Simplicidad de las redes de nueva generación Por qué es el momento de un nuevo enfoque en la gestión de direcciones IP Índice Introducción: Qué es IPAM y por qué es importante..................................... 3 Qué ha cambiado en IPAM............................................................................ 5 Qué está en juego con el IPAM..................................................................... 8 8 cosas que debe realizar un IPAM moderno................................................ 11 Conclusión: Lo que está en juego es la red................................................... 14 Introducción: Qué es IPAM y por qué es importante Las empresas llevan años conectando dispositivos a las redes IP. Como resultado, cuando los mensajes de correo electrónico y la Web provocaron un aumento del uso de Internet en la década de los noventa, la gestión de direcciones IP no suponía un gran dolor de cabeza para los administradores de redes empresariales. Eran muy pocos los dispositivos que exigían el uso de direcciones IP (el «tono de llamada» de Internet) y su gestión era una tarea relativamente sencilla. Una de las cuestiones más importantes de esta situación radicaba en el amplio uso de direcciones IP estáticas para equipos e impresoras conectados en red. Las direcciones estáticas, asignadas de modo permanente o a largo plazo, facilitaban incluso a las grandes organizaciones la asignación, administración, generación de informes y seguimiento de todas sus direcciones IP activas con hojas de cálculo o con aplicaciones propias. Si bien la adaptación de dichas hojas de cálculo podría suponer la recopilación de información en varias fases de distintos departamentos, la tarea solo se realizaba cuando se instalaban o desplazaban servidores o impresoras, o bien cuando los empleados se desplazaban, se unían o abandonaban la empresa. La gestión de direcciones IP, o IPAM (por sus siglas en inglés), podría suponer un retraso en el aprovisionamiento de nuevos equipos y dilatar el tiempo de solución de problemas, aunque los administradores de redes solían tener estas cuestiones bajo control. Los retrasos eran algo común, pero ampliamente aceptado. La gestión de direcciones IP, o IPAM (por sus siglas en inglés), podría suponer un retraso en el aprovisionamiento de nuevos equipos y dilatar el tiempo de solución de problemas. 3 el IPAM es algo que ya no se puede ocultar Actualmente, sin embargo, el IPAM plantea desafíos que ya no se pueden ocultar. IPAM, es decir, el seguimiento y la administración del grupo de direcciones IP en cambio continuo de una empresa, es una tarea mucho más compleja. A su vez, han aumentando considerablemente los riesgos asociados a prácticas de IPAM deficientes. IPAM siempre ha constituido una parte esencial de la administración de redes empresariales. Sin embargo, a medida que las redes empresariales crecen a un ritmo frenético y se hacen más complejas y dinámicas, los métodos IPAM del pasado se han convertido en insostenibles. Los administradores que utilizan dichos métodos no pueden abarcar todo el volumen de cambios de las direcciones IP de las redes corporativas modernas, donde cada aplicación y dispositivo conectado en red (desde el email de escritorio y la conectividad web hasta las impresoras y teléfonos inteligentes) supone una carga adicional a la administración. Esta creciente complejidad, así como sus costos vinculados, es inaceptable e insostenible. Se necesita un enfoque mejorado del IPAM que proporcione la simplicidad, visibilidad, seguridad y control carentes de los métodos del pasado. Las soluciones de IPAM avanzada son esenciales para contribuir a la reducción de conflictos de redes, realizar un seguimiento de los aspectos esenciales e incrementar la seguridad de las redes. Automatizan y simplifican procesos a fin de evitar retrasos que afecten a la productividad de TI y a la fiabilidad de la red. Pueden ofrecer un acceso prácticamente en tiempo real a una amplia gama de información esencial, incluido el estado de las direcciones IP (dinámico, estático, disponible, reservado, etc.), nombres de host, direcciones MAC y datos de concesión DHCP, como la fecha y hora de la concesión, el tiempo restante de concesión, la hora de la última renovación y mucho más. En otras palabras, el IPAM avanzado es esencial para comprender y administrar completamente lo que sucede en la red. Los métodos del pasado no pueden abarcar todo el volumen de cambios de las direcciones IP de las modernas redes empresariales. 