Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS.
Dictado en la Universidad Simón Bolívar -USB, Lima - Perú, ciclo 2014-2 (agosto/2014).
Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS
1. Seguridad de Redes e Internet
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 03
Infraestructura como servicio -IaaS
2. 2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
El padre de la inteligencia artificial, John
McCarthy , dijo en 1961 que “si los equipos
del tipo que he defendido se convierten en las
computadoras del futuro, entonces algún día
la computación podrá organizarse como un
servicio público al igual que el sistema
telefónico es un servicio público [...] la
computadora como servicio básico podría
convertirse en la base de una industria nueva
e importante” [cursivas añadidas]. Esta es
una referencia, de las más antiguas,
relacionadas con el paradigma de servicio
que promulga la computación en nube.
Modelos de negocio
Cambios tecnológico fundamentales
Cambios en el perfil de la fuerza laboral
3. 3
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Web apps
Prosumidores (consumidores y productores de información).
Web 3.0
Web semántica información y no solo datos; interpretar datos
“Una de las razones por las que no debes usar aplicaciones web para tus tareas
de TI, es que pierdes el control. Tú debes estar en condiciones de realizar tus
propias tareas en tu propio PC, en un programa amante de la libertad. Si usas
un programa propiedad de un proveedor, o el servidor Web de otra persona,
entonces quedas indefenso…el cloud computing es una trampa”. (Richard
Stallman, de la Free Software Foundation y el proyecto GNU)
Cloud computing es una plataforma altamente escalable que promete un
acceso rápido al recurso hardware o software y donde el usuario no necesita
ser experto para su manejo y acceso.
Our world has become mobile, connected, interactive, immediate and fluid.
(HP)
4. 4
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Ítem 2010 2011 2012 2013
1 Cloud Computing Cloud Computing Media Tablets and Beyond Mobile device battles
2 Advanced Analytics
Mobile Applications and
Media Tablets
Mobile-Centric Applications
and Interfaces
Mobile applications and HTML5
3 Client Computing
Social Communications and
Collaboration
Contextual and Social User
Experience
The personal cloud
4 IT for Green Video Internet of Things The Internet of Things
5
Reshaping the Data
Center
Next Generation Analytics
App Stores and
Marketplaces
Hybrid IT and cloud computing
6 Social Computing Social Analytics Next-Generation Analytics Strategic Big Data
7
Security – Activity
Monitoring
Context-Aware Computing Big Data Actionable analytics
8 Flash Memory Storage Class Memory In-Memory Computing
Mainstream in-memory
computing (IMC)
9
Virtualization for
Availability
Ubiquitous Computing Extreme Low-Energy Servers Integrated ecosystems
10 Mobile Applications
Fabric-Based Infrastructure
and Computers
Cloud Computing Enterprise app stores
URL
http://www.gartner.com/
it/page.jsp?id=1210613
http://www.gartner.com/it/page.jsp?i
d=1454221
http://www.gartner.com/it/page.jsp
?id=1826214
http://my.gartner.com/portal/server.pt?
open=512&objID=270&mode=2&PageID
=3862698&resId=2335015&ref=QuickSe
arch&sthkw=strategic+technology+tren
ds+2013
Tecnologías estratégicas según Gartner
5. 5
Mg, Ing. Jack Daniel Cáceres Meza, PMP
¿Qué es computación en nube?
Solo marketing hype
Otra moda
Nombre nuevo para viejos servicios
Nube pero no realidad
Otro nombre para Web 2.0
Modelo de autoservicio
Modelo de inseguridad
Service oriented architecture (SOA) - define la utilización de servicios para dar
soporte a los requisitos del negocio (exposición e invocación /proveedor y
consumidor de servicios). Implica una orquestación _____.
Entre 2009 y 2014 el mercado de la computación en la nube se multiplicará
casi por tres, hasta llegar a un volumen cercano a los 150 mil millones de
dólares anuales. (Gartner)
Es tanto una experiencia del usuario como un modelo empresarial.
6. 6
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Computación en nube -¿puntos de vista?
Vídeo
Un overview sobre cloud computing
(https://www.youtube.com/watch?v=M0rWkjsK1yM)
Vídeo
Qué es la Nube
(https://www.youtube.com/watch?v=keLdVa9CLE0)
Vídeo
Qué es la nube y cómo funciona
(https://www.youtube.com/watch?v=PihhJcfmtiA)
8. 8
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Cloud Computing
La Computación en Nube (Cloud Computing) promete acelerar
la implementación de aplicaciones, aumentar la innovación y
minorizar los costos al mismo tiempo que incrementa la
agilidad de negocio. También puede transformar la manera en
que diseñamos, construimos y ofrececemos aplicaciones.
