Acceso seguro a Internet empresarial

[02/05/2014] Hace unos días conversamos con Jorge Elías, jefe de seguridad de información del Segmento de Grandes Empresas de Telefónica, sobre el uso de soluciones de nube para la seguridad del acceso a Internet. Hace un tiempo, Telefónica comenzó a ofrecer Tráfico Seguro -así se llama la solución- a sus clientes en una versión de nube que complementaba a la opción mediante appliances que venía ofreciendo.

Con la ayuda de Fortinet, Telefónica pudo no solo ofrecer una opción más a sus clientes, sino que también pudo abrir oportunidades entre las organizaciones que preferían no optar por usar un appliance para asegurar su acceso a la Red. En la charla nos acompañaron Franz Erni, country manager para Perú y Bolivia de Fortinet, y Luis Guembes, major account manager para Telcos de la misma compañía.

Básicamente, ¿en qué ha consistido la solución?
Elías: En las instalaciones del cliente poníamos un dispositivo a través del cual controlábamos la seguridad de su acceso a Internet. Pero, el tener que poner un dispositivo en cada instalación, conlleva cierta complicación para los clientes que no son tan grandes y para quienes el valor del dispositivo es elevado en relación costo-beneficio.

Así competíamos con organizaciones más pequeñas, no éramos tan eficiente en costos ni rapidez y en cosas similares. Con Fortinet, se tiene una solución desde la nube. En lugar de comprar estos dispositivos, compramos dos equipos bastante grandes, carrier class, interconectados, en redundancia y alta disponibilidad, y desde esta nube damos los servicios, uno a uno.

Las ventajas saltan a la vista. Ya no tengo que ir con un equipo a las instalaciones del cliente a instalarlo. Simplemente es una configuración y el cliente automáticamente se conecta a una parte de este equipamiento. Y eso, a grandes rasgos, el cambio que se produjo en la solución que tenemos que se denomina comercialmente Tráfico Seguro.

Antes ¿qué tenían?
El tema de la seguridad es un tema marca blanca. Puedes instalar cualquier equipo. Pero no es que hayamos dejado de hacerlo, sino que con esta nueva solución cubrimos una parte del mercado que no podíamos por un tema de costos; es decir, que la empresa cliente cubra el costo de un equipo en sus oficinas.

Es decir, era un appliance de seguridad.
Así es, un appliance de seguridad donde por un X por ciento más de renta mensual se incorporaba como parte del acceso a Internet.

¿Y este appliance a qué empresas iba dirigido?
A las pequeñas y medianas o superiores. Telefónica Empresas atiende a los 2.500 clientes más grandes nombrados, donde se tiene una base que son 1.500 cuentas, y otras mil cuentas principales entre gobierno y privados. Este dispositivo se dirige a oficinas remotas y oficinas principales.

Lo que quiero explicar es que no necesariamente todos van a ir a un modelo de este tipo, porque de acuerdo a la arquitectura y a las necesidades de cada cliente hay clientes que piden la solución on premise.

Erni: Aproximadamente, en el 2009, así que estamos hablando de mínimo cinco años en esa plataforma.

¿Se ha implementado para los nuevos o también para los que ya tenían el appliance?
Elías: Algunos han decidido migrar a esta solución. Cuando toca la renovación luego de tres años, algunos deciden pasar a la nube.

Erni: En realidad, en ocasiones se requiere también tener equipos on promise cuando realmente quieres segmentar tu seguridad.

¿Cómo es que escogieron a Fortinet?
En algún momento surgió la idea, obviamente se realizaron benchmarks no solo económicos y técnicos. Se trabajó no solo con el assessment de fábrica sino también del security operation center, toda la parte técnica de ingeniería, que puso a probar las diferentes soluciones y de la relación prestaciones/costo salió Fortinet como la elegida.

¿Qué es lo que se implementó?
Erni: Una plataforma de dos equipos carrier class que fueron chasises 5040 con cuchillas 5001A.

Elías: Con un esquema de alta disponibilidad y redundancia geográfica inclusive, en el sentido de que no están ubicados en el mismo lugar, sino uno en el Cercado y el otro en San Isidro.

