Computación en la nube.

Esta vez nos vamos a enfocar en un concepto que todos debemos tener claro cuando estamos en el área de la informática, esto es la computación en la nube.

Lo mas probable es que a este punto escucharas muchas veces la frase “déjalo en la nube”, ¿Pero que es la nube?… pues prepárate para una píldora de conocimiento desde lo mas oscuro de la informática… ¿listo?

La nube no existe, es solo el computador de alguien más.

Sin embargo, el concepto de Computación en la nube va mucho mas allá, profundicemos un poco.

Modelos de servicio

En la nube existen 3 tipos de modelos de servicio y como te imaginas, como todo en la informática, tiene sus propias siglas para hacerlo ver mas complicado de lo que es, pero no te desanimes… ¡vamos por ello!

Antes de todo… ¿Qué es un servicio?

Para evitar complejas definiciones, solo piensa en los servicios que recibes en tu hogar

• Agua
• Energía
• Internet

Ninguno de esos servicios que recibes los produces por ti mismo, no necesitas tener una represa, maquinas hidroeléctricas o tirar fibra óptica por toda tu ciudad para que lleguen a tu hogar, y aún más importante, no tienes que pagar el sobre costo de producir mas de lo que piensas consumir.

SaaS (Software as a Service)

Si naciste en los 80s o 90s probablemente recuerdes (Los Millennials pueden sorprenderse en este momento) la mayoría del software que se usaba NO requería conexión a internet para funcionar, instalábamos el software en el PC y funcionaban.

Sin embargo, todo esto era con el sacrificio de los recursos de la maquina en la que corría el software, el desgaste era demasiado y ni hablar cuando necesitabas enviar datos de una maquina a otra…

El software como servicio soluciona este problema, por ejemplo, al usar tu correo electrónico, no tienes la necesidad de mantener los servidores que van a almacenar los documentos, fotos y texto que has recibido y en ningún momento tu equipo está recibiendo la carga computacional de correr esto por 24 horas. En ese momento estas consumiendo un SaaS.

PaaS (Platform as a Service)

En este caso se ofrece la posibilidad de una plataforma para generar soluciones personalizadas, pero con todo el soporte en la nube. ¿Extraño?, bueno en palabras mas simples, piensa en un desarrollador que necesita toda una plataforma para generar un programa de manera rápida y con acceso al proyecto donde sea que vaya y todo esto sin la necesidad de configurar su ambiente en cada terminal que usa.

Un buen ejemplo de un PaaS puede ser el Google App Engine, chécalo y te dará una idea rápida y clara de lo que es un Plataforma en la nube como servicio.

IaaS (Infrastructure as a Service)

Si has conectado los servicios hasta ahora te darás cuenta que estamos viajando desde lo mas cercano al usuario hasta lo mas profundo de una solución común del mercado. ¿Y qué es lo que está al fondo de todo servicio de computo? La infraestructura, es decir, almacenamiento, redes, firewall y todo aquello físico que te puedas imaginar.

Un claro ejemplo de un IaaS o Infraestructura como servicio para esta época es la tan de moda minería de criptomonedas, si bien puede ser bastante costoso comprar, mantener, refrigerar esa cantidad tan exagerada de GPUs para conseguir una capacidad respetable de computo que permita minar una moneda, existen varias soluciones en la nube para contratar la infraestructura para este fin.

Modelos de despliegue

Ahora un punto importante a tener en cuenta es la manera en que podemos desplegar estos servicios, y existen 2 modelos principales y algunas variaciones

Nube privada

Cuando todo el conjunto de infraestructura de la nube la opera una sola organización y no es compartida con nadie.

Nube publica

Cuando la plataforma esta disponible para todo el público.

Nube comunitaria

Este tipo de despliegue es cuando un grupo de organizaciones con objetivos en común deciden compartir una infraestructura… inclusive podríamos decir que es “semi-privado”.

Nube HÍBRIDA

Esta es especial, ya que nos introduce a otro concepto que todos aman nombrar “cloud bursting”, en palabras sencillas, es cuando se tiene una nube privada y en caso de necesitarlo, por picos de utilización inesperada o eventos específicos, se complementa con una nube pública.

