Desafíos en el Cumplimiento de la Red
Las agencias gubernamentales enfrentan desafíos significativos para mantener el cumplimiento de la red debido a la complejidad cada vez mayor de las regulaciones. Desde el NIST 800-53, vulnerabilidades de ciberseguridad, hasta otras guías de requisitos de seguridad como las Guías de Implementación Técnica de Seguridad (STIG) de DISA para el Departamento de Defensa, las medidas integrales requieren la configuración y el mantenimiento de las redes para garantizar que cumplan y sean seguras contra vulnerabilidades y amenazas. Para agravar este problema están los limitados presupuestos y recursos disponibles dentro de las entidades gubernamentales, lo que puede dificultar la asignación de personal y herramientas suficientes para gestionar el cumplimiento de manera efectiva. Además, la necesidad de integrar diversas tecnologías y sistemas heredados complica aún más los esfuerzos de cumplimiento.Estos sistemas a menudo carecen de la flexibilidad necesaria para adaptarse rápidamente a las amenazas nuevas y en evolución, lo que hace que la tarea de lograr y mantener el cumplimiento continuo sea una lucha continua. Las agencias están analizando cómo la automatización y la orquestación pueden ayudar con estos desafíos.
Evolución de los equipos NetOps y SecOps
La evolución de los equipos de NetOps y SecOps está transformando la forma en que las agencias gubernamentales abordan el cumplimiento y la seguridad de la red.
¿NetOps, DevOps, SecOps confundidos? Ver detalles aquí – ¿Qué es NetOps?
Tradicionalmente operando en silos, estos equipos ahora están cada vez más obligados a colaborar y abordar desafíos compartidos. Los equipos de NetOps buscan implementar la automatización y validación de redes continuas para simplificar las operaciones, aumentar la velocidad y la eficiencia para brindar servicios y mejorar el rendimiento y la resiliencia de la infraestructura de red crítica. Los equipos de SecOps están respondiendo constantemente a amenazas en evolución, como vulnerabilidades creadas a partir de errores de configuración, actualizaciones descuidadas y no tener una visibilidad adecuada de la postura de seguridad, lo que retrasa los esfuerzos de respuesta.
La Necesidad de Automatización a Escala
Se requiere automatización para escalar estos esfuerzos, lo que permite a los equipos administrar de manera eficiente las tareas rutinarias y responder rápidamente a las amenazas a medida que crecen las demandas de la red. Existen muchos desafíos técnicos para automatizar el cumplimiento de la red. Por ejemplo, ¿qué estamos buscando cuando se trata del cumplimiento de la red? Para las redes, estamos validando equipos al final de su vida útil, versiones de código, CVE/PSIRT (Vulnerabilidades Comunes y Exposiciones/Equipos de Respuesta a Incidentes de Seguridad de Productos), guías de Implementación de Seguridad como DoD STIG y estándares de red y organización. Como lo demuestra esta lista de consideraciones de cumplimiento, hay muchos puntos de contacto que hacen que el cumplimiento sea una tarea desafiante y se convierte en un escenario “firefight” donde todos los recursos se enfocan urgentemente para ponerse al día con el cumplimiento antes de la próxima auditoría. En lo que se refiere a las configuraciones de redhay tres patrones en las verificaciones de cumplimiento.
Patrones Alrededor del Cumplimiento de la Red
Un requisito de cumplimiento dado requiere la evaluación de una configuración de red o un estado de red. Estas comprobaciones generalmente caen en 3 patrones de evaluación: configuración de coincidencia, variables de coincidencia o lógica de negocio de coincidencia.
Coincidencias de configuración busque coincidencias exactas en la configuración. Los ejemplos incluyen la desactivación o habilitación de servicios como http o cifrado de contraseña. Coincidencias variables busque coincidencias de sustitución parciales o variables en la configuración. Los ejemplos incluyen validar que se configuran varios servidores NTP (Network Time Protocol) o que los vecinos BGP (Border Gateway Protocol) configurados están utilizando la autenticación. La lógica empresarial coincidebusque patrones definidos organizadamente en la configuración. Los ejemplos incluyen la validación de que una lista de control de acceso de límites se aplica a la interfaz correcta y que bloquea los protocolos definidos por la organización. Este último patrón es el más complejo de implementar y varía ampliamente entre las organizaciones en función de la implementación local de la política requerida.
