¿Qué es una nube privada virtual?

Una VPC permite a una empresa definir y controlar una red virtual que está lógicamente aislada de todos los demás inquilinos de la nube pública, creando así un espacio privado y seguro en la nube pública.

Imagine que la infraestructura de un proveedor de la nube es un edificio de departamentos residenciales donde viven varias familias. Ser inquilino de una nube pública es similar a compartir un departamento con algunos compañeros de cuarto. Por el contrario, tener una VPC es como tener su propio condominio privado, nadie más tiene la llave y nadie puede entrar en el espacio sin su permiso.

El aislamiento lógico de una VPC se implementa mediante funciones de red virtual y características de seguridad que brindan a un cliente empresarial un control detallado sobre qué direcciones IP o aplicaciones pueden acceder a recursos particulares. Esta función es análoga a los controles "solo para amigos" o "públicos/privados" en las cuentas de redes sociales que restringen quién puede o no ver sus publicaciones públicas.

La VPC entra en la categoría de infraestructura como servicio (IaaS), una de las cuatro soluciones de servicios en la nube más populares, junto con plataforma como servicio (PaaS), software como servicio (SaaS) y sin servidor. Todos los principales proveedores de servicios en la nube ofrecen soluciones de VPC, incluidos Amazon Web Services (AWS), Microsoft Azure, Google Cloud, IBM Cloud, Oracle Cloud Platform y VMware, entre otros.

Las industrias que requieren altos niveles de seguridad, privacidad y control sobre sus datos, como la atención médica, las finanzas y el gobierno, a menudo favorecen las VPC. Según un informe de Future Market Insights, Inc., se prevé que la participación de mercado de la nube privada virtual (VPC) crezca de 38,800 millones de dólares en 2022 a 129,600 millones de dólares en 2032.¹ Los impulsores detrás de este crecimiento incluyen la creciente demanda de una instalación sencilla y soluciones de recuperación ante desastres (DR) de bajo costo y la creciente adopción de la nube privada virtual entre las pequeñas y medianas empresas.¹

Eche un vistazo a este video con Ryan Sumner de IBM Cloud para profundizar en la VPC, su arquitectura y sus beneficios.

Las VPC tienen el enfoque de "lo mejor de ambos mundos" para la computación en la nube. Ofrecen a los clientes muchas de las ventajas de las nubes privadas, al tiempo que aprovechan los recursos y ahorros de la nube pública. Las siguientes son algunas características clave del modelo de VPC:

Las principales características de cada VPC se traducen fácilmente en beneficios que ayudan a su empresa a lograr agilidad, mayor innovación y un crecimiento más rápido:

• Crecimiento empresarial flexible: dado que los recursos de infraestructura en la nube, incluidos los servidores virtuales, el almacenamiento en la nube y las redes, pueden desplegarse de forma dinámica, los clientes de VPC pueden adaptarse rápidamente a los cambios en las necesidades empresariales.

• Clientes satisfechos: en los entornos comerciales digitales “siempre activos” de la actualidad, los clientes esperan índices de tiempo de actividad de casi el 100 %. La alta disponibilidad de los entornos de VPC permite experiencias en línea confiables que generan la lealtad del cliente y aumentan la confianza en su marca.

• Menor riesgo en todo el ciclo de vida de los datos: las VPC disfrutan de altos niveles de seguridad en cuanto a instancia o subred, o ambos. Esta característica le brinda tranquilidad y aumenta aún más la confianza de sus clientes.

• Más recursos para canalizar hacia la innovación empresarial: con costos reducidos y menos exigencias para su equipo de TI interno, puede centrarse en la consecución de los objetivos empresariales clave y en el ejercicio de las competencias básicas.

Una red privada virtual (VPN) hace que una conexión al Internet público sea tan segura como una conexión a una red privada, al crear un túnel encriptado a través del cual viaja la información. Puede desplegar una VPN como servicio (VPNaaS) en su VPC para establecer un canal de comunicación seguro de sitio a sitio entre su VPC y su entorno on premises u otra ubicación. Mediante una VPN, puede conectar subredes en varias VPC para que funcionen como si estuvieran en una única red.

La nube privada y la nube privada virtual a veces, y por error, se usan indistintamente. Una VPC es en realidad una oferta de nube pública. Una nube privada es un entorno de nube de inquilino único que la empresa posee, opera y gestiona. Se aloja más comúnmente on premises o en un espacio dedicado. Por el contrario, una VPC se aloja en una arquitectura de tenencia múltiple, pero los datos y las cargas de trabajo de cada cliente son lógicamente independientes de los demás inquilinos. El proveedor de la nube es responsable de garantizar este aislamiento lógico.

Una VPC es un concepto de inquilino único que permite crear un espacio privado dentro de la arquitectura de la nube pública. Una VPC ofrece una mayor seguridad que las soluciones tradicionales de nube pública multiinquilino, pero sigue permitiendo a los clientes aprovechar la alta disponibilidad, flexibilidad y rentabilidad de la nube pública. A veces, puede haber diferentes formas de escalar una VPC y una cuenta de nube pública. Por ejemplo, es posible que los volúmenes de almacenamiento adicionales solo estén disponibles en bloques de un tamaño específico para las VPC. No todas las funciones de la nube pública son compatibles con todas las soluciones de VPC.

