¿Por qué Infoblox para DDI?

..En muchas organizaciones, los servicios básicos que permiten una conectividad y un acceso fiables a internet se basan en productos gratuitos o aparentemente gratuitos. Aunque el precio puede ser tentador, estos productos suelen llevar consigo el costo oculto de las limitaciones funcionales y la ineficacia administrativa. Al planificar el crecimiento y el cambio, inevitables en las redes actuales, es esencial considerar las limitaciones naturales de lo «gratuito», así como la forma en que los servicios básicos pueden elevar la red al siguiente nivel. En este artículo veremos, ¿Por qué Infoblox para DDI?

 

DNS, DHCP e IPAM: Una breve historia 

En sus inicios, DNS era un método práctico para acceder a sitios web y aplicaciones, y DHCP era prácticamente desconocido. Normalmente eran gestionados por quien los entendía y se apoyaban en sistemas «libres» como BIND/DHCPD y Microsoft DNS/DHCP. A veces las hojas de cálculo eran la base para mantener los servicios de protocolo esenciales (es decir, DNS y DHCP). Estos sistemas a menudo evolucionaban con una colección de herramientas tipo «hágalo usted mismo», mantenidas por un pequeño equipo de expertos. Esto dificultaba las decisiones operativas y de planificación cuando esos expertos pasaban a desempeñar otras funciones o se iban a otras organizaciones.

La gestión de direcciones IP (IPAM, por sus siglas en inglés) fue una mejora posterior, en algún momento desconectada de las personas que gestionaban el DNS y el DHCP. Los equipos que asignaban recursos y definían las redes no eran las personas que gestionaban y definían los nombres y direcciones.

El impacto en el negocio o la fiabilidad de estos sistemas se ignoraban a menudo dentro de la estrategia general de TI y rara vez había reglas coherentes sobre qué grupo (Operaciones, Sistemas o Redes) era responsable de su mantenimiento. Solo recientemente se ha adoptado el concepto de DNS, DHCP e IPAM («DDI») combinados.

 

DDI en las redes modernas 

Con el increíble crecimiento y dependencia de las redes y la movilidad en los últimos 20 años, así como la explosión del uso de dispositivos móviles, se espera que el DNS sea un servicio de «tono de llamada» que simplemente funcione, todo el tiempo.

La necesidad crítica de acceder a la autenticación, a las bases de datos y a otros recursos de back-end, IPv6, IoT y casi todo lo demás sitúa ahora a DDI en el centro de la red. Esto añade requisitos adicionales para una extrema fiabilidad, integración y responsabilidad. Éstos nunca se contemplaron plenamente como parte del modelo de diseño original.

Aunque las soluciones gratuitas o de código abierto pueden proporcionar los servicios necesarios, pueden requerir mucho mantenimiento y carecer de la solidez necesaria para ser consideradas «de nivel empresarial» en las redes modernas de hoy en día.

Las empresas también están pasando a entornos más automatizados, especialmente en la nube y en los espacios virtuales. Sin embargo, estas soluciones existentes requieren aún más personalización si quieren adaptarse al nivel de automatización esperado. A medida que IPv6 se vaya imponiendo, esta dificultad aumentará aún más, ya que los días en que se leía una dirección IP por teléfono han quedado atrás. Para gestionar adecuadamente estos entornos cada vez más complejos, es imprescindible contar con una solución DDI que sea soportable, escalable y de gestión centralizada.

En pocas palabras, si los servicios DDI no funcionan o los cambios tardan demasiado en implementarse, las funciones empresariales se ven afectadas negativamente y, en última instancia, esto conlleva una pérdida de productividad y ganancias.

 

Prioridades de la dirección

Un reciente informe de KPMG enumeró estas cinco prioridades estratégicas ejecutivas para los CIO:

• Incrementar la confianza del público
• Implementar tecnología disruptiva
• Mayor velocidad de salida al mercado
• Digitalización del negocio
• Volverse más data-driven

En el ámbito de DDI, éstas pueden desarrollarse en iniciativas como «Asegurar el negocio», «Aumentar la velocidad del negocio» o «Proteger la reputación de la compañía». Y cuando se rediseña la infraestructura DDI para abordar iniciativas como éstas, no hace falta mucho esfuerzo para conectar los puntos y ver las limitaciones de las soluciones tradicionales frente a una solución integrada moderna.

La empresa solo puede estar segura si usted protege y mitiga adecuadamente todos los posibles vectores de ataque contra sus datos, y el DNS es ahora un canal principal para el 78% de los ataques a la capa de aplicación (DDoS) y el 91% de la distribución de malware, comando y control y exfiltración de datos.

