Protege las cargas de trabajo virtuales y de contenedores con Palo Alto Networks y Red Hat OpenShift

Si bien migrar las cargas de trabajo virtuales o aquellas organizadas en contenedores entre distintos entornos puede parecer sencillo, los equipos encargados de gestionar el tiempo de actividad del sistema, aplicar las políticas y proteger el tráfico de este a oeste suelen enfrentarse a un proceso complejo. Las pequeñas diferencias en el comportamiento de los hipervisores, la falta de uniformidad en la aplicación de las políticas y los puntos ciegos en los flujos de tráfico pueden generar riesgos que muchas veces no siempre son evidentes, hasta que ya es demasiado tarde.

La combinación de Red Hat OpenShift Virtualization con los firewalls de software de la serie VM de Palo Alto Networks permite abordar estas complejidades en el lugar donde suelen surgir. 

OpenShift Virtualization optimiza la gestión del ciclo de vida y la modernización de las cargas de trabajo basadas en máquinas virtuales dentro de una plataforma creada originalmente en Kubernetes. Además, la serie VM aporta a los entornos virtualizados una seguridad de red uniforme y orientada a las aplicaciones, lo cual posibilita que los equipos apliquen las políticas y mantengan la supervisión incluso a medida que la infraestructura evoluciona.

Asimismo, la integración de Red Hat OpenShift con Prisma AIRS™ permite que los clientes implementen la prevención de amenazas basada en la inteligencia artificial para proteger la red durante el tiempo de ejecución en todas las cargas de trabajo organizadas en contenedores que se ejecutan en los clústeres de OpenShift.

Tensión operativa

Muchas empresas operan en entornos híbridos por necesidad, no por elección. Las inversiones actuales en virtualización coexisten con las aplicaciones en contenedores, y se espera que los equipos respalden ambas con la misma confiabilidad. El desafío operativo no solo consiste en conectar estos dominios, sino también en hacerlo sin fragmentar la política de seguridad, las herramientas ni la supervisión de los sistemas.

En la actualidad, las cargas de trabajo migran entre nubes privadas y públicas o entre centros de datos, y tienen diferentes formatos, ya sean físicos, virtuales o en contenedores. Si bien esto proporciona una gran flexibilidad a los clientes, complica el problema de aplicar una estrategia de seguridad uniforme, y las migraciones se convierten en momentos de riesgo. La falta de políticas, la falta de uniformidad en la segmentación o los puntos ciegos de este a oeste pueden crear rutas de movimiento lateral para las amenazas que no se detectan.

Optimización estratégica

OpenShift Virtualization permite que las máquinas virtuales se ejecuten de forma totalmente compatible e integrada en una plataforma de Kubernetes con el proyecto open source KubeVirt. Así, las empresas pueden consolidar las cargas de trabajo de las máquinas virtuales y los contenedores dentro de los clústeres de OpenShift y mantener la uniformidad en la implementación, el ajuste y los controles del ciclo de vida. Las máquinas virtuales se alojan en el hipervisor basado en KVM y se gestionan mediante una interfaz web intuitiva basada en las API conocidas de Kubernetes.

Los firewalls de software de la serie VM de Palo Alto Networks extienden la prevención de amenazas de capa 7 a este entorno. Aplican políticas detalladas para las aplicaciones, realizan inspecciones del tráfico en tiempo real y admiten actualizaciones dinámicas a través de la automatización.

Esta arquitectura permite:

• la segmentación uniforme de este a oeste con los firewalls de software de la serie VM para aislar el tráfico entre las máquinas virtuales;
• la aplicación de políticas a través de Panorama o Strata Cloud Manager (SCM), lo que posibilita una gestión unificada y adaptable en todos los clústeres, con módulos de Red Hat Ansible Automation Platform que permiten automatizar la preparación del firewall y la implementación de políticas a medida que cambia la infraestructura;
• la supervisión compartida en todas las cargas de trabajo, ya que se correlaciona la telemetría de red de OpenShift con los registros de tráfico del firewall de la serie VM.

Optimización de Red Hat OpenShift con Prisma AIRS

Gracias a la compatibilidad de Prisma AIRS con Red Hat OpenShift, los clientes pueden usar Prisma AIRS para proteger las aplicaciones de inteligencia artificial y en contenedores que se ejecutan en los clústeres de Red Hat OpenShift. Además, pueden llevar a cabo las tareas de supervisión y mantener la seguridad durante el tiempo de ejecución contra las amenazas desconocidas y sin parches, lo cual les permite aplicar una estrategia de seguridad más uniforme en todas las nubes y en todos los entornos de nube híbrida. Prisma AIRS se puede gestionar con Panorama o Strata Cloud Manager (SCM), lo cual ofrece a los equipos de seguridad de la red una interfaz y funciones conocidas a través de una consola de panel único. 