4 Qué ha cambiado en IPAM Existen tres motivos principales por los que se ha dificultado notablemente la gestión de direcciones IP en las redes empresariales: 1. La suma de nuevas clases de dispositivos ha aumentado considerablemente el número de direcciones IP que hay que administrar; 2. La virtualización y la conectividad móvil convierten la administración de IP en un ejercicio dinámico en tiempo real; y 3. El control de los costos de TI es más importante que nunca. Para una empresa de 2000 empleados o más, esto supone el movimiento de muchas direcciones IP, demasiadas para realizar un seguimiento en hojas de cálculo. Si añadimos telefonía de voz sobre IP (VoIP) y la acumulación de servidores virtuales Microsoft Hyper V y VMware y otras máquinas virtuales, de repente la empresa tiene que gestionar una colección de direcciones IP de mayor magnitud, aunque no hayan agregado empleados. Nuevos dispositivos Una variedad de factores ha provocado una expansión del número total de direcciones IP que los administradores de redes deben gestionar actualmente. La afluencia de nuevos tipos de dispositivos en la empresa, desde teléfonos móviles y tabletas hasta ordenadores portátiles con Wi-Fi, se traduce en que, en las redes actuales, la media de direcciones IP para un administrador ya no es de una o dos, sino de cuatro y, en algunos casos, muchas más. Solo al encender un teléfono móvil se pueden enviar docenas de solicitudes de DNS a medida que las distintas aplicaciones del teléfono se conectan en línea en búsqueda de información. 5 IPAM es más dinámico Tan importante como el aumento del número total de dispositivos en la red, es el hecho de que sus conexiones ya no son estáticas. En lugar de que el equipo de TI asigne una dirección IP y funcione así hasta que suceda algo, los dispositivos móviles actuales no dejan de entrar, salir y volver a entrar a la red. De igual manera, no es inusual que una gran organización active hasta 20 servidores virtuales a la vez para proyectos de ensayo o de desarrollo. Hay que asignar una dirección IP a cada conexión nueva, hay que realizar un seguimiento de todos y cada uno de los cambios y, cuando el dispositivo móvil abandona la red o la máquina virtual se desconecta, hay que devolver dichas direcciones IP al grupo de direcciones disponibles. Sin incluso mencionar que los empleados de las empresas no pueden esperar días (ni horas) para que el departamento de asistencia de TI les asigne nuevas direcciones IP o realice el seguimiento de los cambios de las asignaciones de IP. Por si esto no fuera suficiente, las empresas deben planificar la próxima implementación de IPv6 (algo ya indispensable en las empresas de Asia y una necesidad cada vez mayor en los Estados Unidos en los próximos dos años). Mientras se lleve a cabo la transición de IPv4 a IPv6, las empresas deberán gestionar tanto las direcciones IPv4 como las IPv6 de sus puntos finales de red, un proceso complicado por el hecho de que las direcciones IPv6 de 64 caracteres son muy difíciles de memorizar para los seres humanos (ver la siguiente imagen). 6 Presiones de costos sin precedentes El tercer cambio clave que complica la situación de la IPAM no es tan tecnológico como económico. Si bien la dependencia de Internet aumenta los costos potenciales de las interrupciones de la red, los departamentos de TI de las empresas se enfrentan a nuevas presiones para gestionar sus costos. Los departamentos de TI están ahí para ofrecer servicios más rápidos, más flexibles y más innovadores a la organización, aunque los equipos de TI trabajen con un número de empleados estable o descendiente. Los procesos del pasado de IPAM son proclives a exacerbar estos desafíos. Las empresas suelen ser reticentes a delegar las tareas de gestión de IP al personal con menos experiencia y suelen obligar a los administradores de TI con más experiencia a participar en la tarea. Cuando IPAM exige la atención del personal con más experiencia, se crean cuellos de botella que pueden retrasar otros proyectos de TI. La creciente complejidad e importancia de IPAM exige claramente nuevas y mejores soluciones de gestión. Los administradores de red necesitan tecnologías IPAM modernas que automaticen y simplifiquen los procesos, reduzcan los costosos errores y hagan las TI más eficientes para que puedan dedicar escasos recursos a la innovación, más allá de mantener las operaciones básicas. Los departamentos de TI están ahí para ofrecer servicios más rápidos, más flexibles y más innovadores a la organización, aunque los equipos de TI trabajen con un número de empleados estable o descendiente. 7 Qué está en juego con el IPAM A medida que IPAM se hace más difícil y complejo, las consecuencias de errar son mayores que nunca. Aunque no se den cuenta, los enfoques de IPAM obsoletos pueden costar mucho dinero a las empresas, desperdiciar tiempo muy útil para el equipo de TI y las unidades de negocio y aumentar la posibilidad de que se produzcan errores de red que cada vez afecten más a la capacidad de la empresa de trabajar. Más errores No debería sorprender que el hecho de administrar direcciones IP por medio de una hoja de cálculo aumente considerablemente las posibilidades de conflictos IP y demás errores. Puede parecer que un número mal transcrito en una dirección IP no es nada del otro mundo, pero cuando dicho número se duplica en algún otro lugar de la red, muchos dispositivos pueden acabar peleando por la