
[15/03/2023] Nigel Williams-Lucas, director de Tecnología de la Información del minorista de calzado DTLR, con sede en Maryland, se enfrentó a un reto que la mayoría de los ejecutivos de TI reconocerán: la empresa estaba impulsando con fuerza la transformación digital y la infraestructura de TI luchaba por seguir el ritmo.
Los directores de tienda buscaban mejores análisis de datos e inteligencia empresarial de sistemas backend como inventario y ventas. La empresa quería que los sistemas de TI permitieran a los clientes hacer pedidos en línea y recogerlos en una tienda física en un plazo de dos horas.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
La red tenía que soportar de forma segura cámaras de seguridad IP en tiempo real y con un gran ancho de banda. Y Williams-Lucas quería implantar la tecnología de balizamiento, en la que la red recopila información sobre la actividad de los clientes en la tienda a través de Bluetooth o Wi-Fi, y puede enviar ofertas de descuento al teléfono del cliente en función de dónde se encuentre en la tienda y de lo que parezca interesarle.
Hay otro aspecto específico de DTLR que planteó problemas a los informáticos. La empresa, especializada en zapatillas, ropa y accesorios, crea una programación original desde su propia emisora de radio en Maryland. La emisora también se desplaza. Por ejemplo, DTLR Radio, que está disponible en una aplicación móvil, emitía en directo desde los Grammy. Williams-Lucas necesitaba asegurarse de que podía enviar ese contenido de forma segura a las 250 tiendas de DTLR.
Para abordar el aspecto de seguridad de su larga lista de retos, Williams-Lucas eligió una oferta de red como servicio (NaaS) de Cloudflare que le pone en el camino hacia la confianza cero sin tener que realizar un gasto de capital ni cambiar ningún hardware. Dice que NaaS es un término algo nebuloso que puede significar cosas diferentes para organizaciones diferentes, pero para DTLR, "NaaS es nuestro enfoque gradual hacia Zero Trust".
Cambios desde IPSec VPN y hacia la nube
El estilo informático de DTLR consiste en avanzar con cautela y dar pequeños pasos. Williams-Lucas afirma: "Tengo que ser muy estricto con el despliegue. Podría cerrar el negocio, y nadie quiere eso".
"No tenemos grandes cantidades de recursos ni un gran equipo de ingenieros. Quiero que la empresa crezca, pero tengo que hacerlo de forma controlada e inteligente. Necesitamos que nuestro equipo tenga una visión única para poder ejecutar cambios que surtan efecto en todas nuestras tiendas, sin tener que ir a cada una de ellas. Queremos poder auditar las cosas para asegurarnos de que son correctas. Y para la ciberseguridad, necesito poder ver el tráfico que entra y sale".
DTLR (antes Downtown Locker Room) es conocida por sus zapatillas de tipo retro, como las Air Jordan. Por desgracia, la infraestructura informática de la empresa también es bastante retro, con hardware heredado que requiere mucho mantenimiento y carece de las funciones y capacidades que la empresa necesita. "Todavía tenemos vestigios de la antigua infraestructura, en la que todo estaba en las instalaciones", comenta Williams-Lucas.
DTLR está cambiando a la nube, pero adoptando un enfoque metódico, migrando algunos recursos de sus servidores de centros de datos basados en VMware a un proveedor de colocación y trasladando otros recursos directamente a Microsoft Azure.
Hasta hace poco, la empresa se basaba exclusivamente en software comercial y utilizaba Aptos para los principales sistemas de venta al por menor, como el almacenamiento y el punto de venta. Pero DTLR ha contratado recientemente a sus propios desarrolladores y quiere pasar a un entorno de desarrollo basado en la nube. Por el momento, sin embargo, el entorno de desarrollo Kubernetes de la empresa se ejecuta on-prem.
Williams-Lucas también estaba lidiando con un marco de seguridad de los años 90, que incluye VPN IPSec que conecta las tiendas a una ubicación centralizada. Esto creaba un único punto de falla y no proporcionaba a su equipo la visibilidad y el control necesarios sobre el tráfico de la red. "Había una falta total de control desde el punto de vista de TI", afirma.
Una relación en evolución con Cloudflare
La relación de DTLR con Cloudflare se remonta al 2017, cuando Williams-Lucas se suscribió al servicio de DNS seguro de la empresa. Al canalizar todas las solicitudes de DNS a través de Cloudflare, DTLR pudo obtener cierta garantía de que los empleados no se estaban conectando a sitios maliciosos conocidos, obtuvo protección contra ataques DDoS, y también obtuvo cierta visibilidad de lo que los empleados estaban haciendo en la red.
Williams-Lucas considera que su relación con Cloudflare es simbiótica, ya que las necesidades y requisitos de DTLR encajan con la cartera de productos en rápida expansión de Cloudflare. Dijo a Cloudflare que DTLR quería mejorar la seguridad en el extremo de la red, pero que no disponía de recursos de inversión para sustituir sus dispositivos de extremo.
