Implementación lógica de NGAF en CuriosityCloud
Implementación Lógica en CuriosityCloud
Introducción
La implementación lógica en CuriosityCloud define la manera en que los recursos y servicios son organizados, segmentados y controlados dentro del entorno del cliente. Esta implementación no depende directamente del hardware físico, sino que se basa en la definición de Tenants, zonas de disponibilidad, agrupación lógica de recursos y políticas de control que permiten una administración granular, escalable y segura.
Elementos Clave de la Implementación Lógica
1. Tenant
Un Tenant en CuriosityCloud representa una entidad lógica aislada que contiene todos los recursos de un cliente, incluyendo instancias, redes, volúmenes, políticas de seguridad, usuarios y permisos. Cada Tenant es completamente independiente de otros, garantizando aislamiento y seguridad entre ambientes.
2. Regiones y Zonas de Disponibilidad
CuriosityCloud está estructurado por regiones geográficas (por ejemplo: México, USA), y cada región puede contener múltiples zonas de disponibilidad. Esto permite crear arquitecturas resilientes, distribuir cargas de trabajo y habilitar escenarios como Disaster Recovery.
3. Grupos de Recursos
Los recursos pueden organizarse en grupos lógicos, lo que permite aplicar políticas, automatizar tareas y segmentar funciones por proyecto, área o función (por ejemplo: producción, pruebas, desarrollo).
4. Etiquetas (Tags)
Las etiquetas permiten clasificar recursos para una mejor trazabilidad, control de costos y automatización. Pueden usarse para definir entornos, responsables, propósitos o cualquier otro criterio que facilite la administración.
5. Políticas de Seguridad y Acceso
La implementación lógica también considera la definición de políticas de seguridad a nivel de red (VPC, NGAF, firewall distribuido), así como roles de usuario, permisos personalizados y agrupación de usuarios para facilitar el control y auditoría.
Casos de Uso Típicos
-
Aislamiento de ambientes (Dev/Test/Prod) mediante Tenants y VPCs separadas
-
Agrupación por unidad de negocio, con tags y grupos de recursos
-
Control de acceso granular, asignando roles y permisos por tipo de usuario
-
Gestión multiregión y multizona para cargas críticas que requieren alta disponibilidad
-
Monitoreo y seguimiento centralizado, segmentando métricas por etiquetas o grupos
Beneficios
-
Escalabilidad: permite crecer en función de la demanda sin reestructuras físicas.
-
Seguridad: garantiza el aislamiento entre entornos, incluso dentro del mismo hardware.
-
Automatización: facilita procesos automatizados basados en etiquetas, políticas y metadatos.
-
Visibilidad: mayor control sobre uso, consumo y seguridad de cada componente.
-
Resiliencia: favorece arquitecturas tolerantes a fallos distribuidas en zonas y regiones.
Requisitos y Consideraciones
-
La correcta planificación lógica es esencial antes de iniciar el aprovisionamiento de recursos.
-
Las etiquetas y agrupaciones deben ser coherentes entre los equipos de infraestructura y finanzas para facilitar la trazabilidad y el control de costos.
-
Las políticas deben mantenerse alineadas a los requisitos de seguridad de la organización.
Este artículo describe los pasos para llevar a cabo la implementación lógica de un NGAF dentro de un Tenant de CuriosityCloud.
Requisitos Previos
-
Tener permisos de Administrador del Tenant.
-
Contar con una licencia válida de NGAF asignada al Tenant.
-
Contar con al menos dos redes (VPC/Subredes): una interna (LAN) y una pública (WAN).
-
Tener preconfiguradas las EIPs (Elastic IP) necesarias para acceso externo.
Pasos de implementación lógica del NGAF
1. Acceso al Tenant
Inicia sesión en el portal de gestión:
🔗 https://console.curiositycloud.com
Navega al Tenant donde deseas implementar el NGAF.
2. Despliegue de NGAF
Desde el menú principal:
-
Ve a Security Products → NGAF → New
-
Completa el asistente de creación:
Parámetros esenciales:
-
Nombre del NGAF: Identificación del firewall.
-
Zona y Región: Selecciona la región donde se desplegará.
