Arranca el Camp “Infraestructuras seguras en Azure” del MultiCamp de Tajamar!

El sábado 16 de febrero tuvo lugar en Tajamar el camp sobre como securizar Azure impartido por José María Genzor, Enterprise Team Lead en Plain Conceps. Comenzó con una introducción sobre el TechClub por parte de Víctor Rodilla, staff de este. A continuación, dio paso a José María, quien nos hizo una pequeña introducción sobre la seguridad en Azure y presentando los temas sobre los que iba a tratar el Camp.



En un primer lugar presentó el objetivo del camp, comprender como ha de  diseñarse  una infraestructura básica y segura en la nube, esta vez de manos de la tecnología de Azure (atendiendo a los recursos disponibles).

Y pese a que no era el foco de la sesión, Jose María explicó muchos conceptos del mundo Azure que hay que tener en cuenta, como base.

Por ejemplo, algo muy interesante es el diseño de la estructura conforme a los requerimientos  a la hora de llevar la facturación empresarial y tener un registro  de  consumo de recursos.

Hasta eso hay que tener en cuenta a la hora de estructurar nuestra empresa en la nube.

Un aspecto muy importante que nos permite la nube es la segmentación de redes y el emparejamiento de estas.   



¿Para qué nos puede servir? 

Normalmente, las empresas deciden segmentar la facturación por departamentos, para llevar un mejor control de los costos y administrar el consumo de recursos de estos.

En Azure, cada cliente puede tener todas las subscripciones que quiera, pero cada una de ellas solo puede estar asociada a una VNet.

Para ello, se suele contratar una suscripción por cada departamento o grupo de estos  que queramos agrupar en una facturación.

Como es lógico, en muchas ocasiones querremos tener acceso a los recursos (sean del tipo que sean) entre redes de los distintos departamentos.

Con Vnet Peering simulamos una única red compuesta por dos redes y las maquinas creerán estar en la misma red. Solo podremos hacer «parejas» y necesitaremos hacer cuantas necesitemos.

Se hizo bastante hincapié en la importancia de fijarnos en la zona que elegimos para crear los recursos, ya que debemos cumplir con la GDPR (General Data Protection Regulation). Si, por ejemplo, estamos trabajando con un cliente europeo y almacenamos ciertos datos en un CPD americano, no estaríamos cumpliendo con las leyes vigentes europeas. En caso de tener una inspección, «se nos puede caer el pelo» con sanciones muy elevadas. Parece algo bastante básico, pero hay que tenerlo muy en cuenta ya que es un error muy básico y fácil de cometer.

Una vez terminados los preliminares, nos sumergimos en lo importante del camp, “la seguridad en las infraestructuras en Azure”. Para abordar este tema, Jose María propuso diversos escenarios basados en la vida real donde aplicar las bases de un buen diseño.

Ejemplos de estos escenarios son el acceso al contenido web por parte del cliente o el acceso a aplicaciones empresariales. Dichos accesos han de ser seguros, de tal modo que se proteja la integridad de las infraestructuras y servicios desplegados en la misma.

Vamos a realizar una primera práctica que servirá para entender como ha de ser un «acceso seguro a los contenidos públicos en Azure».

“Acceso seguro a contenidos públicos en Azure”:  

Los recursos de la red privada siempre deberían de aislarse de la red pública. Han de estar protegidos, al menos por un firewall.

La zona intermedia o neutral entre ambas redes, se denomina DMZ (Zona desmilitarizada), y en ella colocaremos el primer filtro de protección. Este puede ser el firewall  y/u otros  componentes adicionales de seguridad, como el WAF.

Las Zonas DMZ se denominan Privada o Pública, dependiendo del origen de las peticiones que requieren de una aplicación, de la red Interna (red local) o externa (Internet). 

