. Application Gateway sondea la instancia de Key Vault cada varias horas para comprobar si existe una versión más reciente del certificado de Seguridad de la capa de transporte (TLS), lo que permite renovar automáticamente los certificados.

Supervisar

Azure Internet Analyzer es un nuevo servicio de medida del lado cliente que ahora está disponible en versión preliminar. Internet Analyzer permite realizar las pruebas A/B de las infraestructuras de redes y su impacto en la experiencia de rendimiento de sus clientes. Tanto si va a migrar aplicaciones y contenido del entorno local a Azure como si va a evaluar un nuevo servicio de Azure, Internet Analyzer le permite obtener información a partir de los datos de sus usuarios y la completa funcionalidad de análisis de Microsoft, para comprender mejor y optimizar su arquitectura de red con Azure, antes de llevar a cabo la migración. Internet Analyzer se ha diseñado para abordar las preguntas relacionadas con el rendimiento en la migración a la nube, la implementación en una región nueva de Azure o en regiones adicionales, o la prueba de nuevas plataformas de aplicaciones y entrega de contenido en Azure, como Azure Front Door y Content Delivery Network.

El servicio Azure Monitor for Networks ya está disponible en versión preliminar. Azure Monitor for Networks permite a los clientes supervisar métricas clave y el estado de sus recursos de red, así como detectar problemas y obtener ayuda para solucionarlos. Azure Monitor for Networks está activado de manera predeterminada y no requiere ninguna configuración personalizada. Tanto si se trata de supervisar la nube o redes híbridas como de solucionar problemas en ellas, Azure Monitor for Networks le ayuda a configurar alertas, obtener diagnósticos específicos de recursos y visualizar la estructura y las dependencias funcionales entre los recursos.

Captura de pantalla que muestra Azure Monitor y las métricas y los diagnósticos de App Gateway.

Figura 9. Captura de pantalla de Azure Monitor for Networks que muestra las métricas y los diagnósticos de App Gateway

Multi-access Edge Computing (MEC) en versión preliminar

Multi-access Edge Computing ofrece a los desarrolladores de aplicaciones funcionalidades de informática en la nube en las instalaciones del cliente. Este entorno se caracteriza por ofrecer una latencia muy baja y un gran ancho de banda, así como acceso en tiempo real a redes de radio, como LTE privado y 5G. Al integrar las funcionalidades de MEC con Azure, ofreceremos funcionalidades de red y proceso de manera continua desde la nube inteligente hasta el borde. Los nuevos escenarios críticos e envolventes, como la factoría inteligente y la realidad aumentada, requieren una conectividad de baja latencia confiable y de ancho de banda alto combinados con la informática local.

Imagen de un borrador de conceptos de la informática perimetral de red y varios accesos con Azure.

Figura 10. Borrador de conceptos de la informática perimetral de red y varios accesos con Azure

Para abordar estas necesidades, presentamos una versión preliminar tecnológica de Multi-access Edge Computing basada en Azure Stack Edge e implementada en el entorno local del cliente a fin de obtener la mejor latencia posible. Las características clave de MEC son las siguientes:

  • Permite a los desarrolladores usar GitHub y el conjunto de herramientas de CI/CD de Azure DevOps para escribir y ejecutar aplicaciones basadas en contenedores en el entorno local del cliente. Con un modelo de programación coherente, resulta sencillo desarrollar aplicaciones en Azure y, luego, moverlas a Azure Stack Edge.
  • Integración de tecnología inalámbrica, como la evolución a largo plazo (LTE) privada, el servicio de radio de banda ancha para ciudadanos (CBRS) basado en LTE y las próximas tecnologías 5G. Como parte de nuestra plataforma MEC, nos hemos asociado con innovadores tecnológicos para proporcionar funciones de red virtual móviles (Evolver Packet Core), integración de dispositivos, administración de SIM y redes de acceso de radio.
  • MEC se administra desde Azure. Las imágenes de la función de red virtual (VNF) seleccionadas se descargan desde Azure para simplificar la implementación y ejecución de una red móvil privada. La plataforma también ofrece soporte técnico para la administración del ciclo de vida de VNF, como revisiones, configuración y supervisión.
  • Se trata de un ecosistema de asociados que incluye proveedores de servicios administrados para implementar soluciones completas en su red.

Si está interesado en la versión preliminar técnica anticipada y las opciones con la integración de MEC, póngase en contacto con MEC-Networking@microsoft.com.

Imagen que muestra un resumen del ecosistema de asociados de Azure Multi-edge Compute (MEC).

Figura 11. Resumen del ecosistema de asociados de Azure Multi-edge Compute (MEC)

Una mirada hacia el futuro

Estamos totalmente comprometidos con ayudarle a conectarse a Azure y proteger sus cargas de trabajo, ofrecer una magnífica experiencia con la red y proporcionar una supervisión amplia, a fin de simplificar la implementación y reducir los costos operativos, al mismo tiempo que le ayudamos a ofrecer un soporte técnico mejorado a sus clientes. En Microsoft Ignite, agregaremos más detalles sobre nuestros anuncios y, para obtener más información, puede ver nuestras sesiones técnicas. Continuaremos ofreciendo orientación y servicios de red innovadores para ayudarlo a sacar el máximo provecho a la nube. Nos entusiasma conocer los nuevos escenarios que son posibles gracias a nuestros servicios de red. Como siempre, le agradecemos cualquier comentario.


Azure. Invente con un objetivo.