SlideShare a Scribd company logo
1 of 155
Download to read offline
Cloud Security
Fundamentals
OBJETIVOS
• Definir los modelos de servicios de cloud
computing comunes (SaaS, PaaS, IaaS).
• Describir los modelos de
implementación de computación en la
nube pública, comunitaria, privada e
híbrida.
• Identificar el modelo de responsabilidad
compartida de la computación en la
nube.
• Reconocer los desafíos de seguridad de
la computación en la nube más
comunes.
• Configure el NGFW para proteger los
datos y prevenir amenazas con el
bloqueo de archivos.
Tecnologías
de
computación
en la nube
El valor de la computación en la nube es la capacidad de
agrupar recursos para lograr economías de escala y
agilidad. Esta capacidad de agrupar recursos es válida
para nubes públicas o privadas. En lugar de tener
muchos servidores independientes y a menudo
infrautilizados implementados para sus aplicaciones
empresariales, grupos de los recursos están agregados,
consolidados y diseñados para ser lo suficientemente
elásticos para escalar con las necesidades de tu
organización
Las Nuevas
Tendencias
• El movimiento hacia la computación en la
nube no solo trae beneficios operativos y
de costos, sino también tecnología
beneficios. Los usuarios acceden
fácilmente a los datos y las aplicaciones,
sin importar dónde residan, proyectos se
puede escalar fácilmente y el consumo se
puede rastrear de manera efectiva. La
virtualización es una parte fundamental
de una nube arquitectura informática
que, cuando se combina con
herramientas de gestión y orquestación
de software, le permite integrar procesos
dispares para que puedan automatizarse,
replicarse fácilmente y ofrecido según
sea necesario
NIST (National
Institute of
Standards and
Technology)
El progreso e innovación
tecnológica de Estados Unidos
dependen de las habilidades del
NIST, especialmente si hablamos de
cuatro áreas:
• biotecnología,
• nanotecnología,
• tecnologías de la información
• fabricación avanzada.
Servicios de
Cloud
Computing
• Permiten elegir el nivel de control,
flexibilidad y administración de la
información. Tradicionalmente se
definen tres tipos principales de
servicio de computación en la
nube: IaaS, PaaS y SaaS.
Servicios de Cloud Computing
• Software as a service (SaaS)
• Platform as a service (PaaS)
• Infrastructure as a service (IaaS)
SaaS
Software as a
service
• Se proporciona un producto
completo, el cual es ofrecido por el
proveedor, quien se encarga de la
administración. En este modelo no
tienes que preocuparte por la
infraestructura de nube, tampoco
interesa saber cómo se mantiene el
servicio. Solo debes consumir el
servicio, por lo que la única tarea es
aprender a utilizarlo. Estas
aplicaciones son accesibles a través
de Internet y desde cualquier
dispositivo, usando un cliente que
puede ser un navegador web.
Podemos decir que son aplicaciones
de usuarios finales.
SaaS Software
as a service
• Microsoft Office 365
• Aplicaciones web de Google
• Servicio de mensajería Slack
PaaS
Platform as a
service
• Es utilizado principalmente por los
desarrolladores de software. En principio
implica un nivel de abstracción más, por
encima de IaaS. En este modelo, el
proveedor garantiza el sistema operativo,
los lenguajes de programación, las
librerías y herramientas. Es una
plataforma completa y escalable, donde
los desarrolladores solo tiene que
preocuparse por el código de la
aplicación.
PaaS
Platform as a
service
• Debes de tener claro que con PaaS no
gestionas y no tienes control de la
infraestructura subyacente, incluyendo la
capa de máquinas virtuales, sistemas
operativos y almacenamiento. Sin
embargo, tienes control total sobre tus
aplicaciones implementadas y en
algunos casos tendrás acceso a algunos
ajustes de configuración del entorno
PaaS Platform as a
service
• AWS Elastic Beanstalk
• Azure App Service
• Google App Engine
• Red Hat OpenShift
• CloudFountry
• Heroku
IaaS
Infrastructure as
a service
• Es utilizado principalmente por administradores
de sistemas. Se proporcionan recursos
fundamentales, redes, servidores,
almacenamiento y firewalls, todo en modo
servicio. En este modelo, como cliente tienes
mayor control de la información, ya que puedes
implementar y ejecutar software de acuerdo a tus
preferencias. No controlas la infraestructura
subyacente, sin embargo, a partir de la capa de
virtualización eres dueño de todo, tienes control
sobre el sistema operativo, el almacenamiento y
las aplicaciones.
IaaS
Infrastructure
as a service
• Un ejemplo claro es cuando
implementamos una aplicación en
una máquina virtual o instancia
desde cero. Por supuesto, tener
más control es proporcional a
mayor responsabilidad, serás el
responsable de la administración y
seguridad de la máquina virtual,
instalar los parches de seguridad,
configurar las reglas de acceso,
etc.
IaaS
Infrastructure as
a service
• AWS
• Microsoft Azure
• Google Cloud Platform
• OpenStack
CLOUD COMPUTING
El video está dirigido a las partes interesadas a nivel
empresarial, pero también es un buen manual para los
técnicos que son nuevos en Cloud Computing.
https://www.youtube.com/watch?v=arVoQxjIxUU&t=15s
Modelos de
implementación
en la nube
• NIST también define estos cuatro modelos de implementación de computación en la nube: público, comunitario,
privado e híbrido.
•
NUBE
PÚBLICA
• Se refiere a las infraestructuras que
ponen a disposición sus servicios
para ser contratados por otros
terceros. La misma debido a su
particularidad de ser más flexible y
económica es la opción más recurrente
de las pymes y startup. En la cual
pueden almacenar y laborar de forma
práctica y convenientemente económica.
¿Qué hace que
una nube sea
pública?
¿Quién ofrece nubes públicas?
• Cualquier persona puede ofrecer una nube pública; hay miles
de proveedores en todo el mundo. Sin embargo, los que se
detallan a continuación son algunos de los más importantes y
conocidos en la actualidad.
Cloud Security Fundamentals.pptx
Servicios en la Nube
Diversidad de servicios
Redes
NUBE
PRIVADA
• Mantiene su diferencia con la nube
pública debido a que la misma puede
que se aloje en un servidor externo, sin
embargo el acceso a la información es
complementamente excluyente al
personal autorizado. Esto es posible
porque utilizar una red o cuentas
individuales para el manejo interno,
utilizando el VPC para conseguir dicha
restricción.
Nube
Híbrida
• Es una combinación de las anteriores por
lo tanto posee características de las
mismas siendo una alternativa atractiva
para muchas empresas.
• Es una arquitectura informática
que ofrece la exclusividad de la
privada, manteniendo el entorno y
permitiendo que ambas arquitecturas
se comuniquen e intercambien datos y
aplicaciones. Eso la convierte en un
sistema operativo muy adaptable además
de funcional, el cual puede ser adquirido
y ajustado a conveniencia, puesto que
facilita la comunicación entre sus
servidores.
Cloud Security Fundamentals.pptx
NUBE
COMUNITARIA
• De acuerdo con Joyanes Aguilar, 2012 el
Instituto Nacional de Estándares y
tecnología (NITS por sus siglas en inglés)
define este modelo como aquel que se
organiza con la finalidad de servir a una
función o propósito común (seguridad,
política…), y son administradas por las
organizaciones constituyentes o terceras
partes.
Desafíos
de
seguridad
en la nube
• Los riesgos de seguridad que amenazan su
red hoy en día no cambian cuando se
cambia a la nube. los modelo de
responsabilidad compartida define quién
(cliente y / o proveedor) es responsable de
qué (relacionado con seguridad) en la
nube pública.
Desafíos de seguridad en la nube
• En términos generales, el proveedor de la nube es responsable de la seguridad de
la nube, incluida la física, seguridad de los centros de datos en la nube y redes,
almacenamiento, computación y virtualización fundamentales servicios. El cliente
de la nube es responsable de la seguridad en la nube, que está delineada con más
detalle por el modelo de servicio en la nube
El modelo de responsabilidad compartida
La
computació
n en la nube
no mitiga
los riesgos
de
seguridad
de la red
existentes
La seguridad
requiere
aislamiento y
segmentación
; la nube se
basa en
recursos
compartidos
• Las mejores prácticas de seguridad exigen que las
aplicaciones y los datos de misión crítica se aíslen de
forma segura. segmentos en la red utilizando el principio
de confianza cero de "nunca confiar, siempre verificar".
En una red física, Zero Trust es relativamente sencillo de
lograr utilizando firewalls y políticas basadas en la
aplicación y la identidad del usuario. En un entorno de
computación en la nube, dirija la comunicación entre
máquinas virtuales dentro de un servidor y en el centro
de datos ocurre constantemente, en algunos casos en
diversos niveles de confianza, lo que hace que la
segmentación sea una tarea difícil. Niveles mixtos de
confianza, cuando se combina con una falta de visibilidad
del tráfico dentro del host mediante la seguridad basada
en puertos virtualizados ofertas, pueden debilitar la
postura de seguridad de una organización.
Las
implementacio
nes de
seguridad
están
orientadas a
procesos; Los
entornos de
computación
en la nube son
dinámicos.
• La creación o modificación de sus cargas de
trabajo en la nube a menudo se puede
realizar en minutos, sin embargo, la
configuración de seguridad para esta carga
de trabajo puede tardar horas, días o
semanas. Los retrasos de seguridad son no
intencional; son el resultado de un proceso
que está diseñado para mantener una
seguridad sólida postura.
Las
implementacion
es de seguridad
están
orientadas a