El WAF (Web Application Firewalls) es muy utilizado para proteger las aplicaciones web porque, a diferencia de un firewall tradicional, trabaja en la capa 7 OSI (capa de aplicación). Analiza todo el tráfico web destinado a un servidor y aplica reglas para permitir o denegar el acceso: 

Para entender como implementaríamos un servicio web protegido de la red externa, se realizó una práctica en la que implementamos en una Máquina Virtual con el rol de IIS. El objetivo era poder acceder a la página de la web del localhost por defecto desde el exterior. Para ello, definimos como puerto de entrada al servicio el 3389. 

Como protección, implementamos un WAF que tendría el puerto 80 en la parte DMZ pública a la escucha de peticiones y mapeaba la petición al puerto 3389 de aplicación web de nuestra red privada. 

Todo esto implementado en Azure.

Para comprobar que todo funcionaba correctamente, desactivamos el Firewall del Windows de la VM y pudimos acceder desde las maquinas física a través de la IP pública que nos generaba Azure.

Fue una práctica muy didáctica para los que nos iniciamos en el mundo cloud, ya que, para esta implementación, en el proceso, cubrimos varios aspectos como, como la creación de Vnets o Network Security Groups.

Azure Active Directory

En la segunda parte del camp pasamos a ver las ventajas que nos ofrece Azure Active Directory, concretamente el inicio de sesión único o single sign-on.

Azure AD es un servicio de administración de acceso y de identidades basado en la nube de Microsoft. Conecta a todos los usuarios con todas nuestras aplicaciones y datos sin problemas. La integración con Active Directory, Active Directory Federation Services, Office 365 y miles de aplicaciones SaaS (software como servicio) previamente integradas facilita la centralización de la identidad en una única plataforma. Reduzca las complicaciones y aumente la seguridad gracias a la autenticación basada en Single sing-on.

Con el inicio de sesión único, los usuarios inician sesión una vez con una cuenta para acceder a dispositivos unidos a dominio, recursos de la empresa, aplicaciones de software como servicio (SaaS) y aplicaciones web. Después de iniciar sesión, el usuario puede iniciar aplicaciones desde el portal de Office 365 o el panel de acceso Mis aplicaciones de Azure AD. Los administradores pueden centralizar la administración de cuentas de usuario y automáticamente agregar o quitar el acceso de usuario a aplicaciones basadas en la pertenencia a grupos.

Esto elimina la necesidad de forzar al usuario a recordar varias contraseñas para cada aplicación. 

Por ultimo y al quedarnos sin tiempo Jose María nos dio una visión más teórica sobre el almacenamiento en Azure:

Almacenamiento en Azure

Nos ofrece una gran variedad de ventajas y pese a que encontramos diferentes tipos, todas ellas tienen los siguientes puntos en común:

  • Una escalabilidad ilimitada proporcionándonos un gran abanico de posibilidades para adaptarse a nuestras necesidades.
  • Elevada disponibilidad, gracias a la redundancia, nuestros datos estarán seguros en caso de algún tipo de error de hardware, permitiéndonos incluso replicar datos en diferentes localidades para evitar catástrofes locales, algo prácticamente imposible para entornos en premise.
  • Seguridad, todos los datos almacenados en Azure Storage son cifrados por el servicio, otorgándonos una gran protección sobre nuestros archivos.

Si bien en Azure disponemos de varias opciones de almacenamiento, en el camp nos centramos en Blob Storage, cuyas características principales las podemos dividir en los siguientes apartados: 

  • Durabilidad y Disponibilidad 

El Azure Blob Storage permite disponer de una gran consistencia, gracias a sus 3 réplicas, presenta una gran tolerancia a fallos. 

Nos otorga una recuperación frente a desastres al tener redundancia global, proporcionándonos una disponibilidad mínima de 99,99%. 

Podríamos ser capaces de tener una estructura utilizando RA-GRS (Read Access Geo-Redudnant Storage), es decir, tendríamos dos regiones, en la primaria almacenaríamos 3 copias de los datos, adicionalmente tendríamos una región secundaria en la tendríamos otras tres copias replicadas de solo lectura.