Red Hat OpenShift se puede integrar a Prisma AIRS, lo que brinda a los clientes los siguientes beneficios:

• ajuste de la seguridad de la red mientras se lleva a cabo la transformación digital;
• protección de las aplicaciones de inteligencia artificial y de aquellas organizadas en contenedores contra las amenazas conocidas, desconocidas, básicas y específicas de la inteligencia artificial;
• refuerzo sencillo de la seguridad en todas las aplicaciones con una gestión unificada y herramientas uniformes.

Implicaciones estratégicas

Para los responsables técnicos sénior, el valor de estas integraciones es fundamentalmente estratégico y no solo táctico. Los aspectos más destacados de estos valores incluyen:

• la racionalización de la infraestructura al combinar la gestión de las máquinas virtuales y los contenedores en una sola plataforma;
• el control más eficaz de las amenazas al aplicar una microsegmentación y una inspección uniformes;
• la simplificación de la gestión y el mantenimiento de la seguridad durante las migraciones a la nube o las consolidaciones de los centros de datos.

Los equipos de seguridad obtienen uniformidad, mientras que los equipos de operaciones conservan el control y el rendimiento. El resultado es un plano de control compartido que refleja la naturaleza híbrida de la TI empresarial moderna.

Caso práctico: Migración de cargas de trabajo con seguridad integrada

 A medida que las empresas comienzan a dejar las plataformas de virtualización heredadas por una arquitectura más desarrollada en la nube, la migración de las máquinas virtuales a OpenShift Virtualization representa un camino práctico y estratégico hacia la modernización. Estas migraciones suelen abarcar varias zonas de confianza, lo que requiere el cifrado de las comunicaciones, la inspección del tráfico entre las máquinas virtuales y la revalidación de las políticas de seguridad.

El uso de OpenShift Virtualization con Prisma AIRS resuelve este problema de la siguiente manera: 

• Preserva la estrategia de seguridad de manera integral durante las transiciones de las cargas de trabajo.
• Protege el tráfico en tránsito con políticas de entrada y salida controladas que aplica el firewall de la serie VM.
• Permite la portabilidad de las licencias a través de los créditos flex, es decir, créditos de firewalls retirados que se pueden reasignar, lo que simplifica su implementación en nuevos destinos.

Esto reduce los gastos operativos y los riesgos asociados a los períodos de migración, que suelen ser puntos de gran exposición.

Caso práctico: Gestión unificada y uniformidad en la aplicación de políticas

Uno de los desafíos que suelen presentarse en las infraestructuras híbridas es el de tener que aplicar una política de seguridad uniforme en los diversos tipos de cargas de trabajo. Los contenedores se pueden gestionar a través de canales de CI/CD, mientras que las máquinas virtuales siguen dependiendo de los procesos de implementación tradicionales. Esta asimetría suele dar lugar a estrategias de seguridad fragmentadas, lo cual se ve agravado por el hecho de que las herramientas de seguridad tradicionales no pueden supervisar el tráfico de este a oeste dentro de los clústeres de contenedores, una deficiencia importante, ya que Gartner predice que más del 75 % de las aplicaciones de inteligencia artificial se ejecutarán en contenedores para el año 2027.

OpenShift Virtualization ayuda a abordar este desafío al estandarizar el modelo de implementación, lo que permite que las máquinas virtuales se integren en el mismo marco de gestión de Kubernetes que se utiliza para las cargas de trabajo de los contenedores. En lugar de gestionar las máquinas virtuales por separado con las herramientas tradicionales específicas de los hipervisores, los equipos pueden definir, programar, supervisar y ajustar las máquinas virtuales con las mismas API, las mismas configuraciones declarativas y los mismos canales de automatización que rigen sus contenedores.

Para completar este enfoque unificado, las soluciones como Prisma AIRS amplían la seguridad de la confianza cero y la prevención de amenazas impulsada por la inteligencia artificial en todas las cargas de trabajo virtualizadas y organizadas en contenedores en OpenShift. Prisma AIRS brinda protección de la red durante el tiempo de ejecución con supervisión completa del tráfico dentro de los clústeres. Esto permite aplicar la seguridad de manera uniforme y utilizar políticas de microsegmentación en todos los tipos de cargas de trabajo, ya sean contenedores tradicionales, máquinas virtuales gestionadas a través de OpenShift Virtualization o aplicaciones de inteligencia artificial nuevas. Gracias a esta combinación, los equipos de infraestructura ya no necesitan mantener sistemas paralelos para las operaciones o la seguridad, lo que les permite lograr una verdadera uniformidad en toda la infraestructura híbrida y, al mismo tiempo, protegerla de las amenazas conocidas y los ataques del día cero en la capa de las aplicaciones.

