Los proveedores de servicios de comunicaciones (CSP) obtienen importantes ventajas en agilidad y costes de los modelos de despliegue en la nube y en los bordes, posibles gracias a las arquitecturas de red nativas de la nube. La computación de borde consume datos cerca de su fuente, evitando los requisitos de latencia y ancho de banda de la red de retorno de datos. Las nubes públicas proporcionan capacidad elástica bajo demanda, al tiempo que eliminan los requisitos de infraestructura para el espacio libre y la redundancia. La infraestructura nativa de la nube en todas estas modalidades facilita prácticas modernizadas como DevOps e integración continua/entrega continua, que contribuyen aún más a la eficiencia operativa de los CSP.
Trasladar las cargas de trabajo de instalaciones seguras locales a nubes públicas o ubicaciones periféricas relativamente desprotegidas requiere una nueva concepción de las medidas de seguridad. En estas redes nativas de la nube, el perímetro se desintegra, dejando las funciones de red potencialmente expuestas. El aislamiento físico de los equipos también puede dejar de ser posible. Los requisitos reglamentarios de privacidad para la interceptación legal del tráfico de mediación y control, así como las propias comunicaciones interceptadas, deben tenerse especialmente en cuenta para garantizar su cumplimiento.
Salir del centro de datos cerrado
Los entornos tradicionales de los CSP ofrecen importantes ventajas de seguridad para el despliegue de plataformas de interceptación legal. Las propias instalaciones son físicamente seguras, con medidas como el control de acceso y la videovigilancia. Más allá de estas medidas generales, la plataforma de interceptación legal puede estar más protegida, como en un armario cerrado con llave, y también puede estar detrás de estrictos cortafuegos de confianza cero, si no completamente aislada, impidiendo el acceso directo desde Internet.
El control físico de los equipos permite garantizar que sólo las personas autorizadas tienen acceso físico a ellos, lo que elimina un gran número de posibles riesgos para la seguridad. Los cortafuegos protegen estos sistemas, y las mejores prácticas exigen que todas las conexiones se inicien desde la propia plataforma de interceptación legal, lo que proporciona un aislamiento adicional.
Las redes privadas virtuales (VPN) o los túneles cifrados se utilizan normalmente para comunicarse entre los organismos encargados de la aplicación de la ley (LEA) y los CSP. En este escenario de red tradicional, el tráfico sensible puede transmitirse por fibra a una pasarela VPN situada en el mismo armario cerrado que la plataforma de interceptación legal, sin que quede expuesto a entidades externas. Los sistemas operativos subyacentes en este equipo pueden bloquearse y reforzarse para sus funciones específicas, sin exposiciones de seguridad de servicios externos.
Por el contrario, ninguna de estas protecciones está disponible cuando los despliegues de interceptación legal se amplían para incluir el borde o la nube. Al trasladar las funciones de red fuera de los centros de datos tradicionales, los CSP deben mantener sus posturas de seguridad en entornos menos controlados.
Control de la visibilidad y el acceso físico
A medida que los CSP se dan cuenta de las oportunidades de ahorro de costes y servicios de baja latencia, amplían sus recursos hasta el borde de la red. Este cambio requiere un mayor alcance en el despliegue de servicios de interceptación legal, y el aumento de la huella conlleva mayores requisitos de protección. Especialmente en los emplazamientos pequeños situados en el extremo de la red, los equipos pueden ser físicamente vulnerables, en comparación con las instalaciones controladas tradicionales.
Esos mismos CSP pueden obtener ventajas significativas en costes, escalabilidad y otros aspectos haciendo uso de la infraestructura como servicio (IaaS) de los proveedores de nubes públicas. En estas topologías, los administradores del proveedor de la nube, en lugar del CSP, tienen acceso físico a los sistemas y control sobre dicho acceso. Desde un punto de vista normativo, los CSP deben adaptarse a estas circunstancias, incluida la provisión de protecciones auditables de estos sistemas en ausencia de aislamiento físico.