Si aun no te queda claro, vamos a suponer que tienes un servidor en la nube totalmente privado que siempre soporta 10 usuarios concurrentes (al mismo tiempo y activos en tu aplicación), pero sabes que en época de viernes negro puedes recibir unos 500 usuarios, esto puede ser solucionando usando para algunas tareas una nube publica, que será mucho más económica y te permitirá solo por ese día soportar esa carga extra.

3 ventajas principales de la nube

1. Sus precios: los servicios en la nube te permiten reducir los costos de, comprar, cambiar y mantener, si pasas a la nube y pones cuidado especial a los acuerdos de nivel de servicio, podrá entender que ellos deben encargarse del mantenimiento y actualización de los equipos, tu solo pagas lo que consumes.
2. Disponibilidad: La mayoría de estos servicios te prometen una disponibilidad entre el 95% y el 99.9%, lo que te da la tranquilidad de que tus clientes, empleados o amigos encontraran tu servicio arriba.
3. Preservar la información: Una de las grandes ventajas de usar la nube es que, en su gran mayoría, debido a su capacidad, la información esta ubicada no solo en diferentes discos, listos para recuperar la información, sino que están ubicadas en algunos casos en diferentes puntos geográficos, lo que te dará una capa extra de seguridad ante un desastre natural.

3 limitaciones de la nube

1. Tiempos de mantenimiento: Si bien estos servicios te dicen que estarán un 99.9% del tiempo arriba, si lees la letra pequeña, te das cuenta que existen algunos apagones programados destinados al mantenimiento de los servicios y siempre que sea un apagón programado, no puede ser considerado dentro del 99.9% que te prometen.
2. Cambios en los Acuerdos de Nivel de Servicio: Como no es secreto para ninguno de nosotros, estos servicios cambian de vez en cuando y según su conveniencia los términos de su servicio y si no son aceptados, no puedes continuar usando sus servicios.
3. Seguridad: Acá es donde a la mayoría de ustedes querían llegar, pues la noticia es sencilla, ellos deciden que harán su mejor esfuerzo, pero recordemos que la seguridad informática en su gran mayoría es reactiva, ya que evitar todos los ataques es totalmente imposible, por lo tanto, ellos no se hacen 100% responsables de la seguridad de estos servicios. Aunque si estas en este blog, probablemente ya tengas claro que la seguridad es una ilusión.

¿Qué tener en cuenta antes de migrar a la nube?

1. Recuerda que es el computador de alguien más… ¿confías en ese 3 con toda tu información?
2. Acuerdos a nivel de servicio: Aunque la mayoría prefieren no leerlos y solo darle aceptar, si estas pensando en pro de tu compañía, lo mejor es que revises esto con tu abogado y vean si sus acuerdos son compatibles con el interés de tu compañía.
3. Tipo de despliegue ¿Qué quieres vs que puedes costear? ¿Nube publica? ¿Nube privada?
4. Tiempos de transición: ¿Cuánto tiempo tomara que migres el servicio a la nube? ¿Qué impacto puede tener en tu organización dicha transición?
5. Seguridad: ¿Qué tan personalizada deseas que sea tu seguridad? ¿Qué tan confiable son los profesionales trabajando al otro lado de la nube?
6. ¿Realmente la tecnología soporta el cambio? Una de las cosas que mas se pasa por alto con estas soluciones debido a los deslumbrantes vendedores que tienen… primero pregúntate si realmente la tecnología que usas actualmente esta preparada para tal cambio, incluso si estas usando plataformas he infraestructura, ¿has pensado que cuando baje de la nube puede fallar de manera ejemplar?

Si la nube es buena o mala, depende de tu negocio o intención, siempre antes de tomar cualquier decisión se debe pedir el consejo de los expertos.

Pero regresando a lo que nos gusta… la seguridad, hay una gran cantidad de aplicaciones que te encontraras en la nube listas para que los Red y Blue Team’s, pongan a prueba, así que espero que esta “breve” introducción te sirva para comenzar tus investigaciones de seguridad en el área.

Fuente: https://www.ephorsec.org/