(Oracle)
En IBM concebimos Cloud Computing como un modelo de
aprovisionamiento rápido de recursos TI que potencia la
prestación de servicios TI y servicios de negocio, facilitando la
operativa del usuario final y del prestador del servicio. Además
todo ello se realiza de manera fiable y segura, con una
escalabilidad elástica que es capaz de atender fuertes cambios
en la demanda no previsibles a priori, sin que esto suponga
apenas un incremento en los costes de gestión. (IBM)
¿Expectativas?
9. 9
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Cloud Computing
With cloud computing, organizations like yours need to understand where and
how technology services can benefit from cloud solutions. You can combine
cloud computing with your traditional IT Infrastructure to create an IT model
that is best for you. You can deliver IT services from a public cloud, private
cloud or a flexible hybrid delivery model as you become an Instant-On
Enterprise. (HP)
Cloud computing is a model for enabling convenient, on-demand network
access to a shared pool of configurable computing resources (e.g., networks,
servers, storage, applications, and services) that can be rapidly provisioned and
released with minimal management effort or service provider interaction. This
cloud model promotes availability and is composed of five essential
characteristics, three service models, and four deployment models. (NIST)
¿Pay-as-you-use/go?
10. 10
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Cloud Computing –visión NIST
11. 11
Mg, Ing. Jack Daniel Cáceres Meza, PMP
2011: Gartner predicts that
the most transformational
technologies included in
the Hype Cycle will be the
following: virtualization
within two years; Big Data,
Cloud Advertising, Cloud
Computing, Platform-as-a-
Service (PaaS), and Public
Cloud computing between
two and five years; and
Community Cloud,
DevOps, Hybrid Cloud
Computing and Real-time
Infrastructure in five to ten
years.
13. 13
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Preguntas subyacentes
¿En qué se apoya el modelo?
¿Qué tipo de proveedor está mejor preparado para proveer servicios
en nube?
¿Fallos?
14. 14
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tipos de nube y niveles de calidad de servicio
Fuente: Hitachi
15. 15
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Security issues
1. Gartner:
Privileged user access
Regulatory compliance
Data location
Data segregation
Recovery
Investigative support
Long-term viability
2. Dimension Data:
Private IP addresses for cloud servers -should
be routable between cloud networks
Client-to-site VPN connectivity -site-to-site VPN
tunnel
Full control over the login credentials -assign
role-based permissions
All administrative actions should be logged
¿Nos interesa?
• Seguridad de la red
• Acceso seguro de
usuarios
• Cumplimiento regulatorio
• Seguridad de la máquina
virtual
• Seguridad de los datos
• Recuperación ante
desastres
• Continuidad del negocio
• Seguridad física
…
16. 16
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Política de seguridad –moldeada por:
El tipo de servicio de nube que el proveedor hospeda: Software as a Service
(SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
Si es pública o privada.
Cuánto control tiene el consumidor sobre los sistemas operativos, el hardware
y el software.
Cómo se aplican las políticas de umbral de solicitudes de usuarios, recursos y
datos a cada tipo de servicio de nube.
Cuáles cambios en el comportamiento proactivo de la aplicación ocurrieron
para que una aplicación interna funcione bien y esté protegida en la nube.
Si el proveedor es interno y está dentro de un centro de datos controlado por
la organización, o si está hospedado externamente por algún miembro de la
industria de las telecomunicaciones.
El tipo de consumidor que representa es amplio — como comercio minorista,
energía y servicios públicos, mercados financieros, atención sanitaria o
productos químicos o petróleo.
17. 17
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Seguridad
De la Información
Disponibilidad
Integridad
Confiabilidad
Informática
Activos (de información)
Controles
Sentido común
Tecnología
Personas
Procesos
NTP ISO/IEC 27001
• Se denomina activo a
aquello que tiene algún
valor para la
organización y por tanto
debe protegerse.
• De manera que un
activo de información es
aquel elemento que
contiene o manipula
información.
18. 18
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tendencias
La pregunta, entonces, no es si se deben o no implementar
operaciones en la nube. La pregunta en todo caso es cuáles son las
variables a tomar en cuenta para que la implementación ofrezca el
máximo rendimiento.
Los CIO inteligentes llegarán a reconocer que su nueva función es
gestionar la infraestructura, y no los bienes.