En una VPC, puede desplegar recursos en la nube, denominados instancias lógicas, en su propia red virtual aislada. Estos recursos en la nube se dividen en tres categorías:

• Cómputo: las instancias de servidor virtual (VSI, también conocidas como servidores virtuales) se presentan al usuario como CPU (vCPU) con una cantidad predeterminada de potencia informática, memoria, etc.

• Almacenamiento: a los clientes de VPC se les suele asignar una cuota determinada de almacenamiento en bloque por cuenta, con la posibilidad de adquirir más. Este modelo de precios es similar a la compra de espacio extra en el disco duro. Las recomendaciones de almacenamiento se basan en la naturaleza de su carga de trabajo.

• Redes: puede desplegar versiones virtuales de varias funciones de red en su cuenta de nube privada virtual para habilitar o restringir el acceso a sus recursos, incluyendo:
  • Puertas de enlace públicas: las puertas de enlace públicas se despliegan para que todas o algunas áreas de su entorno de VPC puedan estar disponibles en el Internet público.
  • Equilibradores de carga: los equilibradores de carga distribuyen el tráfico de red a través de múltiples VSI para optimizar la disponibilidad y el rendimiento.
  • Enrutadores: los enrutadores dirigen el tráfico y posibilitan la comunicación entre segmentos de la red.
  • Enlaces directos o dedicados: las conexiones de red directas o dedicadas permiten comunicaciones rápidas y seguras entre su entorno de TI empresarial on premises o su nube privada y sus recursos de VPC en nube pública.

• Regiones: los proveedores alojan VPC en distintas regiones. Una región es una ubicación geográfica específica en la que pueden desplegarse aplicaciones, servicios y otros recursos. Las regiones constan de una o varias zonas, que son centros de datos físicos que albergan los recursos informáticos, de red y de almacenamiento, con la refrigeración y la energía correspondientes, para alojar servicios y aplicaciones. Las zonas están aisladas entre sí, lo que garantiza que no se produzca ningún punto único de falla compartido dentro de una región.

• Zonas de disponibilidad: una zona de disponibilidad es una ubicación aislada lógica y físicamente dentro de una región de VPC con infraestructuras de energía, refrigeración y red independientes.

• Subredes: una subred es una partición lógica de una red IP que se divide en segmentos de red más pequeños. Estos mecanismos fundamentales dentro de una VPC asignan direcciones IP a recursos individuales (como instancias de servidores virtuales) y habilitan varios controles de estos recursos a través de listas de control de acceso a la red (ACL), tablas de enrutamiento y grupos de recursos. En un entorno de VPC, las subredes actúan como direcciones IP privadas a las que no se puede acceder públicamente a través de Internet.

• Tablas de enrutamiento: cada subred de una VPC debe estar asociada a una tabla de enrutamiento, una colección de reglas o rutas que controlan el tráfico de red para la subred o la puerta de enlace.

• Registros de flujo: los registros de flujo permiten recopilar, almacenar y presentar información sobre el tráfico IP que entra y sale de las interfaces de red dentro de su VPC.

• Servicios del sistema de nombres de dominio (DNS): los servicios DNS asociados con las VPC permiten a los usuarios crear sus propias zonas DNS privadas y registros de recursos DNS. El DNS privado puede mejorar la privacidad y la seguridad en línea cifrando las consultas de DNS y evitando que terceros supervisen la actividad en línea.

La mayoría de las aplicaciones de software actuales están diseñadas con una arquitectura de tres niveles compuesta por los siguientes niveles interconectados.

En una aplicación de tres niveles, toda la comunicación pasa por el nivel de aplicación. Los niveles de presentación y datos no pueden comunicarse directamente entre sí. El nivel de aplicación se comunica con los niveles de presentación y datos mediante llamadas a la interfaz de programación de aplicaciones (API).

Para crear una arquitectura de aplicaciones de tres niveles en una VPC, asigne a cada nivel su propia subred, lo que le proporcionará su propio rango de direcciones IP. A cada nivel se le asigna automáticamente su propia ACL.

En un modelo de nube privada virtual (VPC), el proveedor de VPC garantiza que los datos de cada cliente permanezcan aislados y seguros. Lo logran a través de procedimientos y tecnologías de seguridad en la nube, incluido el aislamiento de red (subredes, redes privadas virtuales (VPN), redes de área local virtuales (VLAN), etc., que ayudan a mejorar la seguridad y controlar el tráfico de red.

Además, las VPC alcanzan altos niveles de seguridad mediante la creación de réplicas virtualizadas de las características de seguridad utilizadas para controlar el acceso a los recursos alojados en los centros de datos tradicionales. Estas características de seguridad permiten a los clientes definir redes virtuales en partes lógicamente aisladas de la nube pública y controlar qué direcciones IP tienen acceso a qué recursos.

