Categories
General

¿Hacia dónde volaran las nubes en 2014?

Es el momento del año para hacer balance de como ha ido el 2013 y hacer previsiones para este 2014 que empezará en breve. También es el momento del año en el que muchos nos ponemos hacer predicciones sobre los temas más calientes que nos pueden afectar, desde cloudadmins no vamos a ser menos y repasaremos a continuación las posibles tendencias que pueden revolucionar el sector TIC en 2014.

  •  NFV & SDN (Network Functions Virtualisation & Software Defined Networks) SDN se está posicionando como solución de entornos productivos cada vez más flexibles, eficientes y altamente programables, es el caso de iniciativas abanderadas por OpenStack y OpenDaylight Projects. Al mismo tiempo es posible que NFV gane importancia y dirija nuevas funcionalidades en nuestros ISP permitiendo administrar los servicios dentro del cloud, reduciendo drásticamente costes e incrementando su agilidad. Estas pueden ser las tecnologías más disruptivas del próximo año.
  • Big Data: el uso de dispositivos BYOD y la explosión de contenido multimedia de altas prestaciones esta causando grandes retos en el ámbito del almacenamiento de datos y como definir su estrategia. En 2014 debemos preguntarnos cuestiones fundamentales sobre los volumen de datos ¿Cuáles son los objetivos de la arquitectura de almacenamiento? ¿Estamos almacenando los datos correctos y de forma adecuada? ¿De que modo les podemos sacar el mayor provecho? ¿Pueden ir de la mano con técnicas de BI (Bussines Intelligence) y/o Inteligencia Operacional? Para los que estamos más verdes en este tema la siguiente presentación puede introducirnos y aclararnos el concepto de Big Data: “Runaway complexity in Big Data. And a plan to stop it
  • Private Cloud: Estos últimos años hemos visto en el sector TIC la adopción de forma exponencial de tecnologías Cloud. Nadie duda ya de los beneficios nos aporta: pago por uso, flexibilidad, disponibilidad, etc… pero las preocupaciones en cuanto a la seguridad y privacidad siguen presentes. Aspectos que hacen que muchas organizaciones requieran que se implemente una nube privada, antes de dar el salto hacía proveedores de servicios cloud públicos.
  • LXC & Configuration Management: A estas alturas podemos decir que ya hemos vivido la eclosión de herramientas destinadas a la gestión de la configuración (puppet, chef, salt, etc..) y vemos como emerge una nueva forma de gestionar recursos a través de LXC (containers). Algunas herramientas como puppet ya se han subido al carro, dónde Dockers se posiciona dando solución al nuevo enfoque de los sistemas frente a los restos del “futuro” PaaS.

Para finalizar os dejo una píldora con las mejores herramientas, en el ámbito de la seguridad, de este 2014 gracias a Team Cymru. Buen despegue de año!

Categories
General Security

API's: In the breach of Cloud security

Cada minuto de cada día se presenta la posibilidad de producirse un contratiempo que comprometa nuestra información. Una de las preocupaciones más relevantes al utilizar infraestructura Cloud reside en el grado de seguridad que nos pueden proporcionar los proveedores, a pesar de las significantes ventajas que este nos ofrece, como el pago por uso. En todo momento pasamos a “confiar” información sensible de nuestra propia empresa o incluso de clientes a terceros. Cuando evaluamos los niveles de seguridad debemos tener muy presentes, entre otros,  la seguridad en la interfaz o APIs.
Cloud Security Alliance (CSA) hace hincapié en la atención que le debemos prestar a las interfaces o APIs que los proveedores ponen a nuestro alcance. Para ello le dedica un punto en su reporte anual sobre las brechas de seguridad más notables. El uso de APIs inseguras puede exponernos a diversos riesgos relacionados con la confidencialidad, integridad, disponibilidad y “accounting”. Mientras los proveedores deben poner grandes esfuerzos en la securizar sus APIs, nosotros como consumidores de estos servicios es imprescindible analizar con nuestros propios medios para llegar a conocer sus debilidades y sus puntos fuertes. Un buen punto de partida puede ser el listado (Web Services Security Checklist) que nos proporciona Gunnar Peterson en su blog. También muy recomendable la lectura de los siguientes artículos

Con la proliferación de servicios desarrollados e integrados en el cloud es imprescindible que tomemos seriamente este punto, con el objetivo de evitar que aparezcan en el próximo listado de brechas de seguridad Cloud de CSA. Mientras la mayoría de proveedores siguen luchando para proporcionar una seguridad en sus APIs, integrada en todos los modelos de los servicios que nos ofrecen, es crítico que como consumidores entendamos las implicaciones de seguridad asociadas al uso, gestión, mantenimiento y monitorizaciónq que estas interfaces significan dentro los servicios cloud que adquiramos. Aunque no debemos morir con la idea en la cabeza de que todo lo relacionado con el cloud es inseguro 😉
If you think the cloud isn’t secure you’re dead wrong
Ivan Farré

Categories
General Security Social

Does SECaaS save money?


Como dice el título, ¿delegar la seguridad del departamento TI puede incrementar los beneficios de una empresa? De ello nos intentaron convencer en el evento Cloud Security 2013 que se llevo acabo a principios de Febrero gracias SVT CloudServices. En él Josep Bardallo, CEO de SVT, nos presento la compañía y nos mostró el punto de vista de SVT sobre el estado actual de la seguridad en la nube, también conocido como SECaaS. Un interesante análisis de aproximadamente 10 minutos que podéis ver a partir del minuto 20 en el siguiente vídeo.
Además contó con la participación de varias empresas que dieron a conocer casos de éxito al utilizar productos Cloud de SVT. En todos ellos se enfatizaba el hecho de que confiar en las soluciones de SEECaaS les había permitido dedicar todos sus esfuerzos a lo que realmente sabían hacer. Interesante el caso de Roberto Lorente, responsable de sistemas de unos laboratorios farmacéuticos, en el que narra los conflictos que le había generado la LOPD, entre otros, para adquirir este tipo de servicios en su aparición. También pudimos conocer de primera mano, por parte de Pau García Milà, del próximo lanzamiento de eyeOS. 
En este evento de SVT, como proveedor de servicios SEECaaS, se destaco el hecho pago por uso como ventaja frente al pago de licencias por usuario o equipo, como una de las principales ventajas frente a otros proveedores de servicio. Sin dejar a un lado los otros beneficios de flexibilidad, agilidad y escalabilidad que se derivan de utilizar este tipo productos.
Finalmente presenciamos una demostración hacker en directo bastante decepcionante. Nos mostraron como con técnicas muy sencillas (google hacking, sql injection básico,  traceroute…) se puede llegar a obtener información critica además de algunas de los productos que ofrece, Cloudjacket.  También echamos de menos un turno preguntas, sobre todo en esta última parte.