Esto proporciona una disponibilidad de nada más y nada menos de 99.99999999999999%, algo que no está nada mal. 

Esto nos hace ver de la gran potencia que tiene Azure para el Almacenamiento ofreciendo soluciones que de una forma tradicional serían imposibles de lograr.

  • Seguridad 

La seguridad que nos proporciona Azure Blob para el almacenamiento es muy grande, pero podríamos dividirlo en los siguientes puntos: 

  1. Encryptation at Rest: Azure Blob dispone de un cifrado en reposo que permite que los datos se cifren automáticamente antes de almacenarlos y los descifra antes de recuperarlos utilizando una cifrado AES de 256 bits.
  2. Encryptation in Transit: permite proteger nuestros datos mientras son enviados entre redes utilizando métodos como Transport-level encryption, como HTTPS, y Wire encryption como SMB 3.0 para archivos compartidos en Azure.
  3. Compatibilidad con Azure Active Directory: Azure Storage admite la autenticación y autorización con Azure Active Directory (AD) para el servicio Blob. Con Azure AD, puede usar el control de acceso basado en rol para conceder acceso a los usuarios, grupos o entidades de servicio de la aplicación. 
  4. Manejabilidad y eficiencia 
    Azure Storage Blobs es compatible con la característica soft delete, esto permite que cuando borramos un dato, se genera una snapshot de este para guardar el estado, pudiendo especificar el tiempo máximo que este se mantiene antes de ser permanentemente eliminado. 

En Azure encontramos la herramienta de Blob Access Tiers, encontrando 3 tiers diferenciados:

  • Hot: Los datos a los que se acceden muy a menudo debemos marcarlos como Hot ya que para estos datos pagaremos un precio mayor por almacenamiento, pero un precio reducido por cada acceso a los datos.
  • Archive: Es la inversa a los datos Hot, se utilizaría para datos a los que no accedemos prácticamente nunca y pagamos muy poco por ese almacenamiento, sin embargo, cada vez que hacemos uso de estos datos el coste se dispara, al igual que la latencia con la que accedemos. 

El ponente puso el ejemplo de la gestión de Hospitales, dado que por ley deben de guardar mucha información da lo largo de mucho tiempo, a la que no acceden prácticamente nunca, el marcarlo como archive nos permite reducir considerablemente el coste.

  • Cool: El almacenamiento Cool sería una mezcla entre ambos, en el que almacenamos datos a los que no accedemos con frecuencia con una gran relación almacenamiento/precio sin una elevada latencia de acceso.

Final de la jornada:

Acaba una fantástica jornada que deja una sensación agridulce, ya que, a pesar de lo interesante y didáctico de la misma, deja al personal con ganas de más. El tiempo se hace breve para digerir y aplicar tanto conocimiento y ojalá en el futuro podamos disfrutar de camps de esta calidad en eventos que duren hasta el ocaso o incluso que se impartan a lo largo del fin de semana.

Si bien es cierto que es difícil cumplir con una agenda apretada, Jose María, representante de Plain Concepts en este día, supo transmitir de forma muy clara todos los conceptos y su visión global de las infraestructuras cloud y como securizarlas en Azure. Se nota que es arquitecto y que sabe de lo que habla.    

Os facilitamos en el siguiente enlace la presentación del Camp que muy amablemente nos cedió Jose María. 

En el tenéis la teoría y las practicas. Desde Tajamar os animamos a que le echéis un vistazo y que intentéis realizarlas. Os resultara muy interesante. 

Hasta la próxima!



Autores: Alejandro Lamas, Jorge Agudo y Mario Martínez.

Coordinadores Tech Club Tajamar

Alumnos del Máster Microsoft MCSA Windows Server 2016 + MCSE Cloud Platform & Infrastructure

Año académico 2018-2019

Leave a Comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.