Cada CIO debe evaluar los sistemas existentes y llegar a un plan para
reducir su propio costo, ya sea mediante la sustitución con una
aplicación SaaS o contratando las operaciones de “outsourcing” a un
proveedor más barato.
La postnube va a generar una organización de TI que se basará
principalmente en PaaS, con una organización interna o externa para
administrar la funcionalidad subyacente y la infraestructura.
Marcelo Lozano, PCWorld
19. 19
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelo de prestación de servicios
20. 20
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Anatomía de una nube
La computación en nube es una solución integral en la cual todos los
recursos informáticos (hardware, software, sistemas de redes,
almacenamiento, etc.) son brindados a los usuarios de manera rápida
según lo que determina la demanda. Los recursos o servicios que se
brindan son controlables a fin de asegurar cuestiones tales como la alta
disponibilidad, la seguridad y la calidad. El factor clave para estas
soluciones es que poseen la capacidad de ser escaladas de manera
ascendente y descendente, de manera que los usuarios obtengan los
recursos que necesitan: ni más ni menos.
Software
como
servicio -
SaaS
Plataforma
como
servicio -
PaaS
Infraestructura
como servicio -
IaaS
21. 21
Mg, Ing. Jack Daniel Cáceres Meza, PMP
IaaS
Actualiza Twitter o Facebook? Adiciona fotos a Flickr? Usa Yahoo para
su correo electrónico? Usted está utilizando la nube. La mayoría de
nosotros ya confía en la nube para los datos sensibles.
¿Cuál es la base?
Servidores
Virtualización
Red de datos
Almacenamiento
Comunicaciones
Telecomunicaciones
Data loss prevention
Trazabilidad
…
• Tamaño del centro de datos
• Cifrado, PKI
• Canales seguros
• Capacidad de los canales
• La nube es para todos, pero
no para todo
• La nube no es Internet
• Estándares
• Políticas de privacidad
• La nube no roba puestos de
trabajo de TI
consideraciones
HP CI-MM: Convergence Infrastructure Maturity Model
22. 22
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Esquema del modelo nube
Infraestructura Hardware
Plataforma Aplicación
informática
Software
Programa informático
Lo que se
consume
Con lo que se
construye
A donde se
migra
Vídeo: ¿Qué es iaaS? y cómo funciona
(https://www.youtube.com/watch?v=IVZiIVNm9RE)
23. 23
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Fuente: elaboración propia
26. 26
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelos
Separate System
Approach
Dedicated Server for
each customer
Excellent customer
isolation
Expensive to the service
provider because of
dedicated hardware
Difficult for service
provider to manage
COST: High
SECURITY: Good (Low
Risk)
27. 27
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelos
Shared Tenet Approach
Customers share
hardware and run off a
single software image
Inexpensive and easy to
manage for the service
provider
Poor isolation of one
customer from another
Poor security, increased
risk
COST: Low
SECURITY: Poor (High
Risk)
28. 28
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Modelos
Virtual Machine Approach
Dedicated virtual
machine for each
customer (and ideally
dedicated CPU)
Excellent customer
isolation
Much less expensive
and easier to manage
for the service provider
than dedicated
hardware
COST: Low
SECURITY: Good (Low
Risk)
29. 29
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Características IaaS
Los recursos se distribuyen como un servicio
Permite el escalamiento dinámico
Tiene un costo variable, modelo de pago por uso
Particularmente útil:
Cuando la demanda es muy volátil
Para las nuevas organizaciones sin capital para invertir en hardware
Cuando la organización está creciendo rápidamente y la escala de hardware sería
problemática
Necesidad de limitar el CAPEX y mover a OPEX
Para la línea de negocio concreta, el juicio o las necesidades de infraestructura de
carácter temporal
Dónde IaaS puede no ser la mejor opción:
Cuando el cumplimiento normativo hace que la deslocalización o externalización
de almacenamiento de datos y el procesamiento de difícil
Cuando se requiera que los más altos niveles de rendimiento, y en las instalaciones
o infraestructura organizada dedicada tiene la capacidad de satisfacer las
necesidades de la organización
30. 30
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Para establecer la arquitectura debemos responder:
¿Qué servicios prestará o adquirirá?
IaaS
¿Cómo creará y prestará los servicios?
Herramientas, los procedimientos y el gobierno
requeridos para planificar, definir, catalogar,
configurar, entregar, monitorear, medir, facturar y
realizar informes sobre los servicios entregados en
nube.
¿Cómo accederán los usuarios a los servicios?