procesos; Los
entornos de
computación en
la nube son
dinámicos.
• Es necesario aprobar los cambios de política,
identificar los cortafuegos adecuados, y es necesario
determinar las actualizaciones de políticas
relevantes. Por el contrario, la nube es un entorno
dinámico, con cargas de trabajo (y direcciones IP)
que se agregan, eliminan, y cambiado. El resultado
es una desconexión entre la política de seguridad y
la carga de trabajo en la nube. Despliegues que
conducen a una postura de seguridad debilitada.
Tecnologías y procesos de seguridad debe
aprovechar capacidades como la clonación y las
implementaciones con secuencias de comandos
para escalar automáticamente y aproveche la
elasticidad de la nube mientras mantiene una sólida
postura de seguridad.
Cloud Security Fundamentals.pptx
Preguntas
• ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor
en una infraestructura en la nube y el consumidor no administra ni controla la infraestructura
subyacente?
A. platform as a service (PaaS)
B. infrastructure as a service (IaaS)
C. software as a service (SaaS)
D. public cloud
• ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor
en una infraestructura en la nube y el consumidor no administra ni controla la infraestructura
subyacente?
A. platform as a service (PaaS)
B. infrastructure as a service (IaaS)
C. software as a service (SaaS)
D. public cloud
• ¿Qué modelo de servicio en la nube de NIST no requiere que la
organización del cliente realice ninguna programación?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
• ¿Qué modelo de servicio en la nube de NIST no requiere que la
organización del cliente realice ninguna programación?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
• ¿Qué modelo de servicio en la nube de NIST requiere que el cliente
mantenga actualizado el sistema operativo?
A. IaaS
B. PaaS
C. FaaS
D. SaaS
• ¿Qué modelo de servicio en la nube NIST limita su elección de
entornos de ejecución en los que se puede escribir una aplicación?
A. IaaS
B.PaaS
C. FaaS
D. SaaS
• ¿Qué modelo de implementación en la nube de NIST recomendaría para una startup que no tiene
mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7?
A. Public
B. Private
C. Community
D. hybrid
• ¿Qué modelo de implementación en la nube de NIST recomendaría para una startup que no tiene
mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7?
A. Public
B. Private
C. Community
D. hybrid
• Una empresa de noticias puede atender todas las solicitudes desde su
centro de datos el 95% del tiempo. Sin embargo, algunos días hay una
gran demanda de actualizaciones de noticias. ¿Qué modelo de
implementación de NIST les recomendaría?
A. public
B. Private
C. Community
D. hybrid
• Una empresa de noticias puede atender todas las solicitudes desde su
centro de datos el 95% del tiempo. Sin embargo, algunos días hay una
gran demanda de actualizaciones de noticias. ¿Qué modelo de
implementación de NIST les recomendaría?
A. public
B. Private
C. Community
D. hybrid
Repaso Modulo 1
Modulo 2
• Describir tecnologías nativas de la nube, como máquinas virtuales,
contenedores, orquestación y servidor.ss computing.
• Explore las tecnologías de contenedores nativas de la nube, incluido
Kubernetes.
• Cree y ejecute contenedores de red de puente de Docker en modo
independiente e interactivo.
Tecnologías
nativas de la
nube
• Como un nuevo universo, el ecosistema nativo de la
nube tiene muchas tecnologías y proyectos
rápidamente
• girando y expandiéndose desde el núcleo inicial de
contenedores. Un área de innovación especialmente
intensa
• es el despliegue de cargas de trabajo junto con
tecnologías de gestión. Si bien Kubernetes se ha
convertido en el
• orquestador de contenedores de uso general estándar
de la industria, otras tecnologías como sin
servidor agregan
• complejidad abstracta asociada con la gestión de
hardware y sistemas operativos. Las diferencias
• entre estas tecnologías suelen ser pequeñas y
matizadas, lo que dificulta la comprensión
• los beneficios y las compensaciones.
Cloud Security Fundamentals.pptx
• Hay un lugar para todas estas tecnologías: son herramientas
diferentes con diferentes ventajas y
• compensaciones, y las organizaciones suelen utilizar al menos
algunos de ellos simultáneamente. Esa heterogeneidad es poco
probable que cambie a medida que las organizaciones traen cargas
de trabajo cada vez más críticas a su nube nativa.
• pilas, especialmente aquellas con raíces heredadas profundas.
Virtualización
• La tecnología de virtualización emula recursos informáticos reales
o físicos, como servidores.
• (computación), almacenamiento, redes y aplicaciones. La
virtualización permite múltiples aplicaciones o servidores
• cargas de trabajo para que se ejecuten de forma independiente en
uno o más recursos físicos
Virtualización
• Un hipervisor permite que varios sistemas operativos virtuales
("invitados") se ejecuten simultáneamente en un solo
• ordenador host físico. El hipervisor funciona entre el sistema
operativo de la computadora y el
• kernel de hardware. Hay dos tipos de hipervisores:
• Tipo 1 (nativo o bare-metal). Se ejecuta directamente en el
hardware de la computadora host.
• Tipo 2 (alojado). Se ejecuta dentro de un entorno de sistema
operativo
Virtualization Hypervisors
• Type 1 (native or bare metal)
• VMware vSphere con ESX / ESXi
• KVM
• Hyper-V
• Oracle VM
• Type 2 (hosted)
• Oracle VM VirtualBox
• VMware Workstation Pro / VMware Fusion
• Windows Virtual PC
• Parallels Desktop
Cloud Security Fundamentals.pptx
Security considerations
Dormant virtual
machines (VMs)
Hypervisor
vulnerabilities
Intra-VM
communications
VM sprawl
Máquinas virtuales inactivas (VM).
• En muchos centros de datos y entornos en la nube, las máquinas
virtuales inactivas
• se apagan rutinariamente (a menudo automáticamente) cuando no
están en uso. Las máquinas virtuales que se apagan durante
períodos prolongados de tiempo (semanas o meses) pueden perderse
inadvertidamente cuando se aplican actualizaciones de antimalware
y parches de seguridad.
Virtualización
• La virtualización es una tecnología clave que se utiliza en los
centros de datos y la computación en la nube para optimizar los
recursos.
• Las consideraciones de seguridad importantes asociadas con la
virtualización incluyen:
• Máquinas virtuales inactivas (VM).
• Vulnerabilidades del hipervisor
• Comunicaciones intra-VM
• Expansión de VM.
Vulnerabilidades del hipervisor
• Además de las vulnerabilidades dentro de las aplicaciones
alojadas, máquinas virtuales y
• otros recursos en un entorno virtual, el hipervisor en sí mismo
puede ser vulnerable, lo que puede
• exponer los recursos alojados a ataques.
Comunicaciones intra-VM
• Tráfico de red entre hosts virtuales, particularmente en un solo
físico
• servidor, no puede atravesar un conmutador físico. Esta falta de
visibilidad aumenta la resolución de problemas complejidad y puede
aumentar los riesgos de seguridad debido a un seguimiento y
registro inadecuados
• capacidades
Expansión de VM
• Los entornos virtuales pueden crecer rápidamente, lo que lleva a
una ruptura en el cambio.
• procesos de gestión y agravar los problemas de seguridad, como
máquinas virtuales inactivas, hipervisor vulnerabilidades y
comunicaciones dentro de la máquina virtual.
Máquinas
Virtuales
• Si bien puede resultar sorprendente ver
las VM discutidas en el contexto de la
nube nativa, la realidad es que la
• En la actualidad, la gran mayoría de las
cargas de trabajo del mundo se ejecutan
"directamente" (no en contenedores) en
máquinas virtuales. La mayoría
• Las organizaciones no ven las VM como
una plataforma heredada que eliminar, ni
simplemente como un host tonto en el que
• para ejecutar contenedores. Más bien,
reconocen que muchas de sus aplicaciones
aún no se han contenedorizado.
• y que la máquina virtual tradicional
sigue siendo un modelo de implementación
fundamental para ellos. Mientras una VM
no aloja
• Los contenedores no cumplen con los tres
atributos de un sistema nativo en la
nube, sin embargo, se pueden operar
• dinámicamente y ejecutar microservicios.
Máquinas Virtuales
• Las máquinas virtuales proporcionan los mayores niveles de
aislamiento, compatibilidad y control en el continuo y son
• adecuado para ejecutar casi cualquier tipo de carga de trabajo.
Ejemplos de tecnologías de VM incluyen VMware
• vSphere, Microsoft Hyper-V y las instancias proporcionadas por
prácticamente todos los proveedores de nube de IaaS, como
• como Amazon EC2. Las VM se diferencian de las "VM delgadas" a su
derecha en el continuo porque a menudo se operan de una manera con
estado con poca separación entre el sistema operativo, la
aplicación y
• datos.
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Según lo definido por el estatuto de Cloud Native Computing
Foundation (CNCF), los sistemas nativos de la nube tienen
las siguientes propiedades:
CONTAINER PACKAGED DYNAMICALLY
MANAGED
MICROSERVICES
ORIENTED
Dynamically managed
• Programado de forma activa y gestionado de
forma activa por una organización central
• proceso. Mejora radicalmente la eficiencia
de la máquina y la utilización de recursos
al tiempo que reduce el costo.
• asociado con el mantenimiento y las
operaciones
Microservices oriented
• Vagamente acoplado con dependencias descritas
explícitamente (por ejemplo,
• a través de puntos finales de servicio). Aumenta
significativamente la agilidad general y la capacidad
de mantenimiento de
• aplicaciones. La fundación dará forma a la evolución de
la tecnología para avanzar en el estado de