La respuesta fue implementar Cloudflare Tunnel, un servicio de red que proporciona un enlace seguro y cifrado a Cloudflare sin una dirección IP enrutable públicamente. El túnel de Cloudflare es una forma de implementar aplicaciones en un modelo de confianza cero garantizando que todas las solicitudes de recursos pasen por los filtros de seguridad de Cloudflare. Williams-Lucas no tuvo que cambiar sus firewalls; simplemente instaló un agente de software que crea una conexión sólo saliente con el plano de control de Cloudflare.
Una de las primeras ventajas fue la posibilidad de obtener visibilidad de los flujos de tráfico de los terminales. Señala que antes del servicio de Cloudflare, los puntos finales de la empresa de 35 años nunca se habían auditado correctamente. Descubrió puntos finales heredados que ya no se utilizaban y pudo cerrarlos.
El siguiente paso fue implantar controles de acceso de confianza cero. El funcionamiento consiste en que el servicio de Cloudflare se conecta al Directorio Activo de DTLR que se ejecuta en la nube de Azure y aplica políticas de Confianza Cero basadas en reglas de identidad del Directorio Activo.
Por ejemplo, las tiendas minoristas y las sedes corporativas deben tratarse de forma diferente. Es posible aplicar políticas estrictas de control de acceso en las tiendas, pero "no queremos paralizar a la gente en la oficina corporativa", anota Williams-Lucas.
En medio de la implementación de Cloudflare NaaS, su equipo de desarrolladores finalizó una aplicación interna revolucionaria que ha demostrado ser "crucial para nuestro negocio".
La aplicación recopila y correlaciona métricas internas y presenta esos datos a los directores de tienda. Antes, los jefes de tienda tenían que entrar en varios portales para acceder a los datos de clientes, ventas, inventario, etc. Ahora, los jefes de tienda tienen visibilidad de esos datos. Ahora, los responsables de tienda tienen visibilidad de esos datos en una única vista.
"El responsable de tienda ve las cifras que le interesan, y ahora puede verlas en directo", afirma Williams Lucas. La nueva aplicación fue decisiva para que la empresa pusiera en marcha su servicio de recogida en dos horas.
La ventaja de contar con Cloudflare NaaS es que todos los empleados, independientemente del tipo de dispositivo que utilicen o de dónde se encuentren, acceden a la nueva aplicación a través del túnel seguro. "Todos se adhieren a nuestras reglas de autenticación, y todo sucede en milisegundos; solo tienes que hacer clic y ya está".
NaaS mejora la postura de costos, el rendimiento de la red y mucho más
El servicio NaaS de Cloudflare ha proporcionado estas ventajas adicionales a DTLR:
- Evitación de costos: "En el mundo actual no puede pasar dos días sin leer sobre un hackeo o un ataque DDoS", afirma Williams-Lucas, por lo que evitar una costosa brecha es importante para la empresa.
- Rendimiento de la red: La visibilidad de la red proporcionada por Cloudflare ayuda a su equipo a evitar interrupciones de forma proactiva. Además, ahora cada tienda se conecta directamente al punto de presencia de Cloudflare más cercano, y el tráfico se ejecuta en la red troncal de alta velocidad de Cloudflare, por lo que el rendimiento aumenta.
- Eficiencia del personal: Antes de Cloudflare NaaS, su equipo tenía que ir a varios portales de varios proveedores para llevar a cabo la supervisión y la solución de problemas. Esto se ha consolidado en un par de paneles, lo que permite a su equipo estar más centrado y ser más productivo.
- Mejores resultados en las auditorías de seguridad: La empresa se somete a evaluaciones periódicas de seguridad por parte de empresas independientes de ciberseguros. "Han estado observando lo que implementamos en las distintas fases, y hemos obtenido puntuaciones cada vez mejores", afirma Williams-Lucas.
- Mejora de la postura de seguridad: "Ahora entendemos lo que fluye a través de nuestras redes, por lo que deberíamos ser capaces de construir una postura de seguridad mejor y más fuerte para el mañana", añade.
Planes para utilizar el servicio Magic WAN Edge
El enfoque por fases permitió a DTLR obtener las ventajas de Zero Trust a un ritmo que se ajustaba al estilo de la empresa y también a su presupuesto. Sostiene que Cloudflare cobra por ubicación en lugar de por uso, lo que le proporciona una estructura de costos estable y predecible.
"Lo bueno de la forma en que lo enfocamos es que podía presupuestarlo. En lugar de esperar tres años para obtener los beneficios, pude ir activando diferentes partes y piezas. En la mayoría de los casos, se pueden abordar piezas a la vez que se complementan entre sí. Lo único que hace es fortalecerse", afirma.
"Ahora tenemos sistemas que permiten a la empresa en general ser digitalmente relevante en el 2023 y en el futuro. Cosas como el balizamiento no podíamos hacerlas con la antigua infraestructura. Ahora podemos hacerlo sin sacrificar la seguridad ni el rendimiento".
Y el viaje no ha terminado, señala Williams-Lucas. El siguiente paso es sustituir sus anticuados dispositivos de borde por el servicio Magic WAN de Cloudflare, una alternativa basada en SaaS al hardware de borde de red.
Basado en el artículo de Neal Weinberg (Network World) y editado por CIO Perú