Un catálogo de los servicios que les permita a los
usuarios finales seleccionar, ordenar y configurar los
servicios brindados en nube es un componente
esencial de una arquitectura en nube. Además, para
las nubes privadas, la arquitectura debería abordar la
provisión de una consola operativa para la entrega de
los servicios y los gerentes operativos.
31. 31
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Servidores
Redes
Firewalls
Balanceadores
Almacenamiento
…
Escritorios
32. 32
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Cloud bursting
Modelo de implementación de
aplicaciones en el que una aplicación
se ejecuta en una nube privada o
centro de datos y “estalla” en una
nube pública cuando se requiere
mayor capacidad de computación
que la provista.
Sugerido para aplicaciones no
críticas que manejan información no
sensible (no PCI Security Standards
Council compliant).
Funciona mejor para las aplicaciones
que no dependen de una
infraestructura de entrega de
aplicaciones complejas o integración
con otras aplicaciones, componentes
y sistemas internos para el centro de
datos.
• Posible incompatibilidad
entre los diferentes
ambientes y la
disponibilidad limitada
de herramientas de
gestión.
• Latencia de la
comunicación.
• Manejo de la seguridad.
33. 33
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Cloud balancing
Is the routing application
requests across applications
or workloads that reside in
multiple clouds.
It assumes that all instances
of the application deployed
in the various clouds are
accessible at all times.
Conjunto de
circunstancias
en el que se
produce un
hecho
¿Solo eso?
34. 34
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Resource pooling
The provider’s computing resources are pooled to serve multiple
consumers using a multi-tenant model, with different physical and virtual
resources dynamically assigned and reassigned according to consumer
demand.
Applications and virtual machines are provisioned automatically while
resources are pooled and delivered on-demand according to business-
driven policies, letting you build a self-managing virtual infrastructure for
increased efficiency and agility.
35. 35
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
Elasticidad: capacidad de escalar-reducir tu sistema por demanda -y
hacerlo en tiempo récord.
Virtualización:
De recursos: tecnología que a partir de hardware físico permite ofrecer
máquinas (“trozo” de CPU + “trozo” de memoria del hardware físico) y/o
almacenamiento virtual (“trozos” de disco duro físico) en cuestión de
minutos y por lo tanto ofrece la flexibilidad de añadir o disminuir recursos
en tu infraestructura según tus necesidades.
De plataforma: simulación/emulación de un hardware completo (APIs,
kernel, máquina virtual JAVA).
36. 36
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Tipos de hipervisor (virtual machine monitor –VMM)
Tipo I
(unhosted, bare
metal o nativo)
Tipo II
(hosted)
VMware vSphere™ ESXi
XEN, KVM
Citrix XenServer
Microsoft Hyper-V
Oracle VirtualBox
QUEMU, WINE
VMware Workstation
VMware Server
Máquina Virtual Java
Máquina virtual .NET
Microsoft Virtual Server
•Mayor
rendimiento
•Mayor
robustez
• Facilidad de
instalación y
configuración
• Garantía de
acceso al
hardware
físico
RAM
HDD
Intel VT-x / AMD-V
37. 37
Mg, Ing. Jack Daniel Cáceres Meza, PMP
En qué apoya la virtualización
Consolidación de recursos
Ahorros energéticos –Green IT
Uso mejorado de la infraestructura de la tecnología de la informática (mayor
índice de utilización, ahorro de espacio, reducción de costos operativos, …)
Recuperación de desastres
Continuidad del negocio
Aislamiento
Mejorar las técnicas de redundancia y clusterización
Seguridad
Flexibilidad
Agilidad
Mantenimiento centralizado
Portabilidad
…
39. 39
Mg, Ing. Jack Daniel Cáceres Meza, PMP
Consideraciones
The hypervisor –IaaS software
Low level code that runs independent of an operating system, responsible
for taking inventory of hardware resources and allocating said resources
based on demand.
Módulos de núcleo que se ejecutan en el
dominio de control para configurar el
hipervisor.
Módulos de núcleo y los demonios que se
ejecutan en los dominios de E/S y los
dominios de servicio para proporcionar E/S
virtualizada, y módulos de núcleo que se
comunican por medio de canales de dominio
lógico (LDC).
Módulos de núcleo y controladores de
dispositivos que se ejecutan en los dominios
invitados para acceder a dispositivos de E/S
virtualizados y módulos de núcleo que se
comunican por medio de los LDC.
Validación de
firmas de
software,
firmware y
módulos
41. Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
Mg. Ing. Jack Daniel Cáceres Meza, PMP
jack_caceres@hotmail.com