• el arte de la gestión de aplicaciones y hacer que la
tecnología sea ubicua y fácil
• disponible a través de interfaces confiables.
Vision Monolitica
Una primera idea de cómo afrontar esta aplicación sería la siguiente
arquitectura monolítica:
Vision de Microservicios
• Una forma útil de pensar en las tecnologías nativas
de la nube es como un continuo que se extiende
desde las máquinas virtuales.
• (VM) a contenedores sin servidor. En un extremo
están las máquinas virtuales tradicionales que
funcionan como entidades con estado, como
• lo hemos hecho durante más de una década. Por otro
lado, están las aplicaciones completamente sin
estado y sin servidor que son
• efectivamente, solo paquetes de código de
aplicación sin ningún sistema operativo (SO)
empaquetado que lo acompañe
• dependencias.
• En el medio, hay cosas como Docker, el nuevo servicio
Fargate de Amazon Web Services (AWS),
• plataformas de contenedor como servicio (CaaS) y otras
tecnologías que intentan proporcionar un equilibrio
diferente
• entre compatibilidad y aislamiento por un lado, y
agilidad y densidad por otro. Ese equilibrio es
• la razón de tal diversidad en el ecosistema. Cada
tecnología intenta colocar el fulcro en un
• punto diferente, pero los extremos del espectro son
consistentes: un extremo prioriza la familiaridad y
• separación mientras que el otro intercambia algunas de
esas características por una mayor abstracción y menos
• esfuerzo de implementación
El continuo de las tecnologías
nativas de la nube
Container
packaged
• Ejecución de aplicaciones y
procesos en contenedores de
software como aislados
• unidades de implementación de
aplicaciones, y como mecanismos
para lograr altos niveles de
recursos
• aislamiento. Mejora la experiencia
general del desarrollador, fomenta
la reutilización de código y
componentes, y
• simplifica las operaciones para las
aplicaciones nativas de la nube.
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Containers and orchestration
• Developers have widely embraced containers because they make building and deploying
cloudnative applications simpler than ever. Not only do containers eliminate much of the
friction typically associated with moving application code from testing through to
production, application code packaged up as containers can also run anywhere. All the
dependencies associated with any application are included within the containerized
application. That makes a containerized application highly portable across virtual
machines or bare-metal servers running in a local data center or in a public cloud.
Containers and orchestration
• That level of flexibility enables developers to make huge gains in productivity that are too
great to ignore. However, as is the case with the rise of any new IT architecture, cloud-
native applications still need to be secured. Container environments bring with them a
range of cybersecurity issues involving images, containers, hosts, runtimes, registries, and
orchestration platforms, all of which need to be secured
Containers and orchestration
• Kubernetes is an open-source orchestration platform that provides an API that enables
developers to define container infrastructure in a declarative fashion – that is,
infrastructure as code (IaC). Leveraging Kubernetes orchestration and a microservices
architecture, organizations can publish, maintain, and update containerized cloud-native
applications rapidly and at scale.
Contenedores integrados en VM
• Para algunas organizaciones, especialmente las grandes empresas, los contenedores proporcionan
una implementación de aplicaciones atractiva
• y enfoque operativo, pero carecen de suficiente aislamiento para mezclar cargas de trabajo de
diferentes niveles de sensibilidad.
• Dejando a un lado las fallas de hardware recientemente descubiertas como Meltdown y Spectre,
las VM proporcionan una
• grado de aislamiento, pero a costa de una mayor complejidad y carga de gestión. Integrado en
VM
• contenedores, como los contenedores Kata y los contenedores integrados de VMware vSphere,
buscan lograr esto
• al proporcionar una combinación de una API amigable para el desarrollador y una abstracción de
la aplicación del sistema operativo mientras se oculta la
• complejidades subyacentes de compatibilidad y aislamiento de seguridad dentro del hipervisor.
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Contenedores
• Los contenedores ofrecen las tres características del sistema
nativo de la nube, así como un conjunto equilibrado de capacidades
y compensaciones a lo largo del continuo. Popularizado y más
conocido por el proyecto Docker,Los contenedores han existido en
diversas formas durante muchos años y tienen sus raíces en
tecnologías como Zonas Solaris y cárceles BSD. Si bien Docker es
una marca conocida, otros proveedores están adoptando su
tecnologías subyacentes de runc y containerd para crear soluciones
similares pero separadas.
Cloud Security Fundamentals.pptx
Contenedores como servicio
• A medida que los contenedores crecieron en popularidad y se diversificó el uso, los
orquestadores como Kubernetes (y sus derivados
• como OpenShift), Mesos y Docker Swarm se volvieron cada vez más importantes para implementar y
operar
• contenedores a escala. Si bien abstrae gran parte de la complejidad requerida para implementar
y operar grandes
• cantidad de microservicios compuestos por muchos contenedores y que se ejecutan en muchos
hosts, estos
• los propios orquestadores pueden ser complejos de configurar y mantener. Además, estos
orquestadores
• se centran en el tiempo de ejecución del contenedor y hacen poco para ayudar con la
implementación y gestión de
• hosts subyacentes.
Contenedores como servicio
• Si bien las organizaciones sofisticadas a menudo usan tecnologías
como máquinas virtuales delgadas envueltas en
herramientas de automatización para abordar esto, incluso estos
enfoques no alivian completamente a la organización
desde la gestión del hardware de red, almacenamiento y computación
subyacentes. Contenedores como servicio
(CaaS) proporcionan las tres características nativas de la nube de
forma predeterminada y, mientras se ensamblan desde
muchos más componentes genéricos están altamente optimizados para
cargas de trabajo de contenedores.
Contenedores como servicio
• Dado que los principales proveedores de IaaS de nube pública ya
tienen grandes inversiones en
• automatización e implementación, muchos han optado por aprovechar
esta ventaja para construir
• plataformas para ejecutar contenedores que se esfuerzan por
eliminar la administración del hardware subyacente y
• VM de los usuarios. Estas plataformas CaaS incluyen Google
Kubernetes Engine, Azure Kubernetes
• Service y Amazon EC2 Container Service.
Contenedores como servicio
• Estas soluciones combinan la implementación de contenedores
y capacidades de gestión de un orquestador con sus propias API
específicas de plataforma para crear y
administrar máquinas virtuales. Esta integración permite a los
usuarios aprovisionar capacidad más fácilmente sin la necesidad de
administrar el hardware subyacente o la capa de virtualización.
Algunas de estas plataformas, como Google
Kubernetes Engine, incluso utiliza máquinas virtuales delgadas que
ejecutan sistemas operativos centrados en contenedores,
como ContainerOptimized OS o CoreOS, para reducir aún más
la necesidad de administrar el sistema operativo host.
Contenedores como servicio
• Las plataformas CaaS se diferencian de los contenedores a su izquierda en el
continuo (ver Figura 3-6) por
• proporcionando un conjunto más completo de capacidades que abstraen las
complejidades involucradas con
• aprovisionamiento de hardware y VM. Se diferencian de los contenedores a
pedido a su derecha en el
• Continuo al permitir que los usuarios aún administren directamente las
máquinas virtuales subyacentes y el sistema operativo host. Para
• Por ejemplo, en la mayoría de las implementaciones de CaaS, los usuarios
pueden SSH directamente a un nodo y ejecutar herramientas arbitrarias como un
• usuario root para ayudar en el diagnóstico o personalizar el sistema operativo
del host.
Cloud Security Fundamentals.pptx
Contenedores bajo demanda
• Si bien las plataformas CaaS simplifican la implementación y
operación de contenedores a escala, aún brindan
• usuarios con la capacidad de administrar el sistema operativo host
subyacente y las máquinas virtuales. Para algunas organizaciones,
esto
• la flexibilidad es muy deseable, pero en otros casos de uso puede
ser una distracción innecesaria. Especialmente para
• desarrolladores, la capacidad de ejecutar simplemente un
contenedor, sin ningún conocimiento o configuración del
• Los hosts o máquinas virtuales subyacentes pueden aumentar la
eficiencia y la agilidad del desarrollo.
Contenedores bajo demanda
• Los contenedores bajo demanda son un conjunto de tecnologías
diseñadas para compensar parte de la compatibilidad y
• control de las plataformas CaaS para reducir la complejidad y
facilitar la implementación. Contenedor bajo demanda
• Las plataformas incluyen AWS Fargate y Azure Container Instances.
En estas plataformas, los usuarios no pueden
• tener la capacidad de acceder directamente al sistema operativo
host y debe utilizar exclusivamente las interfaces de la
plataforma para
• implementar y administrar sus cargas de trabajo de contenedores
Contenedores
bajo demanda
• Estas plataformas proporcionan las tres
soluciones nativas de la nube.
• atributos y posiblemente incluso los
requiera; Por lo general, no es práctico no
crear aplicaciones para ellos como
• microservicios y el entorno solo se pueden
administrar de forma dinámica e implementar
como contenedores.
Cloud Security Fundamentals.pptx
Computación
sin
servidor
• El término "sin servidor" generalmente se
refiere a un modelo operativo en la
computación en nube. En el servidor
• modelo, las aplicaciones se basan en
servicios administrados que abstraen la
necesidad de administrar, parchear y
• infraestructura segura y máquinas
virtuales. Las aplicaciones sin servidor se
basan en una combinación de
• servicios en la nube y función como
servicio (FaaS). La adopción de un modelo
sin servidor puede afectar la aplicación
• desarrollo de varias formas:
Computación
sin
servidor
Gastos generales
operativos reducidos
Mayor agilidad
Costos reducidos
Gastos
generales
operativos
reducidos
Sin servidores que administrar, los
desarrolladores y DevOps no necesitan
preocuparse por escalar la infraestructura,
instalar y mantener agentes u otras
operaciones relacionadas con la
infraestructura.
Mayor
agilidad
• Porque las aplicaciones sin servidor dependen en gran
medida de los servicios administrados para las cosas como
las bases de datos y la autenticación, los desarrolladores
pueden centrarse en la lógica empresarial del aplicación,
que normalmente se ejecutará en un FaaS, como AWS
Lambda o Google Cloud Funciones.
Costos Reducidos
• Con la mayoría de los servicios
utilizados en aplicaciones sin
servidor, el cliente paga solo
por
• uso. Por ejemplo, con AWS
Lambda, los clientes pagan por
la ejecución de sus funciones.
• Este modelo de precios
generalmente tiene un impacto
significativo en el costo
porque los clientes no tienen
que
• Pague por la capacidad no
utilizada como lo haría con las
máquinas virtuales.
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Objetivos de seguridad nativos de la nube
• OBJETIVOS - Al finalizar este módulo del curso, los estudiantes podrán:
• Identificar las 4 C de la seguridad nativa de la nube.
• Resumir las similitudes y diferencias entre DevOps y DevSecOps.
• Reconocer los desafíos de cumplimiento, gobernanza y visibilidad nativa de la nube.
Cloud Native Security
• La velocidad y la flexibilidad que son tan deseables en el mundo empresarial actual han llevado a las
empresas a adoptar la nube tecnologías que requieren no solo más seguridad, sino también nuevos
enfoques de seguridad. En la nube, puedes tener cientos o incluso miles de instancias de una
aplicación, presentando oportunidades exponencialmente mayores para ataque y robo de datos.
Cloud Native Security
• Los proveedores de servicios de nube pública han hecho un gran trabajo al asumir la construcción, el
mantenimiento y la actualización de hardware informático y proporcionar máquinas virtuales,
almacenamiento de datos y bases de datos a sus clientes, junto con seguridad básica para protegerlo
todo. Pero aún depende del cliente proporcionar seguridad para los datos, los hosts,contenedores e
instancias sin servidor en la nube.
Temas Modulo 3
• Las siguientes secciones exploran los problemas de seguridad nativa de la nube, incluida la protección
de clústeres de Kubernetes, DevOps y DevSecOps y desafíos de visibilidad, gobernanza y
cumplimiento.
The 4C’s of cloud native security
• El proyecto Kubernetes de Cloud Native Computing Foundation (CNCF) define un modelo de
seguridad de contenedores para Kubernetes en el contexto de la seguridad nativa de la nube. Este
modelo se conoce como "las 4 C de Cloud Native seguridad". Cada capa proporciona una base de
seguridad para la siguiente capa. Las 4 C de la seguridad nativa de la nube son:
• Cloud
• Clusters
• Containers
• Code
Cloud • La nube (así como los centros de datos) proporcionan la
base informática confiable para un clúster de Kubernetes.
Si el clúster está construido sobre una base que es
inherentemente vulnerable o configurada con poca
seguridad controles, las otras capas no se pueden asegurar
correctamente.
Cluster
• Asegurar los clústeres de Kubernetes requiere proteger tanto los componentes configurables del
clúster como las aplicaciones que se ejecutan en el clúster.
Cloud Security Fundamentals.pptx
Containers
• Asegurar los clústeres de Kubernetes requiere
proteger tanto los componentes configurables
del clúster como las aplicaciones que se
ejecutan en el clúster.
Container Docker
Code
• Finalmente, el código de la aplicación en sí debe estar protegido. Prácticas recomendadas de
seguridad para proteger el código incluyen requerir TLS para el acceso, limitar los rangos de puertos
de comunicación, escanear bibliotecas de terceros para vulnerabilidades de seguridad conocidas y
análisis de código estático y dinámico.
Cloud Security Fundamentals.pptx
Desarrollo de
Software Tradicional
• En un modelo de desarrollo de software tradicional, los
desarrolladores escriben grandes cantidades de código
para nuevas funciones, productos, correcciones de
errores, etc., y luego pasar su trabajo al equipo de
operaciones para su implementación, generalmente a
través de un sistema de venta de entradas automatizado.
El equipo de operaciones recibe esta solicitud en su cola,
prueba el código y lo obtiene listo para la producción: un
proceso que puede llevar días, semanas o meses. Bajo
este modelo tradicional, si Las operaciones se topan con
problemas durante la implementación, el equipo envía un
ticket a los desarrolladores para informar ellos qué
arreglar. Eventualmente, después de que se resuelva este
vaivén, la carga de trabajo pasa a producción.
Desarrollo Tradicional
• Este modelo hace que la entrega de software
sea un proceso largo y fragmentado. Los
desarrolladores a menudo ven a las operaciones
como una barricada, lo que ralentiza los
cronogramas de sus proyectos, mientras que los
equipos de operaciones se sienten como el
vertedero para problemas de desarrollo.
Cloud Security Fundamentals.pptx
DevOps and DevSecOps
• DevOps resuelve estos problemas al unir los
equipos de desarrollo y operaciones en todo el
software. proceso de entrega, lo que les permite
descubrir y solucionar problemas antes,
automatizar las pruebas y la implementación, y
reducir el tiempo de comercialización.
DevOps and DevSecOps
• Para comprender mejor qué es DevOps, primero
comprendamos qué no es DevOps.
• DevOps no es:
• A combination of the Dev and Ops teams.
• Its own separate team
• A tool or set of tools.
• Automation.
Cloud Security Fundamentals.pptx
Desplazar a la izquierda y habilitar DevSecOps
• Integra la seguridad en todo el ciclo de vida del desarrollo
• La mayoría de las organizaciones modernas se dan cuenta del valor de cambiar la seguridad que
queda en el ciclo de vida del desarrollo, especialmente a medida que las aplicaciones se están
convirtiendo en colecciones de microservicios y funciones, y todo se está definiendo como
código. Los desarrolladores utilizan una amplia gama de herramientas para crear e implementar
aplicaciones nativas en la nube, y poner en funcionamiento controles de seguridad que
funcionen sin problemas en estas herramientas sigue siendo un desafío.
Desplazar a la izquierda y habilitar DevSecOps
• Mientras tanto, aunque las herramientas de análisis de código estático existen desde hace muchos
años, tienen la reputación de ser difíciles de usar. Para habilitar una cultura de DevSecOps, una forma
práctica de cambiar la seguridad que queda en todo el desarrollo el ciclo de vida es esencial.
Cloud Security Fundamentals.pptx
Secure the
Deployment
• Mientras se desplaza a la izquierda y aplica la seguridad en
la fase de construcción es crucial, es igualmente
importante garantizar cualquier sistema operativo host,
imágenes de contenedor, gotitas PAS y servidores sin
servidor las funciones están libres de nuevas
vulnerabilidades que pueden haber sido descubierto
después de la construcción. Escaneando cualquier registro
de contenedor
Secure the
Deployment
• Repositorio sin servidor y aplicando fuentes de código
confiables,Prisma Cloud garantiza que incluso el código
que ha pasado la compilación Quality Gate está libre de
problemas de seguridad cuando llega el momento de la
implementación. Si no se cumplen los requisitos de
seguridad definidos, Prisma la nube puede detener
nuevamente la implementación. De esta manera, no
importa cuándo o dónde se realizó una compilación,
puede sentirse seguro solo estás implementando código
seguro
Una combinación de los
equipos de desarrollo y
operaciones
• Todavía hay dos equipos;
simplemente operan de forma
comunicativa, forma colaborativa.
Su propio equipo
separado
• No existe un "ingeniero de DevOps". Aunque algunas
empresas pueden designar un "equipo de DevOps" como
piloto cuando se intenta realizar la transición a una cultura
de DevOps, DevOps se refiere a un cultura donde los
desarrolladores, probadores y personal de operaciones
cooperan en todo el software ciclo de vida de la entrega
Una herramienta o un
conjunto de
herramientas.
• Aunque existen herramientas que funcionan
bien con un modelo DevOps o ayudan a
promover Cultura DevOps, DevOps es, en última
instancia, una estrategia, no una herramienta.
Automatización
• Si bien es muy importante para una cultura
DevOps, la automatización por sí sola no define
DevOps.
CI/CD pipeline
• Ahora, analicemos qué es DevOps. En lugar de
que los desarrolladores codifiquen enormes
conjuntos de funciones antes de entregarlos a
ciegas a Operaciones para su implementación,
en un modelo de DevOps, los desarrolladores
frecuentemente entregan pequeñas cantidades
de código para pruebas continuas. En lugar de
comunicar problemas y solicitudes a través de
un sistema de tickets, el Los equipos de
desarrollo y operaciones se reúnen con
regularidad, comparten análisis y son
copropietarios de proyectos desde el principio
hasta fin.
CI/CD pipeline
• DevOps is a cycle of continuous integration and
continuous delivery (or continuous deployment),
otherwise known as the CI/CD pipeline. The
CI/CD pipeline integrates Development and
Operations teams to improve productivity by
automating infrastructure and workflows as well
as continuously measuring application
performance.
• Continuous integration requires developers to
integrate code into a repository several times
per day for automated testing. Each check-in is
verified by an automated build, allowing teams
to detect problems early
CI/CD pipeline
Continuous delivery means that the CI
pipeline is automated, but the code must
go through manual technical checks before
it is implemented in production.
Continuous deployment takes continuous
delivery one step further. Instead of
manual checks, the code passes automated
testing and is automatically deployed,
giving customers instant access to new
features.
DevOps and security
• Un problema en DevOps es que la seguridad a menudo termina fracasando. Los desarrolladores se
mueven rápidamente y sus flujos de trabajo están automatizados. La seguridad es un equipo
independiente y los desarrolladores no quieren reducir la velocidad controles y solicitudes de
seguridad. Como resultado, muchos desarrolladores implementan sin pasar por la seguridad
adecuada canales e inevitablemente cometer errores de seguridad dañinos.
• Para resolver esto, las organizaciones están adoptando DevSecOps.
DevSecOps toma el concepto detrás de DevOps: la idea que los
desarrolladores y los equipos de TI deben trabajar juntos en estrecha
colaboración, en lugar de por separado, en todo el software entrega, y la
amplía para incluir seguridad e integrar comprobaciones automatizadas en
la canalización completa de CI / CD. Esta se ocupa del problema de
seguridad que parece una fuerza externa y permite a los desarrolladores
mantener su velocidad sin comprometer la seguridad de los datos
Start with Shifting Left
• Durante la fase de construcción, Prisma ™ Cloud permite a los desarrolladores para
escanear imágenes de máquinas virtuales, imágenes de contenedores, Pivotal Gotitas de
servicio de aplicaciones (PAS) y funciones sin servidor para vulnerabilidades y
configuraciones inseguras usando nativos complementos de seguridad para entornos de
desarrollo integrados (IDE), gestión de código fuente (SCM) y integración / desarrollo
continuo (CI / CD) que sin problemas integrar en las herramientas existentes.
Start with Shifting Left
• Prisma Cloud también le permite escanear sus plantillas de infraestructura como
código (IaC) para encontrar configuraciones inseguras utilizado con Terraform®,
CloudFormation, manifiestos de Kubernetes y tecnologías similares. Además,
Prisma Cloud brinda a los equipos de seguridad el control para fallar en una
compilación en función de la vulnerabilidad o los problemas de cumplimiento, lo
que evita el software no seguro de progresar más en la tubería y en su lugar
forzar el desarrollador para resolver los problemas. A medida que los entornos
nativos de la nube se vuelven más automatizados, es fundamental garantizar que
los equipos de seguridad puedan establecer y hacer cumplir las puertas de
calidad en el proceso.
Cloud Security Fundamentals.pptx
Secure the Deployment
• Mientras se desplaza a la izquierda y aplica la seguridad en la fase de construcción es crucial, es
igualmente importante garantizar cualquier sistema operativo host, imágenes de contenedor, gotitas
PAS y servidores sin servidor las funciones están libres de nuevas vulnerabilidades que pueden haber
sido descubierto después de la construcción. Escaneando cualquier registro de contenedor o
repositorio sin servidor y aplicando fuentes de código confiables, Prisma Cloud garantiza que incluso
el código que ha pasado la compilación Quality Gate está libre de problemas de seguridad cuando
llega el momento de la implementación. Si no se cumplen los requisitos de seguridad definidos,
Prisma la nube puede detener nuevamente la implementación. De esta manera, no importa cuándo o
dónde se realizó una compilación, puede sentirse seguro solo está implementando código seguro.
Use Comprehensive Risk Prioritization and Runtime
Protection
• Con un código vulnerable que no puede llegar a producción, su la superficie de ataque se reduce
considerablemente. Para complementar esto, Prisma la nube proporciona seguridad integral en
tiempo de ejecución, automáticamente clasificar cada problema por la gravedad del riesgo, así como
por su impacto su uso y entorno únicos. Además, Prisma la nube usa metadatos de una aplicación
(durante la etapa de CI) junto con etiquetas para notificar automáticamente al desarrollador
específico quién creó la aplicación, directamente dentro de las herramientas de desarrollo que ya
estén usando.
Use Comprehensive Risk Prioritization and Runtime
Protection
• Prisma Cloud proporciona priorización de riesgos para cualquier entorno en ejecución, de modo que
los equipos de seguridad puedan monitorear continuamente todos sus infraestructura y aplicaciones
nativas de la nube y priorizar rápidamente esfuerzos de remediación. Informando automáticamente a
los desarrolladores cuando deben corregir y volver a implementar su código, solo Prisma Cloud hace
que DevSecOps sea una realidad
Cloud Security Fundamentals.pptx
Visibility, governance, and compliance
• Asegurarse de que sus recursos en la nube y aplicaciones SaaS estén configurados correctamente y se
adhieran a su los estándares de seguridad de la organización desde el primer día son esenciales para
evitar ataques exitosos. Además, haciendo asegurarse de que estas aplicaciones, así como los datos
que recopilan y almacenan, estén debidamente protegidas y cumplan fundamental para evitar multas
costosas, daños a la reputación de la marca y pérdida de la confianza del cliente. Cumpliendo con los
estándares de seguridad y mantener entornos compatibles a escala y en todas las aplicaciones SaaS
es un requisito para la seguridad de equipos
• A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por
controlar eficazmente sus datos. exposición y hacer cumplir las políticas de seguridad en entornos de
nube y aplicaciones SaaS en constante cambio. Además, garantizar el cumplimiento donde los datos
se almacenan en entornos distribuidos supone un importante carga sobre los equipos de seguridad
limitados
• Garantizar la gobernanza y el cumplimiento en entornos de múltiples nubes y aplicaciones SaaS
requiere:
• Descubrimiento y clasificación en tiempo real de recursos y datos a través de SaaS dinámico, así
como PaaS e IaaS ambientes.
• Gobernanza de la configuración, asegurando que las configuraciones de aplicaciones y recursos
se adapten mejor a su seguridad prácticas tan pronto como se implementan y evitan la
desviación de la configuración
• Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a
aplicaciones y recursos SaaS en la nube pública, así como para aplicar la segmentación de la red
• Auditoría de cumplimiento, aprovechando la automatización y los marcos de cumplimiento
integrados, para garantizar el cumplimiento en cualquier momento y genere informes listos para
auditorías bajo demanda.
• Experiencia de usuario perfecta que no obliga a pasos adicionales ni
introduce una latencia significativa en el uso de aplicaciones a medida que
agrega nueva seguridad
The Future of Network Security Is in the Cloud
• La transformación del negocio digital invierte los patrones de diseño de
servicios de seguridad y redes, cambiando el enfoque apunte a la identidad
del usuario y / o dispositivo, no al centro de datos. Gestión de riesgos y
seguridad. Los líderes necesitan una ventaja de servicio de acceso seguro y
convergente en la nube para abordar este cambio.
Los líderes de seguridad y gestión de riesgos responsables de la
seguridad de las redes y los puntos finales deben:
Posicionar la adopción de SASE como un habilitador de negocios digitales en nombre de la velocidad y la
agilidad.
Arquitecto para mover los motores de inspección a las sesiones, no para redirigir las sesiones a los motores.
Cambie el personal de seguridad de la administración de cajas de seguridad a la prestación de servicios de
seguridad basados ​​en políticas.
Interactúe con los arquitectos de redes ahora para planificar las capacidades de SASE. Utilice WAN definida por
software y MPLS descargan proyectos como catalizador para evaluar los servicios integrados de seguridad de
redes.
Reduzca la complejidad ahora en el lado de la seguridad de la red pasando a idealmente un proveedor para
Puerta de enlace web (SWG), agente de seguridad de acceso a la nube (CASB), DNS, acceso a la red de
confianza cero (ZTNA) y capacidades de aislamiento de navegador remoto.
Cloud Security Fundamentals.pptx
Supuestos de planificación estratégica
• Para 2023, el 20% de las empresas habrán adoptado las capacidades SWG, CASB, ZTNA y sucursales
de FWaaS de el mismo proveedor desde menos del 5% en 2019.
• Para 2024, al menos el 40% de las empresas tendrán estrategias explícitas para adoptar SASE, en
comparación con menos del 1% a fines de 2018.
• Para 2025, al menos uno de los principales proveedores de IaaS ofrecerá un conjunto competitivo de
capacidades SASE.
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx
Cloud Security Fundamentals.pptx

More Related Content

What's hot

Lecture 4 mobile database system
Lecture 4 mobile database systemLecture 4 mobile database system
Lecture 4 mobile database systemsalbiahhamzah
 
IBM DB2 LUW UDB DBA Online Training by Etraining.guru
IBM DB2 LUW UDB DBA Online Training by Etraining.guruIBM DB2 LUW UDB DBA Online Training by Etraining.guru
IBM DB2 LUW UDB DBA Online Training by Etraining.guruRavikumar Nandigam
 
Almacenamiento y estructura de archivos
Almacenamiento y estructura de archivosAlmacenamiento y estructura de archivos
Almacenamiento y estructura de archivosgmelinita
 
Dimensional modeling in oracle sql developer
Dimensional modeling in oracle sql developerDimensional modeling in oracle sql developer
Dimensional modeling in oracle sql developerJeff Smith
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores JUANR1022
 
Base de datos y sistemas de gestion de datos
Base de datos y sistemas de gestion de datosBase de datos y sistemas de gestion de datos
Base de datos y sistemas de gestion de datosAlejandro Rodriguez
 
Diffrence between dbms and rdbms
Diffrence between dbms and rdbmsDiffrence between dbms and rdbms
Diffrence between dbms and rdbmsJitendra Thakur
 
Base de datos
Base de datosBase de datos
Base de datosDavid
 
Data centre requirements
Data centre requirementsData centre requirements
Data centre requirementsarjun thakur
 
Sistemas Gestores de Base de Datos
Sistemas Gestores de Base de DatosSistemas Gestores de Base de Datos
Sistemas Gestores de Base de DatosJorge Luis Chalén
 
Oracle Key Vault Overview
Oracle Key Vault OverviewOracle Key Vault Overview
Oracle Key Vault OverviewTroy Kitch
 

What's hot (20)

Lecture 4 mobile database system
Lecture 4 mobile database systemLecture 4 mobile database system
Lecture 4 mobile database system
 
IBM DB2 LUW UDB DBA Online Training by Etraining.guru
IBM DB2 LUW UDB DBA Online Training by Etraining.guruIBM DB2 LUW UDB DBA Online Training by Etraining.guru
IBM DB2 LUW UDB DBA Online Training by Etraining.guru
 
Servidor NfS
Servidor NfSServidor NfS
Servidor NfS
 
Componentes de un SGBD
Componentes de un SGBDComponentes de un SGBD
Componentes de un SGBD
 
Tipos de bases de datos
Tipos de bases de datosTipos de bases de datos
Tipos de bases de datos
 
Almacenamiento y estructura de archivos
Almacenamiento y estructura de archivosAlmacenamiento y estructura de archivos
Almacenamiento y estructura de archivos
 
Dimensional modeling in oracle sql developer
Dimensional modeling in oracle sql developerDimensional modeling in oracle sql developer
Dimensional modeling in oracle sql developer
 
Arquitectura Multiprocesadores
Arquitectura Multiprocesadores Arquitectura Multiprocesadores
Arquitectura Multiprocesadores
 
Base de datos y sistemas de gestion de datos
Base de datos y sistemas de gestion de datosBase de datos y sistemas de gestion de datos
Base de datos y sistemas de gestion de datos
 
Aspectos de diseno
Aspectos de disenoAspectos de diseno
Aspectos de diseno
 
Diffrence between dbms and rdbms
Diffrence between dbms and rdbmsDiffrence between dbms and rdbms
Diffrence between dbms and rdbms
 
Oracle
OracleOracle
Oracle
 
Base de datos
Base de datosBase de datos
Base de datos
 
Data centre requirements
Data centre requirementsData centre requirements
Data centre requirements
 
Sistemas Gestores de Base de Datos
Sistemas Gestores de Base de DatosSistemas Gestores de Base de Datos
Sistemas Gestores de Base de Datos
 
Conceptos Basicos Oracle
Conceptos Basicos OracleConceptos Basicos Oracle
Conceptos Basicos Oracle
 
Data Guard Architecture & Setup
Data Guard Architecture & SetupData Guard Architecture & Setup
Data Guard Architecture & Setup
 
Gestion de Memoria
Gestion de MemoriaGestion de Memoria
Gestion de Memoria
 
Oracle Key Vault Overview
Oracle Key Vault OverviewOracle Key Vault Overview
Oracle Key Vault Overview
 
Cuadro comparativo de los diferentes DBMS
Cuadro comparativo de los diferentes DBMSCuadro comparativo de los diferentes DBMS
Cuadro comparativo de los diferentes DBMS
 

Similar to Cloud Security Fundamentals.pptx

Nube informatica erika
Nube informatica  erikaNube informatica  erika
Nube informatica erikaerikakarol
 
Capitulo 3, computacion en la nube
Capitulo 3, computacion en la nubeCapitulo 3, computacion en la nube
Capitulo 3, computacion en la nubeIsisAndino
 
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUE
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUEArquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUE
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUEStephanie Suazo
 
Computacion en la nube
Computacion en la nubeComputacion en la nube
Computacion en la nubeCesar Lara
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nubeSindyChavez5
 
Presentacion la arquitectura de la nube
Presentacion la arquitectura de la nubePresentacion la arquitectura de la nube
Presentacion la arquitectura de la nubeRobertoLagos13
 
Presentacion comunicacion en la nube
Presentacion comunicacion en la nubePresentacion comunicacion en la nube
Presentacion comunicacion en la nubeAna Ochoa
 
Arquitectura de la nube: Modelos de servicio y despliegue
Arquitectura de la nube: Modelos de servicio y despliegueArquitectura de la nube: Modelos de servicio y despliegue
Arquitectura de la nube: Modelos de servicio y despliegueGustavoMurilloCastil
 
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUE
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUEARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUE
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUELixa Hernández
 
Curso ofimática en la nube
Curso ofimática en la nubeCurso ofimática en la nube
Curso ofimática en la nubepcland
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nubeyilisava
 
PROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEPROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEKevin Muegues
 
Computacion en la nube and posicionamiento web.
Computacion en la nube and posicionamiento web.Computacion en la nube and posicionamiento web.
Computacion en la nube and posicionamiento web.Luis Mejia
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nubeAlfredoMatute2
 

Similar to Cloud Security Fundamentals.pptx (20)

Nube informatica erika
Nube informatica  erikaNube informatica  erika
Nube informatica erika
 
Capitulo 3 computacion en la nube
Capitulo 3 computacion en la nubeCapitulo 3 computacion en la nube
Capitulo 3 computacion en la nube
 
Capitulo 3, computacion en la nube
Capitulo 3, computacion en la nubeCapitulo 3, computacion en la nube
Capitulo 3, computacion en la nube
 
Arquitectura en la nube
Arquitectura en la nubeArquitectura en la nube
Arquitectura en la nube
 
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUE
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUEArquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUE
Arquitectura de la nube: MODELOS DE SERVICIO Y DESPLIEGUE
 
Computacion en la nube
Computacion en la nubeComputacion en la nube
Computacion en la nube
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nube
 
Presentacion la arquitectura de la nube
Presentacion la arquitectura de la nubePresentacion la arquitectura de la nube
Presentacion la arquitectura de la nube
 
Estudiante
EstudianteEstudiante
Estudiante
 
Presentacion comunicacion en la nube
Presentacion comunicacion en la nubePresentacion comunicacion en la nube
Presentacion comunicacion en la nube
 
Arquitectura de la nube: Modelos de servicio y despliegue
Arquitectura de la nube: Modelos de servicio y despliegueArquitectura de la nube: Modelos de servicio y despliegue
Arquitectura de la nube: Modelos de servicio y despliegue
 
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUE
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUEARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUE
ARQUITECTURA DE LA NUBE: MODELOS DE SERVICIO Y DESPLIEGUE
 
Curso ofimática en la nube
Curso ofimática en la nubeCurso ofimática en la nube
Curso ofimática en la nube
 
Cloud computing
Cloud computingCloud computing
Cloud computing
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nube
 
Computación en la nube
Computación en la nubeComputación en la nube
Computación en la nube
 
PROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBEPROGRAMACION EN LA NUBE
PROGRAMACION EN LA NUBE
 
Capitulo 3 arquitectura_de_la_nube
Capitulo 3 arquitectura_de_la_nubeCapitulo 3 arquitectura_de_la_nube
Capitulo 3 arquitectura_de_la_nube
 
Computacion en la nube and posicionamiento web.
Computacion en la nube and posicionamiento web.Computacion en la nube and posicionamiento web.
Computacion en la nube and posicionamiento web.
 
Arquitectura de la nube
Arquitectura de la nubeArquitectura de la nube
Arquitectura de la nube
 

Recently uploaded

Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Mariano Cabrera Lanfranconi
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwDanielaEspaa3
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfRosaAmeliaLlacsahuan
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]QuantiKa14
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxSANTIAGOREYES92
 
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.SARA BUENDIA RIOJA
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Educática
 

Recently uploaded (7)

Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
Charla eCommerce Day Bolivia 2024 - Comercio Electrónico en Bolivia 2024
 
La electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluwLa electricidad y la electrónica.pdf.iluw
La electricidad y la electrónica.pdf.iluw
 
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdfCuadernillo de Comunicación 1. Primer grado de Primaria.pdf
Cuadernillo de Comunicación 1. Primer grado de Primaria.pdf
 
Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]Violencia sexual a través de Internet [ICAS 2024]
Violencia sexual a través de Internet [ICAS 2024]
 
Taller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docxTaller Evaluativo Tecnologías Web 2.0.docx
Taller Evaluativo Tecnologías Web 2.0.docx
 
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.PRESENTACION DE "CASO NOKIA" // PDF.EDU.
PRESENTACION DE "CASO NOKIA" // PDF.EDU.
 
Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024Perspectivas en ciberseguridad para el año 2024
Perspectivas en ciberseguridad para el año 2024
 

Cloud Security Fundamentals.pptx

  • 2. OBJETIVOS • Definir los modelos de servicios de cloud computing comunes (SaaS, PaaS, IaaS). • Describir los modelos de implementación de computación en la nube pública, comunitaria, privada e híbrida. • Identificar el modelo de responsabilidad compartida de la computación en la nube. • Reconocer los desafíos de seguridad de la computación en la nube más comunes. • Configure el NGFW para proteger los datos y prevenir amenazas con el bloqueo de archivos.
  • 3. Tecnologías de computación en la nube El valor de la computación en la nube es la capacidad de agrupar recursos para lograr economías de escala y agilidad. Esta capacidad de agrupar recursos es válida para nubes públicas o privadas. En lugar de tener muchos servidores independientes y a menudo infrautilizados implementados para sus aplicaciones empresariales, grupos de los recursos están agregados, consolidados y diseñados para ser lo suficientemente elásticos para escalar con las necesidades de tu organización
  • 4. Las Nuevas Tendencias • El movimiento hacia la computación en la nube no solo trae beneficios operativos y de costos, sino también tecnología beneficios. Los usuarios acceden fácilmente a los datos y las aplicaciones, sin importar dónde residan, proyectos se puede escalar fácilmente y el consumo se puede rastrear de manera efectiva. La virtualización es una parte fundamental de una nube arquitectura informática que, cuando se combina con herramientas de gestión y orquestación de software, le permite integrar procesos dispares para que puedan automatizarse, replicarse fácilmente y ofrecido según sea necesario
  • 5. NIST (National Institute of Standards and Technology) El progreso e innovación tecnológica de Estados Unidos dependen de las habilidades del NIST, especialmente si hablamos de cuatro áreas: • biotecnología, • nanotecnología, • tecnologías de la información • fabricación avanzada.
  • 6. Servicios de Cloud Computing • Permiten elegir el nivel de control, flexibilidad y administración de la información. Tradicionalmente se definen tres tipos principales de servicio de computación en la nube: IaaS, PaaS y SaaS.
  • 7. Servicios de Cloud Computing • Software as a service (SaaS) • Platform as a service (PaaS) • Infrastructure as a service (IaaS)
  • 8. SaaS Software as a service • Se proporciona un producto completo, el cual es ofrecido por el proveedor, quien se encarga de la administración. En este modelo no tienes que preocuparte por la infraestructura de nube, tampoco interesa saber cómo se mantiene el servicio. Solo debes consumir el servicio, por lo que la única tarea es aprender a utilizarlo. Estas aplicaciones son accesibles a través de Internet y desde cualquier dispositivo, usando un cliente que puede ser un navegador web. Podemos decir que son aplicaciones de usuarios finales.
  • 9. SaaS Software as a service • Microsoft Office 365 • Aplicaciones web de Google • Servicio de mensajería Slack
  • 10. PaaS Platform as a service • Es utilizado principalmente por los desarrolladores de software. En principio implica un nivel de abstracción más, por encima de IaaS. En este modelo, el proveedor garantiza el sistema operativo, los lenguajes de programación, las librerías y herramientas. Es una plataforma completa y escalable, donde los desarrolladores solo tiene que preocuparse por el código de la aplicación.
  • 11. PaaS Platform as a service • Debes de tener claro que con PaaS no gestionas y no tienes control de la infraestructura subyacente, incluyendo la capa de máquinas virtuales, sistemas operativos y almacenamiento. Sin embargo, tienes control total sobre tus aplicaciones implementadas y en algunos casos tendrás acceso a algunos ajustes de configuración del entorno
  • 12. PaaS Platform as a service • AWS Elastic Beanstalk • Azure App Service • Google App Engine • Red Hat OpenShift • CloudFountry • Heroku
  • 13. IaaS Infrastructure as a service • Es utilizado principalmente por administradores de sistemas. Se proporcionan recursos fundamentales, redes, servidores, almacenamiento y firewalls, todo en modo servicio. En este modelo, como cliente tienes mayor control de la información, ya que puedes implementar y ejecutar software de acuerdo a tus preferencias. No controlas la infraestructura subyacente, sin embargo, a partir de la capa de virtualización eres dueño de todo, tienes control sobre el sistema operativo, el almacenamiento y las aplicaciones.
  • 14. IaaS Infrastructure as a service • Un ejemplo claro es cuando implementamos una aplicación en una máquina virtual o instancia desde cero. Por supuesto, tener más control es proporcional a mayor responsabilidad, serás el responsable de la administración y seguridad de la máquina virtual, instalar los parches de seguridad, configurar las reglas de acceso, etc.
  • 15. IaaS Infrastructure as a service • AWS • Microsoft Azure • Google Cloud Platform • OpenStack
  • 16. CLOUD COMPUTING El video está dirigido a las partes interesadas a nivel empresarial, pero también es un buen manual para los técnicos que son nuevos en Cloud Computing. https://www.youtube.com/watch?v=arVoQxjIxUU&t=15s
  • 17. Modelos de implementación en la nube • NIST también define estos cuatro modelos de implementación de computación en la nube: público, comunitario, privado e híbrido. •
  • 18. NUBE PÚBLICA • Se refiere a las infraestructuras que ponen a disposición sus servicios para ser contratados por otros terceros. La misma debido a su particularidad de ser más flexible y económica es la opción más recurrente de las pymes y startup. En la cual pueden almacenar y laborar de forma práctica y convenientemente económica.
  • 19. ¿Qué hace que una nube sea pública?
  • 20. ¿Quién ofrece nubes públicas? • Cualquier persona puede ofrecer una nube pública; hay miles de proveedores en todo el mundo. Sin embargo, los que se detallan a continuación son algunos de los más importantes y conocidos en la actualidad.
  • 24. Redes
  • 25. NUBE PRIVADA • Mantiene su diferencia con la nube pública debido a que la misma puede que se aloje en un servidor externo, sin embargo el acceso a la información es complementamente excluyente al personal autorizado. Esto es posible porque utilizar una red o cuentas individuales para el manejo interno, utilizando el VPC para conseguir dicha restricción.
  • 26. Nube Híbrida • Es una combinación de las anteriores por lo tanto posee características de las mismas siendo una alternativa atractiva para muchas empresas. • Es una arquitectura informática que ofrece la exclusividad de la privada, manteniendo el entorno y permitiendo que ambas arquitecturas se comuniquen e intercambien datos y aplicaciones. Eso la convierte en un sistema operativo muy adaptable además de funcional, el cual puede ser adquirido y ajustado a conveniencia, puesto que facilita la comunicación entre sus servidores.
  • 28. NUBE COMUNITARIA • De acuerdo con Joyanes Aguilar, 2012 el Instituto Nacional de Estándares y tecnología (NITS por sus siglas en inglés) define este modelo como aquel que se organiza con la finalidad de servir a una función o propósito común (seguridad, política…), y son administradas por las organizaciones constituyentes o terceras partes.
  • 29. Desafíos de seguridad en la nube • Los riesgos de seguridad que amenazan su red hoy en día no cambian cuando se cambia a la nube. los modelo de responsabilidad compartida define quién (cliente y / o proveedor) es responsable de qué (relacionado con seguridad) en la nube pública.
  • 30. Desafíos de seguridad en la nube • En términos generales, el proveedor de la nube es responsable de la seguridad de la nube, incluida la física, seguridad de los centros de datos en la nube y redes, almacenamiento, computación y virtualización fundamentales servicios. El cliente de la nube es responsable de la seguridad en la nube, que está delineada con más detalle por el modelo de servicio en la nube
  • 31. El modelo de responsabilidad compartida
  • 32. La computació n en la nube no mitiga los riesgos de seguridad de la red existentes
  • 33. La seguridad requiere aislamiento y segmentación ; la nube se basa en recursos compartidos • Las mejores prácticas de seguridad exigen que las aplicaciones y los datos de misión crítica se aíslen de forma segura. segmentos en la red utilizando el principio de confianza cero de "nunca confiar, siempre verificar". En una red física, Zero Trust es relativamente sencillo de lograr utilizando firewalls y políticas basadas en la aplicación y la identidad del usuario. En un entorno de computación en la nube, dirija la comunicación entre máquinas virtuales dentro de un servidor y en el centro de datos ocurre constantemente, en algunos casos en diversos niveles de confianza, lo que hace que la segmentación sea una tarea difícil. Niveles mixtos de confianza, cuando se combina con una falta de visibilidad del tráfico dentro del host mediante la seguridad basada en puertos virtualizados ofertas, pueden debilitar la postura de seguridad de una organización.