Erni: Eso es importante. Esta solución tiene redundancia de equipos y además redundancia de sites. Se encuentran en dos nodos de Telefónica, con lo cual es bastante disponible para los clientes.

¿Eso ha cambiado? ¿Hay nuevos equipos?
Elías: Ese cambio se ha hecho en el tercer trimestre del año pasado. Aunque no es un cambio en realidad, sino que la solución ha ido evolucionando. Se han cambiado las cuchillas por otras de mayor capacidad, pero se han mantenido los chasises y ahora se está ampliando la capacidad con unos chasises que van a reemplazar a éstos, donde la capacidad se multiplica por cuatro veces.

Elías: Teóricamente sí, pero todos no van a entrar en la solución porque hay algunos que se van a quedar en la solución con sus equipos en casa.

Erni: Y los cambios que se hicieron fueron por un tema de crecimiento y de renovación tecnológica.

¿Cuándo realizaron la implementación cuanto tiempo demoraron?
Erni: Todo el tema de tener habilitados los equipos técnicamente fueron un par de meses. Luego, dar de alta un cliente -y esa es una ventaja de la solución-, técnicamente, se puede hacer en horas, es algo muy rápido, es configuración nada más. Y eso es importante como diferenciador para la telco porque les ahorra mucho en temas logísticos, además la rapidez de facturación es mayor y es un beneficio para el cliente.

¿Cuándo estuvo implementado? ¿En el 2009?
Elías: Así es. Y entre los beneficios a nivel de negocio se puede mencionar la capacidad de dar un tiempo de respuesta mucho más rápido a los clientes. Segundo, la capacidad de ser competitivos también en costos frente a otras soluciones no tan potentes pero más baratas, si comparamos appliance contra appliance en las instalaciones del cliente. Y tres, poder aumentar la penetración de mercado, que es muy importante para nosotros. Ahora tenemos campañas bastante agresivas en donde armamos paquetes o bundles de Internet con seguridad (Trafico Seguro) de este tipo.

¿Qué recomendaría en líneas generales al momento de realizar una implementación de este tipo?
Elías: Básicamente, confiar en el soporte de la fábrica; y, dos, de todas maneras, realizar un benchmark siempre es necesario pero no imprescindible. Además es necesario tomar todas las medidas desde el punto de vista de ingeniería para asegurar una buena experiencia para el usuario final, que es lo más importante.

Esto técnicamente funciona con un solo chasis, hubiera podido colocar solo uno pero ¿Qué pasa si falla? Ya no afecto a solo un cliente sino a muchos que tienen el servicio, entonces el tema de redundancia puede hacer que el financiero diga ‘estas gastando mucho’, pero esto no es un gasto es una inversión, porque estamos viendo el beneficio del usuario final.

¿Desean agregar algo?
Guembes: Una ventaja de esta plataforma es la flexibilidad. Normalmente, lograr este tipo de servicio es complicado porque no todos los clientes tienen la misma personalidad en seguridad. Pero esta plataforma es muy flexible, de hecho, es virtualizable de fábrica. Se puede crear un firewall virtual con cada cliente y personalizarlo a su gusto, sin afectar al siguiente cliente. En el modo tradicional eso implicaría un equipo por cliente.

El chasis tiene 14 slots y cada tarjeta puede soportar a 500, entonces tienes 14 x 500 clientes en un chasis. Es decir, siete mil clientes potenciales.

Elías: Puedes incluso encender o apagar ciertos features de acuerdo al cliente. Lo que en realidad tienes es un arreglo de UTM virtuales. El UTM tiene unas ocho funcionalidades básicas que se pueden habilitar todas o en parte, y no afecta el procesamiento de otros clientes porque son dominios virtuales separados.

Erni: Eso es importante porque en realidad usualmente uno de los miedos de migrar a la nube es que si un cliente procesa mucho el otro se va a ver afectado, pero no es así. Es totalmente multitenant, con lo cual, en la práctica, es igual a tener la caja.
Jose Antonio Trujillo, CIO Perú

Leer más comentarios | Realizar un comentario