-
Tamaño: Basado en la licencia adquirida (por ejemplo:
4 vCPU, 8GB RAM, 400 Mbps). Redes:
-
Zona LAN: Red interna donde residirán las VMs.
-
Zona WAN: Red pública conectada a internet (debe tener EIP asociada).
-
-
Modo de implementación: Escoge modo "Routed" o "Transparent" según arquitectura deseada.
3. Asignación de EIP (si aplica)
En la sección de red WAN, asigna una Elastic IP existente o crea una nueva para habilitar el acceso externo.
4. Reglas de Seguridad Básicas
Una vez creado el NGAF, ingresa al panel de gestión y configura las políticas básicas:
-
Permitir tráfico saliente para HTTP/HTTPS
-
Definir políticas de acceso entrante solo desde rangos autorizados
-
Activar funciones de inspección de tráfico SSL, IPS y antivirus
5. Redirección de tráfico desde VPC
Configura la redirección del tráfico de las VMs internas a través del NGAF:
-
En el apartado de red del Tenant, asigna el NGAF como gateway predeterminado para la subred interna.
-
Esto asegurará que todo el tráfico saliente pase a través del NGAF para inspección y filtrado.
6. Monitoreo y Logs
Accede al tablero del NGAF para visualizar:
-
Eventos de seguridad
-
Análisis de tráfico
-
Logs de acceso
-
Estado de recursos y licencias
7. Activación de servicios avanzados (opcional)
En el módulo de NGAF se pueden activar características adicionales:
-
Filtrado de contenido web
-
Detección de ataques específicos
-
Integración con NGAF Cloud Intelligence para actualizaciones automáticas
Modelo de Licenciamiento de NGAF
CuriosityCloud proporciona NGAF bajo modelos de licencia por capacidad:
| CPU Cores | RAM | Ancho de Banda |
|---|---|---|
| 2 | 4GB | 100 Mbps |
| 2 | 4GB | 200 Mbps |
| 4 | 8GB | 400 Mbps |
| 8 | 16GB | 800 Mbps |
| 8 | 16GB | 1.6 Gbps |
Cada Tenant debe contar con una licencia activa para su instancia NGAF, y podrá ampliarse en función de la demanda de tráfico.
Buenas prácticas
-
Definir zonas de confianza y desconfianza desde el primer momento.
-
Activar inspección SSL para tráfico cifrado.
-
Revisar logs y alertas diariamente.
-
Establecer respaldos periódicos de configuración NGAF.
Related Articles
NGAF (Next Generation Application Firewall) en CuriosityCloud
NGAF (Next Generation Application Firewall) en CuriosityCloud Introducción El Next Generation Application Firewall (NGAF) de CuriosityCloud, basado en la tecnología de Sangfor, ofrece una solución integral de seguridad perimetral que combina ...Seguridad con NGAF (Next Generation Application Firewall) en CuriosityCloud
Seguridad con NGAF (Next Generation Application Firewall) en CuriosityCloud Introducción: La funcionalidad de seguridad NGAF (Next Generation Application Firewall) en CuriosityCloud proporciona un control de tráfico avanzado entre redes virtuales, ...Firewall de VPC en CuriosityCloud
Firewall de VPC en CuriosityCloud ¿Qué es el Firewall de VPC y para qué se utiliza? El Firewall de VPC (Virtual Private Cloud) en CuriosityCloud permite aplicar reglas de control de tráfico norte-sur (entrante y saliente hacia/desde internet o redes ...Políticas de Seguridad (Access Control) en NGAF – CuriosityCloud
Políticas de Seguridad (Access Control) en NGAF – CuriosityCloud Introducción El módulo de Access Control del NGAF (Next Generation Application Firewall) en CuriosityCloud permite implementar políticas de seguridad altamente personalizables que ...Políticas de Seguridad (Security Policy) – NGAF en CuriosityCloud
Políticas de Seguridad (Security Policy) – NGAF en CuriosityCloud Introducción Las Security Policies (Políticas de Seguridad) en el NGAF (Next Generation Application Firewall) de CuriosityCloud representan el núcleo del sistema de control de tráfico ...