Los administradores pueden gestionar estos controles a través de Palo Alto Networks Panorama o Strata Cloud Manager (SCM), mientras siguen utilizando las herramientas originales de OpenShift para la organización de las cargas de trabajo. Ansible Automation Platform también conecta estos dominios de gestión, lo que permite que los equipos automaticen las configuraciones del firewall y las políticas de seguridad dentro de sus canales de CI/CD actuales. Esta separación de tareas ayuda a mantener la claridad y reduce la proliferación de herramientas.

Notas sobre la implementación

Con esta arquitectura, los firewalls de la serie VM se implementan como máquinas virtuales dentro de OpenShift Virtualization y se ejecutan en hipervisores KVM. Cada instancia del firewall puede inspeccionar el tráfico que se enruta a través de la red definida por software (SDN) de OpenShift con políticas que se aplican de forma dinámica en función de las etiquetas, los espacios de nombres o la identidad del servicio.

Esto permite:

• aplicar definiciones de políticas que siguen las cargas de trabajo y no las direcciones IP;
• cambiar la implementación automatizada en función de los flujos de trabajo de GitOps;
• inspeccionar el tráfico en tiempo real, lo que incluye el descifrado de TLS, la identificación de las aplicaciones (App-ID) y los controles de acceso basados en los identificadores de los usuarios.

Estas funciones son fundamentales a la hora de respaldar las cargas de trabajo o los entornos regulados, en los que la segmentación y la posibilidad de llevar a cabo auditorías son indispensables.

Reflexiones finales

El desafío de la infraestructura híbrida no desaparecerá; al contrario, la rápida adopción de las aplicaciones en contenedores y las cargas de trabajo de inteligencia artificial lo hace más complejo. Las empresas necesitan formas prácticas de modernizarse sin abandonar las inversiones actuales en virtualización ni comprometer la seguridad.

OpenShift Virtualization proporciona la base operativa al incorporar las máquinas virtuales al mundo de Kubernetes y crear una plataforma unificada en la que los equipos de infraestructura pueden gestionar las cargas de trabajo tradicionales y las de la nube a través de API uniformes, configuraciones declarativas y canales de automatización. Sin embargo, a medida que las cargas de trabajo evolucionan y se multiplican, la estandarización por sí sola no es suficiente.

Aquí es donde entran en juego las soluciones de seguridad complementarias de Palo Alto Networks. Los firewalls de software de la serie VM ofrecen tanto una inspección exhaustiva que tiene en cuenta las aplicaciones como el cumplimiento de las políticas de capa 7 para las cargas de trabajo virtualizadas, mientras que Prisma AIRS extiende la prevención de amenazas basada en la inteligencia artificial y la protección del tiempo de ejecución a las aplicaciones en contenedores, incluida la nueva ola de las cargas de trabajo de inteligencia artificial. Ambas soluciones se pueden integrar en OpenShift, lo que proporciona una estrategia de seguridad uniforme: se puede gestionar todo desde un solo lugar a través de Panorama o Strata Cloud Manager (SCM).

La combinación permite que las empresas apliquen políticas de seguridad uniformes en todo su entorno híbrido, ya sea para proteger las máquinas virtuales heredadas durante la migración, los microservicios modernos o las aplicaciones de inteligencia artificial. Con los módulos de Ansible Automation Platform que unen los dominios operativos y de seguridad, los equipos pueden incorporar la seguridad en sus canales de CI/CD y en los flujos de trabajo de GitOps. Así, la protección deja de ser un aspecto secundario para convertirse en una parte integral del ciclo de vida de desarrollo.

Juntas, estas plataformas ofrecen lo que las empresas realmente necesitan: un único plano de control para las operaciones y un motor de seguridad eficaz que se adapta a la realidad de las cargas de trabajo, y no al revés. De esta manera, obtienes la flexibilidad de la infraestructura abierta con la garantía de seguridad de la confianza cero, lo que permite que tu empresa gestione las cargas de trabajo actuales con confianza y esté preparada para lo que venga después.

Es hora de alinear la modernización de la infraestructura con la evolución de la seguridad. Para obtener más información, consulta estos recursos adicionales:

• [Resumen de la solución] VM-Series Software Firewalls and Red Hat OpenShift Virtualization
• [Webpage] Securing Red Hat Clusters with Prisma AIRS Runtime Security to Implement Zero Trust for Containerized and AI Apps
• [Publicación de blog] Prisma AIRS Helps Protect Containers and AI Apps Running on Red Hat OpenShift
• [Red Hat Ecosystem Catalog] Palo Alto Networks VM-Series Generation Firewall
• [Red Hat Ecosystem Catalog] Automate configuration with Red Hat and Palo Alto Networks
• [Página web] Red Hat OpenShift Virtualization
• [Publicación de blog] VM-Series Enhances Security for Virtualized Workloads on Red Hat OpenShift Virtualization
• [Documentación de caso práctico] Technology Partner Integration Guide
• [Resumen de la solución] Prisma AIRS y Red Hat OpenShift