Del mismo modo, las cargas de trabajo en contenedores en entornos nativos de la nube utilizan el sistema operativo proporcionado por la infraestructura subyacente, lo que hace imposible bloquearlo para las necesidades limitadas de una plataforma de interceptación legal. Los contenedores heredan la exposición a la seguridad y la superficie de ataque del entorno subyacente, y los CSP sacrifican las capacidades de endurecimiento específicas del sistema.
Hacia un enfoque ecosistémico
La falta de control físico sobre el entorno en los despliegues en el borde y en la nube significa que los datos de interceptación legal no deben pasar por el cable en texto claro, es decir, sin cifrar, ni siquiera a través de una conexión directa entre dos sistemas. Aun así, las plataformas de inteligencia legal del mundo real deben comunicarse con una amplia gama de elementos de red, tanto para suministrarles información sensible como para recibir información sensible de ellos. Este requisito ilustra la necesidad de un cifrado verdaderamente generalizado en los flujos de tráfico de interceptación legal.
Estas interacciones cifradas requieren que todos los elementos de la red que entran en contacto con las funciones de inteligencia legal sean capaces de manejar el cifrado en uso, y muchos tendrán que actualizarse para hacerlo. Los CSP necesitan un enfoque estructurado para mitigar la complejidad y el riesgo en ese camino hacia el cifrado interoperable, que incluya seguridad optimizada, flexibilidad del proveedor y preparación para el futuro. El SS8 lidera el sector en este frente, trabajando en todo el ecosistema para añadir cifrado allí donde falta, eliminar las vulnerabilidades de los métodos de cifrado más antiguos y actualizar a los protocolos más actuales, como TLS 1.3.
Las relaciones de larga data con la industria son de un valor incalculable en este esfuerzo, al igual que la granularidad de esas relaciones, que normalmente se extienden a varios equipos de productos en cada fabricante de equipos. Las colaboraciones son un medio clave para que SS8 ayude al ecosistema de acuerdo con las mejores prácticas que la empresa ha desarrollado a lo largo de más de dos décadas de liderazgo en inteligencia legal. Estas relaciones proporcionan a los CSP una base madura sobre la que apoyarse a medida que modernizan y protegen sus redes para sacar el máximo partido de la periferia y la nube.
Sobre el Dr. Cemal Dikmen
Como director de tecnología de SS8, Cemal desempeña un papel esencial en la dirección estratégica, el desarrollo y el crecimiento futuro de la empresa. Experto de renombre y líder de opinión en el ámbito del cumplimiento de la legislación y el análisis de las comunicaciones, ha sido ponente habitual en diversas conferencias del sector durante los últimos 10 años. Cemal es licenciado, máster y doctor en Ingeniería Eléctrica. Puede obtener más información sobre Cemal en su perfil de LinkedIn haciendo clic aquí.
Acerca de SS8 Networks
Como líder en Inteligencia Legal y de Localización, SS8 ayuda a que las sociedades sean más seguras. Nuestro compromiso es extraer, analizar y visualizar la inteligencia crítica que proporciona a los cuerpos de seguridad, agencias de inteligencia y servicios de emergencia la información en tiempo real que ayuda a salvar vidas. Nuestras soluciones de alto rendimiento, flexibles y preparadas para el futuro también permiten a los operadores de redes móviles cumplir la normativa con un mínimo de interrupciones, tiempo y costes. Las mayores agencias gubernamentales, proveedores de comunicaciones e integradores de sistemas de todo el mundo confían en SS8.
La cartera de productos de supervisión y análisis de datos Intellego® XT está optimizada para que las fuerzas de seguridad capturen, analicen y visualicen conjuntos de datos complejos para obtener inteligencia de investigación en tiempo real.
LocationWise ofrece la mayor precisión auditada de localización de redes en todo el mundo, proporcionando inteligencia de localización activa y pasiva para servicios de emergencia, fuerzas de seguridad y operadores de redes móviles.
La plataforma de mediación Xcipio® satisface las exigencias de la interceptación legal en cualquier tipo de red y ofrece la posibilidad de transcodificar (convertir) entre versiones de traspaso de interceptación legal y familias estándar.
Para más información, Contacto en info@ss8.com.
