Arquitectura de seguridad avanzada para redes globales empresariales con AWS Cloud WAN, SD-WAN y AWS Network Firewall

Por Jorge Castillo, arquitecto de soluciones en AWS para el sector público.

Introducción

En el panorama actual de la infraestructura de TI, las organizaciones se enfrentan al desafío de conectar de manera eficiente y asegurar sus entornos on-premises, en múltiples nubes y ubicaciones remotas.

Por ejemplo, una empresa multinacional de manufactura tiene fábricas en varios países, oficinas corporativas en múltiples continentes, y utiliza una combinación de aplicaciones on-premises y en la nube de AWS. La empresa está experimentando los siguientes desafíos:

1. Conectividad inconsistente: Las conexiones entre las fábricas, oficinas y la nube de AWS son inconsistentes en términos de rendimiento y confiabilidad.
2. Seguridad fragmentada: Cada ubicación tiene sus propias políticas de seguridad, lo que dificulta la aplicación consistente de controles de seguridad.
3. Gestión compleja: La administración de múltiples redes WAN tradicionales y conexiones a la nube es complicada y consume mucho tiempo.
4. Falta de agilidad: Abrir nuevas ubicaciones o conectar nuevas adquisiciones a la red corporativa es un proceso lento y costoso.
5. Visibilidad limitada: La empresa carece de una visión unificada de su red global.

AWS Cloud WAN, en conjunto con soluciones Software Defined-WAN (SD-WAN), ofrece una arquitectura robusta para abordar estos retos. Este artículo profundiza en los aspectos técnicos de estas tecnologías y cómo se integran para crear redes globales altamente eficientes.

AWS Cloud WAN: Arquitectura y componentes clave

1. Red Global (Global Network)
   • Actúa como contenedor de alto nivel para objetos de red.
   • Incluye AWS Transit Gateway y redes centrales de Cloud WAN.
2. Se gestiona a través de la consola AWS Network Manager.
   • Red Central (Core Network)
   • Parte de la red global gestionada por AWS.
   • Incluye puntos de conexión regionales y adjuntos como VPNs y VPCs.
3. Core Network Edge (CNE)
   • Punto de conexión regional gestionado por AWS.
   • Utiliza tecnología similar a AWS Transit Gateway.
   • Soporta conceptos como adjuntos, enrutamiento y diversos protocolos.
4. Política de Red Central (Core Network Policy – CNP)
   • Documento JSON que define la configuración global de la red central.
   • Especifica cómo se conectan VPCs, VPNs y Transit Gateways existentes.
   • Define políticas de enrutamiento y segmentación de tráfico.
5. Adjuntos (Attachments)
   • Conexiones o recursos añadidos a la red central.
   • Incluye Amazon VPC, VPNs y Transit Gateway Connect.
6. Segmentos de Red (Network Segments)
   • Dominios de enrutamiento dedicados.
   • Funcionan como tablas VRF (Virtual Routing and Forwarding) globalmente consistentes.
   • Permiten aislamiento y control granular del tráfico.
   • Integración con SD-WAN

La integración de AWS Cloud WAN con soluciones SD-WAN como VMware SD-WAN ofrece capacidades avanzadas:

1. Conectividad Unificada
   • Establece túneles IPsec entre dispositivos SD-WAN y AWS Transit Gateway.
   • Utiliza Border Gateway Protocol (BGP) para el intercambio dinámico de rutas.
2. Orquestación Centralizada
   • Gestión unificada de políticas de red para entornos on-premises y cloud.
   • Automatización de la configuración de dispositivos SD-WAN y componentes de AWS.
3. Optimización del Tráfico
   • Selección inteligente de rutas basada en latencia, jitter y pérdida de paquetes.
   • Aprovechamiento del backbone global de AWS para tráfico entre regiones.
4. Microsegmentación
   • Creación de segmentos de red aislados que abarcan entornos on-premises y cloud.
   • Aplicación consistente de políticas de seguridad en todos los segmentos.