misma dirección IP y, en consecuencia, no podrán conectarse. Localizar, analizar y reparar dichos errores en un sistema manual puede ser tremendamente difícil, absorbiendo pocos recursos de TI mientras un administrador tiene que preguntar a otros: «De acuerdo, en esta hoja de cálculo, para este grupo, tengo un problema con esta dirección. ¿Qué tiene usted?» Puede que incluso sea peor, ya que los errores en las direcciones IP crean cuellos de botella, lo que provoca a su vez retrasos en el aprovisionamiento de dispositivos y reducciones de parches y actualizaciones de red hasta que se puedan resolver. Localizar, analizar y reparar dichos errores en un sistema manual puede ser tremendamente difícil y absorber los pocos recursos de TI. 8 Falta de visibilidad Mayores costos Una red empresarial moderna es una máquina tremendamente compleja con un enorme número de piezas móviles. Los administradores de red encargados de administrar y de solucionar los posibles problemas deben saber cómo se engranan dichas piezas entre sí (en forma de direcciones IP), dónde se encuentran y qué hacen. Estos errores y retrasos se traducen directamente en unos mayores costos de administración de TI. En un informe de 2012 de Tolly Group titulado «Infoblox IPAM Automation for VMware vCloud Director» (Automatización de la IPAM de Infoblox para VMware vCloud Director», se estima que la automatización de la IPAM puede acelerar la implementación de una máquina virtual en un 50 % (los mayores beneficios proceden del descubrimiento más rápido de información de VM) y ahorrar hasta un 70 % en costos de administración. Este ahorro podría suponer más de 600 000 dólares estadounidenses anuales en un entorno de 5000 máquinas virtuales. Los procesos manuales de IPAM rara vez ofrecen este nivel de visibilidad en una red. En su lugar, los administradores de red se ven obligados a emplear información incompleta u obsoleta, combinada con un buen número de suposiciones, para solucionar incidencias. Obviamente, se trata de un enfoque con numerosos inconvenientes. Otros costos asociados a los procesos de IPAM del pasado incluyen el uso ineficiente del personal con más experiencia, la pérdida de productividad e incluso la inactividad de la red, como se señala más adelante. Ventajas de la automatización de IPAM 9 Seguridad y cumplimiento de normativas Cortos potenciales de red La supervisión en tiempo real de las direcciones IP que se están utilizando (incluido el seguimiento de cuándo se asignaron, a qué dispositivos se asignaron y quién los está utilizando) puede contribuir a que los administradores de red identifiquen posibles abusos de red o fallas de seguridad. En casos extremos, los problemas de IPAM pueden comprometer la conectividad general de la red. Incluso las pequeñas interrupciones pueden tener consecuencias muy importantes a medida que las empresas cada vez dependen más del acceso a Internet para su productividad diaria y las comunicaciones esenciales. Las soluciones de IPAM modernas también pueden contribuir a implementar y supervisar las políticas de seguridad. Por ejemplo, los administradores pueden utilizar IPAM para confirmar que el sistema operativo de un equipo y el software antivirus están actualizados antes de asignarles una dirección IP. Esto puede contribuir a mantener alejados de la red dispositivos vulnerables o infectados, una de las grandes preocupaciones de las empresas cuando se enfrentan a los riesgos cada vez mayores vinculados a los accesos a datos no autorizados. Asimismo, las cuestiones relativas al cumplimiento de normativas, como las asociadas con la información sanitaria, datos de tarjetas de pago, registros comerciales y estados financieros empresariales, están muy estrechamente vinculadas a la capacidad que tenga la empresa de supervisar y documentar el uso de una dirección IP. 10 8 cosas que debe realizar un IPAM moderno Las empresas manejan la IPAM de formas distintas, pero cada solución de IPAM debe simplificar el proceso y eliminar las prácticas manuales siempre que sea posible. En particular, esto hace referencia a ocho aspectos: 1. Automatización 2. Visualización en un único panel 3. Administración basada en roles 4. Análisis de la causa originaria 5. Seguridad mejorada 6. Actualizaciones sencillas 7. Fiabilidad y resistencia 8. Separación de los servidores generales 1. Automatización La clave del IPAM radica en dejar atrás la inevitable sobrecarga de TI y de los errores potenciales inherentes cuando se depende de hojas de cálculo. Estos aspectos no siempre son obvios, pero pueden tener un efecto significativo en los costos y productividad de TI. 2. Visualización en un único panel Las modernas tecnologías de IPAM deben permitir ver a los administradores de red toda la información relativa a la IP de la empresa en un único lugar, incluidos los distintos tipos de información de todos los grupos de la organización. Un administrador de red debería poder acceder al sistema de direcciones IP y ver