Soluciones Comerciales de Uso Clasificado con Joe Galimi

El futuro del Mercado de Espacio Federal Estadounidense

El objetivo de este blog es exhibir un escenario de diseño de redes de la vida real con sus requerimientos técnicos y de negocio y sus pesos respectivos, las opciones de diseño cuya intención fue cumplir esos requerimientos, con sus fortalezas y debilidades, y un recorrido acerca de cómo la solución final fue escogida.


Contexto

Ciberseguridad es una preocupación en aumento para todos y el Gobierno Federal Estadounidense está invirtiendo en grande para modernizar, consolidar, asegurar y guardar en sus arquitecturas de tecnología para proteger información sensible y clasificada. El plan de presupuesto actual de la Casa Blanca muestra que el Gobierno Federal Estadounidense está invirtiendo un estimado de $86 billones de dólares en tecnología de la información para el año 2016. Una de las principales iniciativas dentro del Departamento de Defensa (DoD - por sus siglas en inglés) es el Ambiente Unido de Información (JIE - por sus siglas en inglés), el cual es un entorno empresarial de comunicación y cálculos de información, seguro, unido, confiable y ágil. El mismo proveerá email, acceso a internet, software y aplicaciones comunes y computación en la nube. Los objetivos principales son: incrementar eficiencia operacional, mejorar la seguridad de red y ahorrar dinero reduciendo infraestructura y personal.

Requerimientos, Desafíos y Limitaciones

Con el estado actual de los eventos geopolíticos, poder comunicarse de efectiva y eficientemente en redes clasificadas con compañeros de coalición es de alta prioridad. Las redes e información clasificada de las agencias federales actuales y sus posturas de ciberseguridad, están plagadas de desafíos por varias órdenes judiciales, regulaciones y políticas.  Adicionalmente, muchos diseños no comerciales y de dominio público usan soluciones que terminan siendo costosas para implementar o mantener a largo plazo. Con tecnología cambiando rápidamente, impulsando productos comerciales de fabricantes para crear un diseño escalable, seguro y confiable, que también provea la habilidad de operar en redes clasificadas de forma clandestina es sumamente deseado. Se asume que el personal de tecnología actual tiene las habilidades necesarias y la mano de obra requerida para operaciones continuas dado el diseño seleccionado.

Resumen Conceptual del Diseño

El programa de Soluciones Comerciales de uso Clasificado  he Commercial Solutions (CSfC - por sus siglas en inglés) tiene directrices que gobiernan las soluciones, referidas a sí mismas como Paquetes de Capabilidad (CPs - por sus siglas en inglés). Los CPs pueden ser usados de forma separada o combinada para satisfacer los requerimientos del diseñador. En la Figura 1 se observa una configuración muy común de Hub and spoke. Site A es el hub y Site B el Spoke. Pueden observar las dos capas de VPNs, una exterior y una interior, ambas utilizan criptografía de la Suite B para proteger las redes clasificadas. La razón para las dos capas de VPNs s para asegurar que una debilidad o error en configuracion en una capa no expondría la red clasificada. En ese aspecto, las tecnología de VPNs interior y exterior o pueden ser idénticas, por ejemplo: el mismo producto, SO o librería criptográfica. Debido al hecho de que la criptografía usa certificados X.509 para autenticación y autorización en una configuración VPN, un punto de distribución (DP - por sus siglas en inglés) de listas de revocación de certificados (CRL - por sus siglas en inglés) puede estar disponible para gateways de VPN, para asegurar que el certificado usado por el spoke site no haya sido revocado antes de un intento de establecimiento de VPN.

Figura 1

Selección de diseño de VPN

Ahora que hemos pasado sobre los requerimientos del negocio, desafíos, limitaciones, visión de arquitectura (JIE) y el diseño conceptual de las CSfC VPNs, podemos comenzar la selección de VPN contrastando las fortalezas y debilidades de cada opción. En la Tabla 1 veremos las tres opciones posibles y las compararemos entre ellas. Debido al hecho de que el diseño debe funcionar utilizando propuestas de transporte comerciales públicas alrededor del mundo, opciones privadas de red o WAN VPN fueron excluidas de la consideración.

Opción de Diseño

Fortalezas

Debilidades

Point-to-Point GRE VPN

  • No es propietario
  • Soporta multicast y protocolos de enrutamiento dinámico
  • Soporta QoS por túnel
  • Soporta protocolos que no son IP
  • Administrativamente intenso
  • Baja escalabilidad
DMVPN
  • Soporta multicast y protocolos de enrutamiento dinámico
  • Escalabilidad media
  • Soporta QoS por túnel (sólo entre Hub y Spoke)
  • Privada de un fabricante
  • Replicación de multicast hecha en el hub
  • Complejidad añadida para solución de problemas (troubleshooting)
Flex VPN
  • No es propietario
  • Soporta multicast y protocolos de enrutamiento dinámico
  • Escalabilidad alta
  • Soporta QoS por SA, (Hub a Spoke y Spoke a Spoke)
  • Solo soporta IKEv2
  • Replicación de multicast hecha en el hub (replicación nativa de multicast luego de encriptación, si el transporte lo soporta)
  • Puede requerir mejoras de hardware

Tabla 1


La Tabla 2 es una tabla de comparación que ilustra cómo las opciones de diseño se relacionan con los requerimientos del negocio (BR - por sus siglas en inglés) y requerimientos técnicos (TR - por sus siglas en inglés) para nuestro caso de uso. Es importante considerar que en la mayoría de los casos tendrán requerimientos implícitos y explícitos, identificar e incluir los mismos en su diseño es clave para su éxito. La escala de peso usada es la siguiente:

  • 5 = debe satisfacer
  • 3 = podría satisfacer
  • 1 = es bueno tenerlo


DMVPN es eliminada debido a que no satisface uno de los requerimientos de “debe satisfacer”,  dejando solo P2P GRE VPN y Flex VPN. La opción Flex VPN logró obtener mejor puntaje en general y vence a la opción P2P GRE VPN desde un punto de vista de escalabilidad. Ahora que hemos identificado nuestra selección de VPN, debemos crear el diseño a proponer.