La reputación de la empresa y demostrar progresión hacia un negocio más centrado en los datos solo se conseguirá si el núcleo de la red utiliza un sistema que aborde el cumplimiento y la protección de la infraestructura, la mitigación del malware y un modelo centralizado de contención de amenazas y operaciones.

El camino para hacer realidad la promesa de un centro de datos de siguiente generación puede ser difícil. La infraestructura DNS tradicional y la gestión de direcciones IP en una hoja de cálculo no pueden proporcionar eficiencia, visibilidad o automatización para el aprovisionamiento de la carga de trabajo, dejando al departamento de TI con procesos manuales que requieren mucho tiempo para el aprovisionamiento de los servicios básicos de red. La verdadera transformación del centro de datos va más allá de la automatización del almacenamiento y la computación; las organizaciones también necesitan la automatización de la red para conseguir un centro de datos ágil, gestionado de forma centralizada y altamente escalable.

Usted necesita saber dónde están todos sus dispositivos, qué están haciendo, con quién están hablando, cómo cambian a lo largo del tiempo, y dónde enfocar sus esfuerzos con los limitados recursos que tiene a mano.

 

El sistema ideal

DDI en el entorno actual debe cumplir una serie de criterios importantes:

• Integración con sistemas automatizados
• Redundancia y/o tiempos de recuperación rápidos
• Tiempo de funcionamiento fiable
• Facilidad de cambio
• Visibilidad del punto final y de la topología en tiempo real

Por tanto, el sistema ideal debe gestionarse de forma centralizada, requerir un mínimo de recursos para su mantenimiento, y ser fácil de desplegar y escalar. Además, debe ser estable, seguro y soportar una variedad de necesidades diferentes. Estas podrían ser de administradores de alto nivel, soporte de sitios/escritorios, tareas de automatización, planificación de redes y análisis forense de seguridad.

Para la planificación y el análisis forense, es fundamental contar con una «única fuente de verdad». Es obligatorio un sistema que ofrezca un lugar para buscar cualquier información sobre dispositivos o redes, en lugar de buscar en múltiples sistemas, posiblemente conflictivos o desincronizados.

Esto se extiende a los patrones de crecimiento histórico, la visibilidad del uso y las tendencias de DNS, el historial de arrendamiento de DHCP y el historial de dispositivos. Todo esto es clave para poder responder rápidamente a los incidentes de seguridad, solucionar los problemas de la red y planificar la capacidad en general

La solución ideal también sería capaz de interactuar con otros sistemas como parte de un ecosistema más amplio, y de comunicarse dinámicamente entre sí para intercambiar información. La automatización es ahora una necesidad.

Ejemplos de esto incluyen:

Consultas sobre un registro DNS que ha sido marcado como potencialmente malicioso. El DNS puede «atrapar» esto a través de las Zonas de Políticas de Respuesta (RPZ). Esta coincidencia puede ser comunicada a un escáner de dispositivos, para escanear automáticamente el sistema en cuestión en busca de posibles problemas y alertar si es necesario, y poner en cuarentena dicho sistema.

• Los registros de arrendamiento DHCP pueden ser enviados a un sistema de registro de terceros para rastrear las tendencias de uso y la correlación de eventos
• Un sistema automatizado de asignación y reclamación de IP para las máquinas virtuales recién creadas puede acortar los tiempos de aprovisionamiento de horas o días a minutos.
• Un sistema de seguridad de puntos finales que detecte un terminal malicioso podría enviar automáticamente esta información hacia una política de seguridad para evitar que los clientes se pongan en contacto con dicho terminal.

Estos son, por supuesto, solo algunos de los muchos ejemplos en los que la interacción automatizada entre sistemas puede facilitar los cambios, la visibilidad de los puntos finales y la topología en tiempo real, y la integración con sistemas automatizados.

 

Las ventajas de Infoblox

Los sistemas heredados no escalan

Aunque BIND se convirtió en un estándar de la industria con respecto al DNS e Internet, requiere altos niveles de conocimiento y habilidad para implementar y operar adecuadamente. Hay una multitud de de pasos manuales involucrados en realizar tareas sencillas correctamente (por ejemplo, el número de serie de una zona debe incrementarse cuando se añaden/modifican/eliminan registros). Cuando se implementan configuraciones y características más complicadas, como DNSSEC, hay trampas que pueden llevar a un rendimiento impredecible y posiblemente a una interrupción completa del DNS.

Además, aunque BIND soporta el DNS, no proporciona ningún informe integrado que permita la monitorización y gestión del rendimiento, y no proporciona ninguna integración con la gestión de direcciones IP, lo que lleva a discrepancias entre los registros DNS nativos y lo que puede aparecer en IPAM. BIND nunca fue desarrollado con la automatización en mente, por lo que no contiene una API robusta para la automatización simple de los cambios de registros de DNS, algo que un sistema DDI enfocado proporciona.

