Acceso seguro a la nube: por qué elegimos Palo Alto Networks

This post is also available in: English (Inglés) 繁體中文 (Chino tradicional) Français (Francés) Deutsch (Alemán) 日本語 (Japonés) 한국어 (Coreano) Nederlands (Holandés) Italiano

Apttus nació en la nube. Proporcionamos a nuestros clientes ofertas SaaS basadas en inteligencia artificial, incluyendo soluciones para Quote-to-Cash, gestión de contratos, comercio electrónico y gestión de la relación con los proveedores. Nuestro modelo de nube «todo incluido» nos ha ayudado a prestar un mejor servicio a nuestros más de 700 clientes de todo el mundo.

Elegimos la nube desde el principio para aprovechar las ventajas que ofrecían Azure, principalmente, y AWS. Pero necesitábamos una forma de proteger el acceso a la infraestructura y las aplicaciones en la nube para nuestras operaciones globales.

¿Qué escollos empresariales y de seguridad pretendíamos resolver?

Antes de implementar los cortafuegos de nueva generación virtualizados VM-Series de Palo Alto Networks, nos enfrentábamos a dos problemas de seguridad clave.

Falta de un sistema de gestión de accesos a la nube centralizado

Creamos pods, es decir, una colección de recursos en la nube necesarios para desarrollar un servicio dado y disfrutar de nuestras soluciones. Para cada pod, necesitábamos una máquina virtual (MV) que actuase como host de salto y diese a los equipos de operaciones acceso al pod en cuestión. Hoy en día, contamos con más de 100 pods y el acceso a cada uno de ellos implica una fuerte inversión de tiempo y de recursos. El modelo de gestión de accesos actual no satisface los niveles de visibilidad o control que necesitamos. Además, es un devorador de recursos que exige demasiado tiempo y, en los negocios, perder el tiempo es sinónimo de perder dinero.

Modelo de acceso a la nube lento, inseguro y con demasiadas idas y venidas

Para acceder a los recursos que tenemos en la nube es necesario utilizar una VPN centralizada. Nuestros usuarios y empleados tendrían que pasar por nuestra sede corporativa para poder conectarse mediante el inicio de sesión único (SSO). A continuación, se conectarían al centro de datos desde la sede corporativa. Dado que nuestro equipo está repartido por toda la geografía mundial, con usuarios y sucursales en la India, entre otros países, este método introdujo periodos de latencia y ralentizó las conexiones en el sistema.

Serie VM-Series de Palo Alto Networks: una puerta de enlace descentralizada a los recursos en la nube

El modelo antiguo no nos estaba funcionando. Así que pusimos en marcha una iniciativa para desarrollar una arquitectura que eximiera a los equipos de operaciones de tener que pasar por la sede corporativa, por un lado, y que nos permitiera prescindir de la necesidad de contar con un host de salto en cada pod, por el otro. Este nuevo diseño de seguridad se basaba en la serie VM-Series de Palo Alto Networks. Implementamos la suscripción a GlobalProtect en nuestros cortafuegos de nueva generación virtualizados VM-Series para que hicieran las veces de puerta de enlace de acceso, y estamos utilizando Panorama como gestor de seguridad centralizado. La serie VM-Series se conecta directamente a Azure AD para centralizar la eliminación de cuentas de usuarios, así que ahora podemos gestionar el acceso y utilizar una sola plataforma de identidad. Además, disfrutamos de mayores niveles de visibilidad y control, y podemos segmentar y separar unos pods de otros.

¿Y a mí qué más me da? Hablemos de los resultados

Desde que implementamos la serie VM-Series de Palo Alto Networks en la nube, hemos ahorrado cantidades significativas de tiempo en la identificación y respuesta a los problemas de nuestros clientes. Elegimos Palo Alto Networks por tres motivos:

1. La serie VM-Series de Palo Alto Networks se integra de forma nativa con Azure AD. Podemos centralizar el control de las altas y las bajas de todos los usuarios con el sistema SSO de Azure AD, incluidos los registros de actividad y auditoría.
2. La posibilidad de gestionar los cortafuegos de forma centralizada con Panorama se ha revelado increíblemente beneficiosa. Gestionar todos los cortafuegos es fundamental para preservar la configuración y mantener actualizado todo el software de los cortafuegos.
3. La serie VM-Series se puede implementar a través de una infraestructura como código (IaC). En cuestión de minutos, podemos desacoplar e implementar programáticamente la serie VM-Series y del resto de los componentes de la infraestructura en la nube. Instaura una práctica idempotente en todas nuestras regiones.

Me gustaría concluir con unas cuantas reflexiones y consejos:

1. En cuestión de seguridad, más vale separar las operaciones de las TI. De lo contrario, perderá las ganancias en agilidad que ofrece la nube.
2. La nube le permite escalar la seguridad. Aproveche los servicios creados para la nube, como Azure AD, que están pensados para adaptarse a las necesidades de crecimiento de su empresa. En la nube, los usuarios pueden autenticarse fácilmente sin necesidad de conectarse localmente.
3. Elija una oferta de seguridad que pueda gestionarse como IaC. Para nosotros ha sido un gran acierto elegir la infraestructura como código que ofrece Palo Alto Networks. Hemos alcanzado altos niveles de seguridad, la latencia se mantiene a raya y ahorramos tiempo a la hora de solucionar los problemas de los clientes.