una única fuente de información veraz sobre quién está utilizando exactamente una dirección en particular, a qué sistema está conectada, cuánto dura la concesión y demás información pertinente. Cuando los administradores de red necesitan agregar, desplazar o cambiar algo en la red, tienen que ser capaces de ver todas las partes en un único lugar y ver cómo encajan entre ellas. Este aspecto es mucho más esencial cuando se están solucionando problemas y reparando errores. Asimismo, ese único punto de visibilidad debe consolidar los datos IPAM de toda la organización. Una empresa de 50 000 empleados puede tener 20 administradores de red distintos que trabajan con 20 conjuntos distintos de direcciones IP. Esto es caldo de cultivo para que ocurra un desastre. Todas esas islas de información deben consolidarse en un lugar. 11 3. Administración basada en roles 5. Seguridad mejorada No todo el trabajo de TI se crea igual, y no toda tarea requiere la atención del personal de TI más cualificado (y más costoso). Los administradores con más experiencia deberían ser capaces de maximizar la eficiencia delegando las tareas rutinarias de IPAM al personal con menos experiencia (dando acceso a un administrador a IPAM, por ejemplo, mientras que otro actualiza otras cosas) sin temer que nadie pueda dañar la red sin darse cuenta. Eso se traduce en separar los accesos por zona de red, rango e incluso objetos individuales. Del mismo modo que el personal con menos experiencia que trabaja en IPAM no debería dañar involuntariamente la red, la propia solución IPAM debería elaborarse teniendo presente la seguridad en todo momento. Los dispositivos IPAM deberían diseñarse para evitar los accesos de raíz sin restricciones a la red que utilizan los servidores Windows y evitar los puertos USB innecesarios que podrían conceder accesos no autorizados a la red. También es esencial un sistema operativo de seguridad mejorada. 4. Análisis de la causa originaria El seguimiento en tiempo real y las perspectivas históricas facilitan el análisis de la causa originaria del problema que experimenta un cliente o una máquina virtual, aunque se hayan desplazado a un nuevo entorno. 12 6. Actualizaciones sencillas 8. Separación de los servidores generales Los administradores de red deberían ser capaces de actualizar su IPAM una vez, en un único dispositivo y, a continuación, poder propagar automáticamente los cambios por toda la red. Los servidores generales pueden ejecutar todos los servicios que administra el directorio activo. Sin embargo, el hecho de separar la gestión de direcciones IP, DNS y DHCP ofrece un mejor enfoque, más sólido. De este modo, los administradores de red deben poseer la habilidad de utilizar dicha capacidad en la medida en que deseen. Tienen que ser capaces de utilizar las herramientas de IPAM con los servidores generales y los entornos de virtualización que ya tienen o agregar dispositivos IPAM autónomos. Las versiones de software gratuito, mientras tanto, facilitan la puesta en marcha sin tener que comprometerse a gran escala. 7. Fiabilidad y resistencia Las empresas no pueden permitirse el lujo de que sus DNS se desconecten. Los dispositivos IPAM deberían estar interconectados, de modo que sea rápido y sencillo reemplazarlos sin interrupción de los datos DNS/DHCP. Las incidencias de IPAM nunca deberían hacer caer la red. 13 Conclusión: Lo que está en juego es la red Las empresas de hoy en día ya no pueden dar por hecho la administración IPAM. Los nuevos dispositivos, la creciente virtualización y la inminente conversión a IPv6 están convirtiendo las redes empresariales en sistemas más grandes, más complejos y más dinámicos. En este entorno, los costos y peligros de seguir confiando en las soluciones de hojas de cálculo manuales y en soluciones propias y dispersas para la gestión de direcciones IP son demasiado elevados, aunque dichos costos y amenazas no sean obvios a primera vista. Las empresas necesitan soluciones de IPAM avanzadas que automaticen, aceleren y aseguren el aprovisionamiento, seguimiento y solución de problemas de las direcciones IP. Pero sobre todo, las empresas necesitan soluciones de IPAM que restauren una medida de simplicidad y previsibilidad al proceso de gestión de IP. Está en juego la operación eficiente y fiable de la red, así como todas las funciones empresariales de misión crítica que soporta dicha red. Los costos y peligros de seguir confiando en las soluciones de hojas de cálculo manuales y en soluciones propias y dispersas para la gestión de direcciones IP son demasiado elevados. 14 OFICINA CENTRAL CORPORATIVA DE EE. UU.: +1.408.986.4000 +1.866.463.6256 (gratis desde EE. UU. y Canadá) [email protected] www.infoblox.com OFICINA CENTRAL DE EMEA: +32.3.259.04.30 [email protected] © 2015 Infoblox Inc. Todos los derechos reservados. infoblox-ebook-next-gen-network-simplicity-oct-2013 ESPAÑA/PORTUGAL +852.3793.3428 [email protected] MÉXICO/LATINOAMÉRICA [email protected] www.infoblox.es