Hoy en día, los equipos de SecOps utilizan sus herramientas de auditoría específicas de dominio para auditar la red y crear informes. Estos informes se comparten con el equipo de NetOps que debe interpretar, traducir a configuraciones de dominio de red y luego implementar el cambio de red. Este largo proceso se repite.
La Automatización Permite el Cumplimiento Continuo
Imagine una plataforma de automatización de red donde NetOps y SecOps puedan aprovechar las herramientas unificadas para resolver objetivos comunes y permitir auditorías, informes y remediaciones continuas de cumplimiento. Los equipos de seguridad generalmente describen el cumplimiento “intent” en forma de reglas que validan si una configuración de red cumple con los criterios. Los operadores de red tienen que satisfacer no solo estos requisitos de cumplimiento, sino también los requisitos de diseño de red y otros factores al crear una plantilla final que se aplicará a la red.
Cisco Crosswork Network Services Orchestrator (NSO) proporciona esta capacidad al permitir a los operadores de red automatizar y administrar redes complejas con facilidad con un motor de cumplimiento integrado para validar el cumplimiento de la red. Ofrece una solución versátil y potente que admite la administración de configuraciones, la orquestación de servicios y la aplicación de políticas en toda la red. Cisco NSO 6.x viene con actualizaciones de cumplimiento significativas, como plantillas de cumplimiento, una interfaz intuitiva de informes de cumplimiento, y continúa introduciendo características para cubrir los patrones anteriores. Cisco NSO tiene API modernas y una base de datos con estado donde el cumplimiento continuo se puede validar en función del estado de la red en tiempo real y se puede informar hasta los sistemas en dirección norte. Cisco NSO también está impulsado por modeloses decir, los modelos de datos y sus intenciones se pueden traducir directamente al estado de implementación previsto en la red. Esto permite un nuevo paradigma para que los equipos de SecOps puedan auditar e informar las verificaciones de cumplimiento con las mismas herramientas y plantillas de configuración que el equipo de NetOps ha definido para la red para su remediación. Con Cisco NSO, los equipos pueden garantizar un cumplimiento coherente entre los elementos de red de múltiples proveedores, optimizar las operaciones y mejorar la colaboración entre los diferentes equipos dentro de una organización.y mejorar la colaboración entre diferentes equipos dentro de una organización.y mejorar la colaboración entre diferentes equipos dentro de una organización.
Para obtener más información sobre Cisco Crosswork NSO o para ver ejemplos de cómo crear plantillas de cumplimiento, consulte a continuación.
Descripción general de la solución de NSO de Crosswork
Repositorio de Ejemplos de Informes de Cumplimiento en NSO Developer GitHub
Pensamientos Cerradores
A medida que evolucionan los roles dentro de NetOps y SecOps, fomentar una cultura de aprendizaje y adaptabilidad garantiza que el personal pueda administrar de manera efectiva las nuevas tecnologías y los requisitos reglamentarios. Al desarrollar experiencia multifuncional y capacidades de resolución de problemas, las agencias pueden abordar las necesidades actuales de cumplimiento y anticipar las demandas futuras, lo que lleva a operaciones más resilientes y receptivas. Lograr soluciones de cumplimiento efectivas y aprovechar la automatización produce rendimientos sustanciales de la inversión (ROI) para las agencias gubernamentales, lo que resulta en ahorros de costos notables y permite a las agencias asignar recursos de manera más estratégica y centrarse en sus misiones principales. Esto no solo protege la reputación de las agencias, sino que también garantiza la entrega ininterrumpida de servicios esenciales.
Para profundizar en el cumplimiento y la automatización de la red, únase a nosotros en Cisco Live San Diego del 8-12 de junio de 2025 para dos sesiones perspicaces que exploran estrategias y soluciones para mejorar sus operaciones de red:
DEVNET-2144 – “Automating Network Compliance: Aprovechando Cisco NSO para la Auditoría de Cumplimiento, Informes y Remediación”
DEVWKS-2083 – “The Journey of Automating Network Compliance using Cisco NSO”
CISCO Blog. H. Ch. Traducido al español
Contacto