Categories
General Security

API's: In the breach of Cloud security

Cada minuto de cada día se presenta la posibilidad de producirse un contratiempo que comprometa nuestra información. Una de las preocupaciones más relevantes al utilizar infraestructura Cloud reside en el grado de seguridad que nos pueden proporcionar los proveedores, a pesar de las significantes ventajas que este nos ofrece, como el pago por uso. En todo momento pasamos a “confiar” información sensible de nuestra propia empresa o incluso de clientes a terceros. Cuando evaluamos los niveles de seguridad debemos tener muy presentes, entre otros,  la seguridad en la interfaz o APIs.
Cloud Security Alliance (CSA) hace hincapié en la atención que le debemos prestar a las interfaces o APIs que los proveedores ponen a nuestro alcance. Para ello le dedica un punto en su reporte anual sobre las brechas de seguridad más notables. El uso de APIs inseguras puede exponernos a diversos riesgos relacionados con la confidencialidad, integridad, disponibilidad y “accounting”. Mientras los proveedores deben poner grandes esfuerzos en la securizar sus APIs, nosotros como consumidores de estos servicios es imprescindible analizar con nuestros propios medios para llegar a conocer sus debilidades y sus puntos fuertes. Un buen punto de partida puede ser el listado (Web Services Security Checklist) que nos proporciona Gunnar Peterson en su blog. También muy recomendable la lectura de los siguientes artículos

Con la proliferación de servicios desarrollados e integrados en el cloud es imprescindible que tomemos seriamente este punto, con el objetivo de evitar que aparezcan en el próximo listado de brechas de seguridad Cloud de CSA. Mientras la mayoría de proveedores siguen luchando para proporcionar una seguridad en sus APIs, integrada en todos los modelos de los servicios que nos ofrecen, es crítico que como consumidores entendamos las implicaciones de seguridad asociadas al uso, gestión, mantenimiento y monitorizaciónq que estas interfaces significan dentro los servicios cloud que adquiramos. Aunque no debemos morir con la idea en la cabeza de que todo lo relacionado con el cloud es inseguro 😉
If you think the cloud isn’t secure you’re dead wrong
Ivan Farré

Categories
DCIM General OpenSource

Exprimiendo la infraestructura TIC con OpenNebula

 
Durante los últimos tiempos en el campo de la computación se ha estado hablando mucho del fenómeno del ‘Cloud Computing’. Entre las posibles consecuencias de la implantación de este nuevo modelo, organizaciones con un presupuesto ajustado pueden acceder a escenarios con servicios en alta disponibilidad distribuidos en zonas geográficas dispersas, así como pagar por uso o como mínimo intentarlo.
En el caso de las redes académicas y de investigación como RedIRIS, dónde la mayoría de las instituciones conectadas (Universidades, Centros de Investigación, …) se caracterizan por disponer de grandes y a la vez complejos sistemas de información, la adopción de esta nueva tendencia no está ni mucho menos extendida. Observando este escenario, no se ha de caer en la tentación de pensar que esto no va con nosotros y que esta “moda” será pasajera, sino que es necesario verlo como una oportunidad para hacer evolucionar nuestras arquitecturas de sistemas alineándolas a esta nueva tendencia.
En el caso del CESCA, como proveedor de servicios TIC desde la capa de infraestructura hasta la de aplicación, ha apostado por un escenario de alta disponibilidad basado en OpenNebula, utilizando sus capacidades más avanzadas como las zonas de servicios de IaaS (oZones), las cuáles facilitan capacidades de distribución geográfica, pudiendo incluso llegar a tener diferentes zonas en diferentes centros de datos. Delante de esta situación es importante remarcar que este cambio ha hecho que tanto administradores de sistemas cómo desarrolladores tengan en cuenta este nuevo diseño.

ozones-arch-v3.4

El nuevo papel de los Centros de Respaldo

En comparación con el modelo clásico, dónde el entorno de contingencia es dedicado y en la mayoría de casos se encuentra infrautilizado por naturaleza, nuestra propuesta es la de disponer de zonas en un modelo activo/activo que tanto pueden contener servicios productivos como de contingencia.
El nuevo papel de los centros de respaldo pasa por ofrecer varias instancias del servicio de infraestructura en diferentes centros de datos, así como las herramientas necesarias para la gestión de la infraestructura enfocándose en las necesidades de los servicios/aplicaciones.
En el caso de OpenNebula tenemos soporte para múltiples zonas pudiendo gestionar varias instancias des de un mismo punto. En el CESCA, actualmente disponemos de dos zonas, las cuales son accesibles a través de una sola interfaz de gestión en alta disponibilidad o incluso de manera independiente.
 

Los servicios como principales beneficiarios

En gran medida los cambios citados anteriormente, han provocado que el planeamiento de diseño de las aplicaciones haya cambiado en base a diferentes factores como la situación geográfica, capacidades de auto-escalado, etc. junto con la aparición de nuevas herramientas que ayudan a desplegar y definir servicios de manera “paquetizada”.
Dentro de ese ecosistema de herramientas de gestión de configuración encontramos Puppet, Cheff, Cfengine, etc. las cuales nos permiten la gestión del ciclo de vida de nuestros servicios/aplicaciones que han de ser complementadas con otras que permitan al administrador definir también las necesidades a nivel de infraestructura. En este caso las herramientas con las que se pueden contar son SaltStack, Viapps, etc.
Acceso a las diapositivas http://www.slideshare.net/jguijarroo/jt2013-jguijarro-exprimiendoinfrticconone
Cloudadmin