RequerimientosPesoSolución de diseño
Flex VPN

Solución de diseño

DMVPN

Solución de diseño
P2P GRE VPN
[BR] Puede ser usado/compartido con compañeros de coalición de EEUU5555
[BR] satisface o excede mandatos federales, regulaciones y políticas5555
[BR] Estándar de la industria5505
[BR] Puede operar de manera clandestina3333
[BR] Bajo costo para implementar y/o mantener3030
[TR] Confiable3333
[TR] Escalable3330
[TR] Seguro5555
[TR] Soporta Multicast1111
[TR] Soporta Voz y Video3333
[TR] Soporta QoS por tunel/SA1101
Total 34Total 31Total 31

Tabla 2


Diseño Final

Una vez hayas completado el diseño propuesto, poder mostrar y argumentar a los gerentes, ingenieros y accionistas, cómo se integrará dentro de la arquitectura deseada final es clave para obtener su aprobación. Hasta ese punto, sólo porque satisfaces o excedes los requerimientos técnicos y del negocio no garantiza que serás seleccionado. Generalmente, muchos otros diseños presentados también satisfarán o excederán los requerimientos. Es por eso que entender los negocios y sus particularidades desde un punto de vista holístico es lo que te permitirá posicionar su diseño aparte de los demás al final. Debajo están los puntos generales propuestos del diseño. La Figura 2 muestra el diseño propuesto y cómo se integra a la arquitectura actual.


Esta solución de diseño provee:

  • Integración simple con arquitecturas existentes
  • Basada en implementaciones estándar de IPsec VPN
  • Una postura de seguridad orientada a profundización de la defensa
  • Ahorros de costos mayores al expandir para soportar redes clasificadas múltiples
  • La habilidad de realizar operaciones clandestinas usando productos comerciales de fabricantes y el internet
  • La habilidad de integrar otros casos de uso como redes inalámbricas, equipos móviles y data-at-rest (DAR - por sus siglas en inglés)

Figura 2


Comparación de costos

Mientras que los puntos generales mencionan los ahorros de costos, cuando presentas tu diseño, la sección de finanzas debe mostrar que es rentable a largo plazo, desde ambas perspectivas: tanto de inversión (CAPEX - por sus siglas en inglés) como operacional (OPEX - por sus siglas en inglés). Incluye los mantenimientos de los equipos y los costos de soporte en el tiempo, así como también ahorros directos, indirectos, retorno de inversión (ROI - por sus siglas en inglés) y costo total de propiedad (TCO - por sus siglas en inglés).El diseño propuesto se aparta del uso del gobierno, en el cual se emplea solo equipo privado no comercial, procesos y entrenamiento disponible comercialmente, y se desplaza hacia el uso de estándares de la industria e implementaciones de VPN no propietarias. Esto permite que los ahorros en gastos de operación (OPEX) se puedan realizar, debido a no necesitar entrenamiento especial para los empleados, ya sean personal on-site o personal off-site de escalaciones. Adicionalmente, herramientas de administración privadas también son eliminadas y herramientas comerciales existentes son usadas para operaciones, administración y mantenimiento (OAM - por sus siglas en inglés). Desde una perspectiva de gastos de inversión (CAPEX) equipos con encriptación de tipo 1 costan 50% más que los equipos de CSfC y en aumento. Asumiendo que hay 100 oficinas con ciclos de vida de 5 años para los productos, sobre veinte años de retorno de inversión (ROI) para una red clasificada, fácilmente justifica el costo de inversión inicial requerido para el diseño VPN CSfC.Cuando combines los ahorros mencionados arriba junto con la intención del negocio de agregar múltiples redes clasificadas en el futuro cercano, el retorno de inversión aumentará mientras que el costo total de propiedad se reducirá exponencialmente con el crecimiento.


Resumen


El diseño Flex VPN fue seleccionado ya que es el que mejor satisface los requerimientos en este caso de uso, sin embargo, debe considerarse que normalmente, una opción tan obvia no siempre será el caso. Adicionalmente, es muy común que tu administración o la administración de tu cliente (dependiendo de la situación) cambie de parecer sobre los requerimientos y la prioridad de los mismos a lo largo del proceso. La certificación Cisco Certified Design Expert (CCDE) te prepara para situaciones complejas que te permiten resaltar en tu compañía, con tus clientes, y entre tus colegas. El verdadero valor de CCDE es que no es específico de tecnologías o fabricantes, lo cual lo sitúa más arriba que otras certificaciones de nivel experto deseadas por muchos.Los tópicos discutidos en este caso de uso son reales y están implementados actualmente alrededor del mundo. Para aquellos que trabajan para Federales Estadounidenses y quisieran saber más sobre CSfC, por favor usen mi información de contacto debajo.


Sobre el Autor


Blog11- Joe Galimi.png



Joe Galimi es Senior Solutions Architect para el equipo US Federal de Northern Technologies Group. El ama impulsar la innovación con sus ideas salvajes y trabajar en problemas que todo los demás dicen que no pueden ser hechos. En su tiempo libre contribuye con varios programas de diseño y arquitectura dentro de las comunidades comerciales federales.



Traductor voluntario del blog en Español: David Peñaloza

Versión original en Inglés: Commercial Solutions for Classified (CSfC) with Joe Galimi


A continuación, algunas maneras adicionales para integrarnos y mantener la conversación: