Hoy nos complace anunciar Cloudflare Magic Transit. Magic Transit ofrece una conectividad IP segura, eficiente y confiable a internet. Magic Transit, listo para usar, que se implementa frente a su red local, lo protege de los ataques DDoS y permite el suministro de una serie completa de funciones de red virtual, que incluye filtrado avanzado de paquetes, equilibrio de carga y herramientas de administración de tráfico.
Magic Transit se basa en los estándares y funciones elementales de red que le resultan familiares, pero se ofrece como servicio desde la red perimetral global de Cloudflare. La red de Cloudflare toma el tráfico con anycast y el protocolo de puerta de enlace de frontera (BGP), anunciando el espacio de direcciones IP de su empresa y ampliando su presencia en la red a nivel global. En la actualidad, nuestra red perimetral anycast abarca 193 ciudades en más de 90 países de todo el mundo.
Una vez que los paquetes llegan a nuestra red, se inspecciona el tráfico en busca de ataques, se filtra, se direcciona, se acelera y se envía hacia el origen. Magic Transit se conectará de nuevo a su infraestructura de origen a través de túneles de encapsulación de enrutamiento genérico (GRE), interconexiones de red privada (PNI) u otras formas de conexión.
Las empresas a menudo se ven obligadas a elegir entre el rendimiento y la seguridad a la hora de implementar servicios de red IP. Magic Transit está diseñado desde cero para minimizar estas compensaciones: lo ideal es que el rendimiento y la seguridad se combinen. Magic Transit implementa servicios de seguridad de IP en toda nuestra red global. Esto significa que ya no es necesario desviar el tráfico a unos pocos “centros de depuración” remotos o depender del hardware local para mitigar los ataques a su infraestructura.
Hemos estado trabajando para sentar las bases para Magic Transit desde que existe Cloudflare, el año 2010. El escalamiento y la protección de la red IP en los que se basa Cloudflare han requerido herramientas cuya compra habría sido imposible o exageradamente costosa. ¡Así que creamos las herramientas nosotros mismos! Crecimos en la era de las redes definidas por software y la virtualización de las funciones de red, y los principios de estos conceptos modernos están presentes en todo lo que hacemos.
Cuando hablamos con nuestro clientes que gestionan redes locales, escuchamos cosas que se repiten de manera constante: la creación y gestión de sus redes es costoso y problemático, y esas redes locales se seguirán usando por mucho tiempo.
Tradicionalmente, los directores de información (CIO) que intentan conectar sus redes IP a internet lo hacen en dos pasos:
- Obtienen la conectividad a internet de los proveedores de tránsito (ISP).
- Compran, operan y mantienen los dispositivos de hardware específicos de la función de red. Piense en distribuidores de carga de hardware, firewalls, equipos de mitigación de DDoS, optimización de WAN y mucho más.
Para mantener cada una de estas cajas se necesita tiempo y dinero, además de personas calificadas a quienes se les debe pagar muy bien para que las hagan funcionar de manera adecuada. Cada eslabón adicional de la cadena dificulta la administración de la red.
Todo esto nos resultó familiar. Tuvimos un momento de inspiración: teníamos los mismos problemas para administrar nuestras redes de centros de datos que para ejecutar todos nuestros productos, y habíamos dedicado mucho tiempo y esfuerzo para crear soluciones para esos problemas. Ahora, nueve años más tarde, teníamos una serie sólida de herramientas que pudimos convertir en productos para nuestros propios clientes.
El objetivo de Magic Transit es llevar el modelo tradicional de hardware de centro de datos a la nube, incluyendo el tránsito con todo el “hardware” de red que usted pueda necesitar para mantener la rapidez, fiabilidad y seguridad de la red. Una vez implementado, Magic Transit permite un suministro eficiente de las funciones de red virtualizadas, que incluye enrutamiento, mitigación de DDoS, establecimiento de firewall, equilibrio de carga y servicios de aceleración de tráfico.
Magic Transit es su vía de acceso de red a Internet
Magic Transit ofrece beneficios de conectividad, seguridad y rendimiento al actuar como la “puerta principal” a su red IP. Esto significa que acepta los paquetes de IP destinados a su red, los procesa y luego los envía a su infraestructura de origen.
La conexión a internet a través de Cloudflare ofrece varias ventajas. A partir de la más básica, Cloudflare es una de las redes más ampliamente conectadas de internet. Trabajamos con operadores, intercambios de internet y socios de conexión de todo el mundo para garantizar que un bit colocado en nuestra red llegue a su destino de forma rápida y confiable, independientemente del destino.
Un ejemplo de implementación: Acme Corp
Veamos cómo un cliente puede implementar Magic Transit. El cliente Acme Corp. tiene el prefijo de IP 203.0.113.0/24, que utiliza para un bastidor de hardware que ejecuta en su propio centro de datos físico. Acme anuncia rutas a internet desde su equipo de las dependencias del cliente (CPE, también conocido como enrutador en el perímetro de su centro de datos), y le dice al mundo que 203.0.113.0/24 es accesible desde su número de sistema autónomo, AS64512. Acme tiene dispositivos de hardware de firewall y mitigación de DDoS en las instalaciones.
Acme quiere conectarse a la red de Cloudflare para mejorar la seguridad y el rendimiento de su propia red. Concretamente, ha sido objeto de ataques de servicio de negación distribuida, y quiere tranquilidad por la noche, sin tener que depender del hardware local. Aquí es donde aparece Cloudflare.
La implementación de Magic Transit frente a su red es una tarea sencilla:
- Cloudflare utiliza el protocolo de puerta de enlace de frontera (BGP) para anunciar el prefijo 203.0.113.0/24 de Acme desde el perímetro de Cloudflare, con el permiso de Acme.
- Cloudflare comienza a tomar los paquetes destinados al prefijo de IP de Acme.
- Magic Transit aplica las reglas de firewall y mitigación de DDoS al tráfico de red. Una vez que la red de Cloudflare lo toma, el tráfico que se beneficiaría del almacenamiento de HTTPS y la inspección WAF se puede “actualizar” a nuestra canalización de HTTPS de capa 7 sin necesidad de saltos de red adicionales.
- Acme desea que Cloudflare utilice la encapsulación de enrutamiento genérico (GRE) para devolver por un túnel el tráfico desde la red de Cloudflare al centro de datos de Acme. Los túneles GRE se inician en los extremos de anycast y regresan a las instalaciones de Acme. Mediante la magia de anycast, los túneles están constantemente y simultáneamente conectados a cientos de puntos de red, lo que garantiza que los túneles están ampliamente disponibles y que son resistentes a las fallas de la red que harían colapsar los túneles GRE formados de manera tradicional.
- Cloudflare envía los paquetes destinados a Acme a través de estos túneles GRE.
Veamos con mayor detalle cómo funciona la mitigación de DDoS incluida en Magic Transit.
Magic Transit protege las redes del ataque DDoS
Los clientes que implementan Cloudflare Magic Transit obtienen acceso instantáneo al mismo sistema de protección de DDoS de la capa de IP que ha protegido la red de Cloudflare durante los últimos 9 años. Este es el mismo sistema de mitigación que detuvo en segundos un ataque de 942 Gbps. Este es el mismo sistema de mitigación que supo detener los ataques de amplificación de memcached unos días antes de que un ataque de 1.3Tbps derribara Github, que no tenía la protección de Cloudflare. Esta es la misma mitigación en la que confiamos todos los días para proteger a Cloudflare, y ahora protege su red.
Cloudflare tradicionalmente ha protegido las aplicaciones HTTP y HTTPS de Capa 7 de ataques en todas las capas del modelo de capas OSI. La protección para DDoS que nuestros clientes conocen y les gusta cuenta con una combinación de técnicas, pero se puede desglosar en defensas complementarias:
- Anycast y la presencia de una red en 193 ciudades de todo el mundo permiten que nuestra red llegue a usuarios y atacantes, lo que nos permite absorber el tráfico cerca del origen sin introducir una latencia significativa.
- Una capacidad de red de más de 30 Tbps nos permite absorber una gran cantidad de tráfico cerca del origen. La red de Cloudflare tiene más capacidad para detener los ataques DDoS que Akamai Prolexic, Imperva, Neustar y Radware juntos.
- Nuestro proxy inverso HTTPS absorbe los ataques L3 (capa de IP) y L4 (capa de TCP) al cancelar las conexiones y restablecerlas al origen. Esto evita que la mayoría de las transmisiones de paquetes fraudulentas se acerquen a un servidor de origen del cliente.
- Las mitigaciones de la capa 7 y la limitación de la velocidad detienen las inundaciones en la capa de aplicación de HTTPS.
Si observa detenidamente la descripción anterior, podrá notar lo siguiente: nuestros servidores proxy inversos protegen a nuestros clientes mediante la cancelación de las conexiones, pero nuestra red y nuestros servidores reciben los ataques de L3 y L4 que detenemos en nombre de nuestros clientes. ¿Cómo protegemos nuestra propia infraestructura de estos ataques?
Gatebot es un paquete de software que se ejecuta en cada uno de nuestros servidores dentro de cada uno de nuestros centros de datos en las 193 ciudades que brindamos servicios, y analiza y bloquea constantemente el tráfico de ataques. Parte del atractivo de Gatebot es su estructura simple; permanece silenciosamente, a la espera, examinando los paquetes a medida que pasan de la tarjeta de red al núcleo y hacia el espacio del usuario. Gatebot no tiene un período de aprendizaje o preparación. Apenas detecta un ataque, indica al núcleo de la máquina en la que se está ejecutando que suelte el paquete, registre su decisión y siga adelante.
Tradicionalmente, si usted deseaba proteger su red de un ataque DDoS, es posible que haya comprado un dispositivo especial de hardware para colocar en el perímetro de su red. Esta caja de hardware (llamémosla “caja de protección de DDoS”) habría sido sumamente cara, estéticamente atractiva (como una caja de hardware 2U), y hubiera requerido muchísimo esfuerzo y dinero constantes para su mantenimiento, para mantener la licencia al día, y para mantener la precisión y el entrenamiento del sistema de detección de ataques.
Por un lado, tendría que ser monitoreada con mucho cuidado para verificar que estaba deteniendo ataques pero no tráfico legítimo. Por el otro, si un atacante lograba generar suficiente tráfico como para saturar los vínculos de tránsito de su centro de datos a internet, usted no tenía suerte; ninguna caja dentro de su centro de datos puede protegerlo de un ataque que genere suficiente tráfico para congestionar los enlaces que se ejecutan desde el exterior hasta el propio centro de datos.
Al principio, Cloudflare consideró comprar la(s) caja(s) de protección de DDoS para proteger nuestras diversas ubicaciones de red, pero lo descartó rápidamente. La compra de hardware habría significado un costo y una complejidad considerables. Además, la compra, la colocación en el bastidor y el manejo de piezas especializadas de hardware dificultan la escala de una red. Tenía que haber una mejor manera. Nos propusimos resolver este problema nosotros mismos, empezando por los principios básicos y la tecnología moderna.
Para que nuestro moderno método de mitigación de DDoS funcione, tuvimos que desarrollar un paquete de herramientas y técnicas que nos permitieran desarrollar redes de muy alto rendimiento en un servidor x86 genérico que ejecuta Linux.
El núcleo de nuestro plano de datos de red es la ruta de datos de alto rendimiento (XDP) y el filtro de paquetes extendido de Berkeley (eBPF), una serie de API que nos permiten crear aplicaciones de red de muy alto rendimiento en el núcleo de Linux. Mis colegas han escrito bastante sobre cómo usamos XDP y eBPF para detener los ataques DDoS:
- L4Drop: mitigaciones de DDoS XDP
- xdpcap: captura de paquetes XDP
- Presentación de la mitigación de DoS en función de XDP
- XDP en la práctica: integración de XDP en nuestra canalización de mitigación de DDoS(PDF)
- Estructura de Cloudflare y cómo BPF se come el mundo
A fin de cuentas, terminamos con un sistema de mitigación DDoS que:
- Se envía por toda nuestra red y se extiende a 193 ciudades de todo el mundo. En otras palabras, en nuestra red no existe el concepto de “centros de depuración”, cada una de nuestras ubicaciones de red están mitigando ataques todo el tiempo. Esto significa una mitigación de ataques más rápida y un impacto de latencia mínimo para los usuarios.
- Tiene tiempos de mitigación excepcionalmente rápidos, con la mayoría de los ataques mitigados en 10s o menos.
- Se construyó internamente, lo que nos permite una visibilidad profunda de su comportamiento y la capacidad de desarrollar de manera rápida nuevas mitigaciones a medida que surgen nuevos tipos de ataques.
- Se implementa como un servicio y se escala de manera horizontal. Agregar hardware x86 que ejecuta nuestra pila de software de mitigación de DDoS a un centro de datos (o agregar otra ubicación de red) pone en línea al instante más capacidad de mitigación de DDoS.
Gatebot está diseñado para proteger de ataques a la infraestructura de Cloudflare. Y hoy, como parte de Magic Transit, los clientes que operan sus propias infraestructuras y redes IP pueden confiar en Gatebot para proteger su propia red.
Magic Transit lleva su hardware de red a la nube
Hemos explicado cómo Cloudflare Magic Transit conecta su red a internet y cómo lo protege del ataque DDoS. Si estuviera ejecutando su red como se hacía anteriormente, aquí es donde se detendría a comprar hardware de firewall, y tal vez otra caja para el equilibrio de carga.
Con Magic Transit, no necesita esas cajas. Tenemos un largo historial en cuanto a la oferta de funciones de red comunes (firewalls, equilibradores de carga, etc.) como servicios. Hasta este momento, los clientes que implementan nuestros servicios han confiado en DNS para llevar el tráfico a nuestro perímetro, después de lo cual nuestra pilas de Capa 3 (IP), Capa 4 (TCP y UDP) y Capa 7 (HTTP, HTTPS y DNS) toman el control y ofrecen rendimiento y seguridad a nuestros clientes.
El diseño de Magic Transit permite manejar toda su red, pero no aplica un método único para todos los servicios que se aplican a diferentes partes de su tráfico. Para volver a visitar Acme, nuestro ejemplo de cliente presentado más arriba, se ha llevado 203.0.113.0/24 a la red de Cloudflare. Esto representa 256 direcciones IPv4, algunas de las cuales (por ejemplo, 203.0.113.8/30) podrían encabezar equilibradores de carga y servidores HTTP, otros servidores de correo y otras aplicaciones UDP aún personalizadas.
Cada uno de estos subrangos puede tener diferentes requisitos de seguridad y administración de tráfico. Magic Transit le permite configurar direcciones IP específicas con su propio paquete de servicios, o bien aplicar la misma configuración a grandes porciones (o todas) de su bloque.
En el ejemplo anterior, Acme podría querer que el bloque 203.0.113.8/30 que contiene servicios HTTP encabezados por un equilibrador de carga de hardware tradicional implemente en su lugar el equilibrador de carga de Cloudflare, y también querer que se analice el tráfico HTTP con WAF de Cloudflare y el contenido almacenado en caché con nuestra red de distribución de contenido (CDN). Con Magic Transit, la implementación de estas funciones de red es directa: solo unos clics en nuestro panel de control o llamadas API tendrán su tráfico bajo control en una capa más alta de abstracción de red, con todos los extras del asistente que utiliza el equilibrio de carga a nivel de la aplicación, firewall y la lógica que aporta el almacenamiento en caché.
Este es solo un ejemplo de una implementación que podrían aplicar los clientes. Hemos trabajado con varios clientes que solo quieren el passthrough de IP puro, con la mitigación de DDoS aplicada a direcciones IP específicas. ¿Es eso lo que quiere? ¡Lo tenemos!
Magic Transit se ejecuta en toda la red global de Cloudflare. ¡O no más depuraciones!
Cuando conecta su red a Cloudflare Magic Transit, obtiene acceso a toda la red de Cloudflare. Esto significa que todas nuestras ubicaciones de red se convierten en sus ubicaciones de red. Nuestra capacidad de red se convierte en su capacidad de red, está a su disposición para impulsar sus experiencias, entregar su contenido y mitigar los ataques a su infraestructura.
¿Qué amplitud tiene la red de Cloudflare? Estamos en 193 ciudades de todo el mundo, con más de 30Tbps de capacidad de red repartidas en todas ellas. Cloudflare opera dentro de los 100 milisegundos del 98% de la población conectada a internet en el mundo desarrollado, y del 93% de la población conectada a internet a nivel global (como referencia, el parpadeo de un ojo es de 300-400 milisegundos).
Zonas del mundo dentro de los 100 milisegundos de un centro de datos de Cloudflare.
Así como desarrollamos nuestros propios productos, también desarrollamos nuestra propia red. Cada producto se ejecuta en todos los centros de datos, lo que significa que toda nuestra red ofrece todos nuestros servicios. Este podría no haber sido el caso si hubiéramos reunido nuestra fragmentada cartera de productos mediante una adquisición, o no hubiéramos tenido una visión integral cuando nos propusimos desarrollar nuestra serie de servicios actuales.
El resultado final para los clientes de Magic Transit: una presencia en la red de todo el mundo apenas se convierta en nuestro cliente. Acceso total a una serie de servicios diversos en todo el mundo. Todo teniendo en cuenta la latencia y el rendimiento.
Compartiremos muchos más detalles técnicos sobre cómo ofreceremos Magic Transit en las próximas semanas y los próximos meses.
Magic Transit reduce el costo total de propiedad
Los servicios de red tradicionales no son económicos; requieren una alta inversión de capital inicial, inversión en personal que se encargue de las operaciones y contratos de mantenimiento constante para mantener la funcionalidad. Del mismo modo que nuestro producto tiene como objetivo lograr una disrupción técnica, también queremos generar un cambio significativo en las estructuras de costos de la red tradicional.
Magic Transit se entrega y se factura como un servicio. Usted paga por lo que usa y puede agregar servicios en cualquier momento. Su equipo le agradecerá por la facilidad de gestión; su administración le agradecerá por la facilidad de contabilización. ¡Eso es algo bueno para nosotros!
Magic Transit está disponible hoy
Hemos trabajado arduamente durante los últimos nueve años para que nuestra red y nuestras herramientas de administración funcionen como el servicio que ofrecemos hoy. Estamos encantados de que las herramientas que utilizamos todos los días estén en manos de los clientes.
Esto hace que nuestro nombre se extienda. Cuando mostramos esto a los clientes, la palabra más usada era “vaya”. Cuando les pedíamos que nos explicaran qué querían decir exactamente con esa expresión, casi todos decían: “Es mucho mejor que cualquier otra solución que hayamos visto. ¡Es una especie de magia! De modo que es natural, aunque un poco vulgar, que llamemos a este producto por lo que es: Magic Transit.
Creemos que es bastante mágico, y pensamos que también lo será para usted. Comuníquese con nuestro equipo de ventas empresarialeshoy mismo.