Dos tipos de controles de acceso a la red comprenden las capas de seguridad de VPC:

• Listas de control de acceso (ACL): una ACL es una lista de reglas que limitan quién puede acceder a una subred particular dentro de su VPC. Como se mencionó anteriormente, una subred es una parte o subdivisión de su VPC; la ACL define el conjunto de direcciones IP o aplicaciones a las que se concede acceso.

• Grupo de seguridad: con un grupo de seguridad, puede crear grupos de recursos (que pueden estar situados en más de una subred) y asignarles reglas de acceso uniformes. Por ejemplo, si tiene tres aplicaciones en tres subredes distintas y quiere que todas ellas estén orientadas al público de Internet, puede colocarlas en el mismo grupo de seguridad. Los grupos de seguridad actúan como cortafuegos virtuales, controlando el flujo de tráfico hacia sus servidores virtuales, independientemente de la subred en la que se encuentren.

Los distintos proveedores de la nube pueden ofrecer diferentes modelos de precios en sus soluciones de VPC. Es habitual que los recursos individuales de la VPC, como equilibradores de carga, VSI o almacenamiento, se coticen por separado. También son habituales los cargos por transferencia de datos en función del volumen, pero algunos proveedores de la nube no cobran por las transferencias de datos a través de redes privadas.

Determinar el mejor modelo de precios y VPC para satisfacer las necesidades de su empresa empieza por tener en cuenta los requisitos de las aplicaciones que planea desplegar. ¿Consumen muchos recursos informáticos? ¿Necesitarán grandes cantidades de memoria y CPU? ¿O están más equilibradas en cuanto a sus requisitos de CPU, almacenamiento y memoria? Responder a estas preguntas le ayudará a predecir sus necesidades de uso y le permitirá estimar los posibles costos al comparar las opciones.

• Alojamiento de aplicaciones web: aloje aplicaciones web de manera segura y ejerza un mayor control sobre la forma en que el tráfico de red puede llegar a los recursos de su VPC desde Internet.

• Migración a la nube: la VPC proporciona una forma rentable de mover los activos on-prem confidenciales a una nube privada aislada dentro de un entorno de nube pública, lo que garantiza una baja latencia, un tiempo de inactividad mínimo y una sólida seguridad en la nube.

• Estrategia de nube híbrida: una VPC es compatible con la estrategia de nube híbrida actual. Los desarrolladores pueden conectar las VPC a una nube pública o a una infraestructura on premises con una VPN, integrando recursos on-prem, privados y públicos, para crear una infraestructura de TI única, flexible y unificada.

• Despliegue multinube: las VPC también son compatibles con los despliegues multinube al permitir conexiones privadas entre VPC de distintos proveedores de la nube. Las soluciones multinube incluyen tecnologías de código abierto  y nativas de la nube como Kubernetes. También suelen incluir capacidades para gestionar cargas de trabajo en múltiples nubes con una consola central o un único panel.

• Prácticas de DevOps: los entornos de VPC admiten las prácticas de DevOps, lo que acelera la entrega de aplicaciones y servicios de mayor calidad. La automatización de DevOps utiliza herramientas y tecnologías nativas de la nube para realizar tareas rutinarias, acelerando así los flujos de trabajo y todo el ciclo de vida de desarrollo de software.

• Computación de alto rendimiento (HPC): los entornos de VPC ofrecen capacidad de computación de aprovisionamiento rápido con las velocidades de red más altas y los recursos de red definidos por software más seguros para respaldar las necesidades de computación de alto rendimiento (HPC) de industrias altamente reguladas como la financiera y la de la salud, entre otras.

• Cumplimiento normativo y gobernanza de datos: adherirse a los estrictos requisitos normativos y de gobernanza de datos es crítico, especialmente para industrias globales como la del petróleo y el gas. Los proveedores de servicios gestionados de hoy en día para VPC en la nube ofrecen herramientas de seguridad y cumplimiento normativo integradas, así como soluciones de hardware y software para computación confidencial. Las características estándar incluyen opciones de cifrado y controles de residencia de los datos.

• Nubes específicas de la industria: las VPC son un componente ideal de las plataformas en la nube específicas para cada industria, una tendencia creciente entre industrias como la financiera y la sanitaria, que buscan capacidades específicas para el sector que sean seguras y puedan ofrecer resultados empresariales más rápido.

• Recuperación ante desastres para la continuidad del negocio (BCDR): al igual que otros servicios basados en la nube, la recuperación ante desastres para la continuidad del negocio (BCDR) con VPC implica mecanismos para proteger los datos y restaurar las funciones del servicio. Estos incluyen varias herramientas, políticas y procedimientos para restaurar un sistema, aplicación o centro de datos después de una interrupción. Al replicar una infraestructura crucial en una VPC en diferentes regiones, las organizaciones pueden garantizar la BCDR en caso de un desastre (por ejemplo, fallas en los equipos, ciberataques o desastres naturales).

• Computación edge e Internet de las cosas (IoT): a medida que más industrias como la manufacturera y la de venta minorista utilizan dispositivos IoT y edge para conectarse a la nube, surge la necesidad de entornos de nube seguros y escalables como las VPC.