Figura 1: Extendiendo la segmentación de red a través de VMware SD-WAN y AWS Cloud WAN

Arquitecturas de Implementación con AWS Network Firewall

1. Modelo Distribuido

• • Despliegue de AWS Network Firewall en cada VPC.
  • Proporciona inspección de tráfico localizada y granular.
  • Ideal para requisitos de cumplimiento específicos por VPC.

Figura 2: Modelo distribuido con AWS Network Firewall

2. Modelo Centralizado

• • Utiliza una VPC de inspección central con AWS Network Firewall.
  • Todo el tráfico Norte-Sur y Este-Oeste se enruta a través de esta VPC.
  • Ofrece un punto único de control y simplifica la gestión.

Figura 3: Modelo centralizado con AWS Network Firewall

3. Modelo Híbrido

• • Combina firewalls distribuidos y centralizados.
  • Permite inspección localizada para ciertas VPCs y centralizada para otras.
  • Ofrece flexibilidad para diferentes requisitos de seguridad y rendimiento.

Figura 4: Modelo combinado con AWS Network Firewall

Consideraciones Técnicas

1. Rendimiento y Escalabilidad
   • AWS Cloud WAN escala automáticamente para manejar incrementos de tráfico.
   • AWS Network Firewall ofrece un rendimiento superior a 45 Gbps por endpoint.
2. Alta Disponibilidad
   • Despliegue multi-AZ para resistencia regional.
   • SLA de 99.99% para AWS Network Firewall.
3. Latencia
   • Minimizada mediante el uso del backbone global de AWS.
   • Considerar la ubicación de los recursos para optimizar el rendimiento.
4. Costos
   • Modelo de costos basado en el uso para Cloud WAN y Network Firewall.
   • Considerar costos de transferencia de datos entre regiones.

Ejemplo de Implementación

Consideremos un escenario con tres entornos (producción, no producción y servicios compartidos) desplegados en dos regiones (Norte de Virginia y São Paulo):

Figura 5: Arquitectura de implementación de AWS Cloud WAN y AWS Network Firewall

1. Configuración de Cloud WAN:
   • Definir una política de red central (CNP) que especifique las regiones y segmentos.
   • Crear segmentos para prod, nonprod y shared services.
   • Configurar reglas de enrutamiento para aislar el tráfico de producción.
2. Integración de SD-WAN:
   • Establecer conexiones Transit Gateway Connect con dispositivos SD-WAN on-premises.
   • Configurar BGP para intercambio de rutas entre SD-WAN y Cloud WAN.
3. Implementación de seguridad:
   • Desplegar AWS Network Firewall en VPCs de egreso en cada región.
   • Configurar reglas de firewall para inspeccionar todo el tráfico saliente.
   • Utilizar AWS Firewall Manager para gestión centralizada de políticas.
4. Optimización y monitoreo:
   • Utilizar AWS Transit Gateway Network Manager para visibilidad global.
   • Implementar Amazon CloudWatch para monitoreo de métricas y logs.

Conclusión

La combinación de AWS Cloud WAN, soluciones SD-WAN y AWS Network Firewall proporciona una arquitectura de red global robusta, segura y altamente automatizada. Esta infraestructura permite a las organizaciones unificar la gestión de sus redes, optimizar el rendimiento y aplicar políticas de seguridad de manera consistente en entornos híbridos y multicloud.

La implementación exitosa requiere una planificación cuidadosa, considerando aspectos como la segmentación de la red, la estrategia de seguridad y los requisitos de rendimiento. Con el enfoque adecuado, las empresas pueden lograr una infraestructura de red ágil y preparada para el futuro que respalde sus objetivos de transformación digital.

Autor

Jorge Castillo es arquitecto de soluciones en AWS para el sector público y reside en Santiago de Chile. Se especializa en seguridad y cumplimiento normativo y trabaja con algunas agencias gubernamentales.