 

Integración de IPAM con DNS

La integración de IPAM con DNS es crucial para mantener ambos sistemas tan precisos y sincronizados. Cuando se despliega un nuevo dispositivo en una red, lo primero que se hace es asignar una dirección IP, a lo que suele seguir inmediatamente una solicitud para añadir el host al DNS. Al integrar DNS e IPAM, este proceso se convierte en un solo paso: el registro DNS se crea al mismo tiempo que la asignación de IP. Esto no solo mejora la eficiencia, sino que reduce la probabilidad de errores porque los datos no se transcriben ni se retransmiten. A medida que continúa la proliferación de IPv6, aumenta la necesidad de integrar el IPAM con el DNS.

 

Para mejorar aún más la precisión del DNS y del IPAM, se puede añadir un componente de descubrimiento. Tener un componente de descubrimiento integrado en IPAM lo transforma de un sistema que depende casi por completo de la acción humana a un «IPAM autorizado» que da a los administradores de red y a los operadores de seguridad una visión en tiempo real de lo que hay en la red en cualquier momento. Cuando se combina con una solución de informes, se puede seguir el historial de una dirección IP a lo largo del tiempo, lo que puede ser crucial para analizar adecuadamente los eventos de seguridad.

 

Al usar Infoblox DDI, usted dispone de un moderno sistema de servicio DNS que resuelve muchos de estos problemas de las siguientes maneras:

• Consolida el DNS, el DHCP, la gestión de direcciones IP y otros servicios básicos de red en una única plataforma, gestionada desde una consola común.
• Orquesta de forma centralizada las funciones de DDI en diversas infraestructuras con capacidades integradas para entornos de nube híbrida y pública, y de nube virtual y privada.
• Ofrece acceso a funciones integradas de informes y análisis para la planificación de la capacidad, la gestión de activos, el control del cumplimiento y la auditoría.
• Aumenta la eficiencia y la automatización de TI mediante la integración perfecta con otros sistemas de TI a través de las API RESTful, en conjunto con Infoblox Grid.

 

Infoblox para DNS vs Microsoft DNS

Cuando se trata de elegir una solución de DNS para usar con Microsoft Active Directory, muchos administradores simplemente eligen «lo que viene en la caja con Windows Server». Sin embargo, hay razones para utilizar un DNS que no sea de Microsoft.

• Seguridad: Las organizaciones exigen la mejor solución para sus DNS externos expuestos a los ataques en Internet. Existen soluciones DNS de terceros que están diseñadas y construidas desde cero pensando en la seguridad. La estructura de DNS interna de una organización está igualmente abierta a amenazas maliciosas, malware, phishing y exfiltración de datos.
• Visibilidad y visión única: La mayoría de las organizaciones tienen una mezcla heterogénea de tecnologías. Una visibilidad precisa y única es esencial para un cumplimiento y control eficientes.
• Eficiencia operativa: Optimizar el OpEx utilizando la automatización y el flujo de trabajo frente a la gestión manual de hojas de cálculo.
  Servicios inteligentes: El control de tráfico integrado basado en DNS, el equilibrio de la carga de la red y el monitoreo de los servicios añaden gran valor a una organización. Las lagunas en Microsoft IPAM crean inconsistencias entre el estado actual de la topología de la red y la información contenida en Microsoft Active Directory (AD). Esto podría llevar a cortes absolutos de servicios básicos como la autenticación de usuarios y la disponibilidad de archivos.
• IPAM de Infoblox también puede integrarse perfectamente con los sitios y servicios de Microsoft AD, y cubre este vacío tanto para los administradores de AD como de red. Además, Infoblox abarca los bosques de Microsoft y lleva todo el entorno de Microsoft a una interfaz gráfica de usuario gestionada de forma centralizada, lo que ofrece visibilidad, eficiencia operativa y tiempo de actividad del servicio sin precedentes.

 

Conclusión 

Los sistemas «gratuitos», como BIND/DHCPD, Microsoft DNS/DHCP y las hojas de cálculo no satisfacen adecuadamente las necesidades de una red moderna. Tómese el tiempo necesario para examinar los puntos débiles de su núcleo y desarrolle un plan que le haga migrar hacia un sistema IPAM integrado

Identifique sus flujos de trabajo y procesos IPAM existentes, y busque dónde puede realizar mejoras en:

• Integración con sistemas automatizados
  Redundancia y/o tiempos de recuperación rápidos
  Tiempo de funcionamiento fiable
  Facilidad de cambio
  Visibilidad den tiempo real del punto final y de la topología

 

Infoblox también tiene un historial probado, siendo el líder del mercado con más del 50% de participación de mercado, y más de 8.000 clientes