  • 34. Las implementacio nes de seguridad están orientadas a procesos; Los entornos de computación en la nube son dinámicos. • La creación o modificación de sus cargas de trabajo en la nube a menudo se puede realizar en minutos, sin embargo, la configuración de seguridad para esta carga de trabajo puede tardar horas, días o semanas. Los retrasos de seguridad son no intencional; son el resultado de un proceso que está diseñado para mantener una seguridad sólida postura.
  • 35. Las implementacion es de seguridad están orientadas a procesos; Los entornos de computación en la nube son dinámicos. • Es necesario aprobar los cambios de política, identificar los cortafuegos adecuados, y es necesario determinar las actualizaciones de políticas relevantes. Por el contrario, la nube es un entorno dinámico, con cargas de trabajo (y direcciones IP) que se agregan, eliminan, y cambiado. El resultado es una desconexión entre la política de seguridad y la carga de trabajo en la nube. Despliegues que conducen a una postura de seguridad debilitada. Tecnologías y procesos de seguridad debe aprovechar capacidades como la clonación y las implementaciones con secuencias de comandos para escalar automáticamente y aproveche la elasticidad de la nube mientras mantiene una sólida postura de seguridad.
  • 38. • ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una infraestructura en la nube y el consumidor no administra ni controla la infraestructura subyacente? A. platform as a service (PaaS) B. infrastructure as a service (IaaS) C. software as a service (SaaS) D. public cloud
  • 39. • ¿En qué modelo de servicio de computación en la nube se ejecutan las aplicaciones de un proveedor en una infraestructura en la nube y el consumidor no administra ni controla la infraestructura subyacente? A. platform as a service (PaaS) B. infrastructure as a service (IaaS) C. software as a service (SaaS) D. public cloud
  • 40. • ¿Qué modelo de servicio en la nube de NIST no requiere que la organización del cliente realice ninguna programación? A. IaaS B. PaaS C. FaaS D. SaaS
  • 41. • ¿Qué modelo de servicio en la nube de NIST no requiere que la organización del cliente realice ninguna programación? A. IaaS B. PaaS C. FaaS D. SaaS
  • 42. • ¿Qué modelo de servicio en la nube de NIST requiere que el cliente mantenga actualizado el sistema operativo? A. IaaS B. PaaS C. FaaS D. SaaS
  • 43. • ¿Qué modelo de servicio en la nube NIST limita su elección de entornos de ejecución en los que se puede escribir una aplicación? A. IaaS B.PaaS C. FaaS D. SaaS
  • 44. • ¿Qué modelo de implementación en la nube de NIST recomendaría para una startup que no tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7? A. Public B. Private C. Community D. hybrid
  • 45. • ¿Qué modelo de implementación en la nube de NIST recomendaría para una startup que no tiene mucho dinero para pagar el alojamiento o un centro de datos y necesita un servidor 24x7? A. Public B. Private C. Community D. hybrid
  • 46. • Una empresa de noticias puede atender todas las solicitudes desde su centro de datos el 95% del tiempo. Sin embargo, algunos días hay una gran demanda de actualizaciones de noticias. ¿Qué modelo de implementación de NIST les recomendaría? A. public B. Private C. Community D. hybrid
  • 47. • Una empresa de noticias puede atender todas las solicitudes desde su centro de datos el 95% del tiempo. Sin embargo, algunos días hay una gran demanda de actualizaciones de noticias. ¿Qué modelo de implementación de NIST les recomendaría? A. public B. Private C. Community D. hybrid
  • 49. Modulo 2 • Describir tecnologías nativas de la nube, como máquinas virtuales, contenedores, orquestación y servidor.ss computing. • Explore las tecnologías de contenedores nativas de la nube, incluido Kubernetes. • Cree y ejecute contenedores de red de puente de Docker en modo independiente e interactivo.
  • 50. Tecnologías nativas de la nube • Como un nuevo universo, el ecosistema nativo de la nube tiene muchas tecnologías y proyectos rápidamente • girando y expandiéndose desde el núcleo inicial de contenedores. Un área de innovación especialmente intensa • es el despliegue de cargas de trabajo junto con tecnologías de gestión. Si bien Kubernetes se ha convertido en el • orquestador de contenedores de uso general estándar de la industria, otras tecnologías como sin servidor agregan • complejidad abstracta asociada con la gestión de hardware y sistemas operativos. Las diferencias • entre estas tecnologías suelen ser pequeñas y matizadas, lo que dificulta la comprensión • los beneficios y las compensaciones.
  • 52. • Hay un lugar para todas estas tecnologías: son herramientas diferentes con diferentes ventajas y • compensaciones, y las organizaciones suelen utilizar al menos algunos de ellos simultáneamente. Esa heterogeneidad es poco probable que cambie a medida que las organizaciones traen cargas de trabajo cada vez más críticas a su nube nativa. • pilas, especialmente aquellas con raíces heredadas profundas.
  • 53. Virtualización • La tecnología de virtualización emula recursos informáticos reales o físicos, como servidores. • (computación), almacenamiento, redes y aplicaciones. La virtualización permite múltiples aplicaciones o servidores • cargas de trabajo para que se ejecuten de forma independiente en uno o más recursos físicos
  • 54. Virtualización • Un hipervisor permite que varios sistemas operativos virtuales ("invitados") se ejecuten simultáneamente en un solo • ordenador host físico. El hipervisor funciona entre el sistema operativo de la computadora y el • kernel de hardware. Hay dos tipos de hipervisores: • Tipo 1 (nativo o bare-metal). Se ejecuta directamente en el hardware de la computadora host. • Tipo 2 (alojado). Se ejecuta dentro de un entorno de sistema operativo
  • 55. Virtualization Hypervisors • Type 1 (native or bare metal) • VMware vSphere con ESX / ESXi • KVM • Hyper-V • Oracle VM • Type 2 (hosted) • Oracle VM VirtualBox • VMware Workstation Pro / VMware Fusion • Windows Virtual PC • Parallels Desktop
  • 57. Security considerations Dormant virtual machines (VMs) Hypervisor vulnerabilities Intra-VM communications VM sprawl
  • 58. Máquinas virtuales inactivas (VM). • En muchos centros de datos y entornos en la nube, las máquinas virtuales inactivas • se apagan rutinariamente (a menudo automáticamente) cuando no están en uso. Las máquinas virtuales que se apagan durante períodos prolongados de tiempo (semanas o meses) pueden perderse inadvertidamente cuando se aplican actualizaciones de antimalware y parches de seguridad.
  • 59. Virtualización • La virtualización es una tecnología clave que se utiliza en los centros de datos y la computación en la nube para optimizar los recursos. • Las consideraciones de seguridad importantes asociadas con la virtualización incluyen: • Máquinas virtuales inactivas (VM). • Vulnerabilidades del hipervisor • Comunicaciones intra-VM • Expansión de VM.
  • 60. Vulnerabilidades del hipervisor • Además de las vulnerabilidades dentro de las aplicaciones alojadas, máquinas virtuales y • otros recursos en un entorno virtual, el hipervisor en sí mismo puede ser vulnerable, lo que puede • exponer los recursos alojados a ataques.
  • 61. Comunicaciones intra-VM • Tráfico de red entre hosts virtuales, particularmente en un solo físico • servidor, no puede atravesar un conmutador físico. Esta falta de visibilidad aumenta la resolución de problemas complejidad y puede aumentar los riesgos de seguridad debido a un seguimiento y registro inadecuados • capacidades
  • 62. Expansión de VM • Los entornos virtuales pueden crecer rápidamente, lo que lleva a una ruptura en el cambio. • procesos de gestión y agravar los problemas de seguridad, como máquinas virtuales inactivas, hipervisor vulnerabilidades y comunicaciones dentro de la máquina virtual.
  • 63. Máquinas Virtuales • Si bien puede resultar sorprendente ver las VM discutidas en el contexto de la nube nativa, la realidad es que la • En la actualidad, la gran mayoría de las cargas de trabajo del mundo se ejecutan "directamente" (no en contenedores) en máquinas virtuales. La mayoría • Las organizaciones no ven las VM como una plataforma heredada que eliminar, ni simplemente como un host tonto en el que • para ejecutar contenedores. Más bien, reconocen que muchas de sus aplicaciones aún no se han contenedorizado. • y que la máquina virtual tradicional sigue siendo un modelo de implementación fundamental para ellos. Mientras una VM no aloja • Los contenedores no cumplen con los tres atributos de un sistema nativo en la nube, sin embargo, se pueden operar • dinámicamente y ejecutar microservicios.
  • 64. Máquinas Virtuales • Las máquinas virtuales proporcionan los mayores niveles de aislamiento, compatibilidad y control en el continuo y son • adecuado para ejecutar casi cualquier tipo de carga de trabajo. Ejemplos de tecnologías de VM incluyen VMware • vSphere, Microsoft Hyper-V y las instancias proporcionadas por prácticamente todos los proveedores de nube de IaaS, como • como Amazon EC2. Las VM se diferencian de las "VM delgadas" a su derecha en el continuo porque a menudo se operan de una manera con estado con poca separación entre el sistema operativo, la aplicación y • datos.
  • 67. Según lo definido por el estatuto de Cloud Native Computing Foundation (CNCF), los sistemas nativos de la nube tienen las siguientes propiedades: CONTAINER PACKAGED DYNAMICALLY MANAGED MICROSERVICES ORIENTED
  • 68. Dynamically managed • Programado de forma activa y gestionado de forma activa por una organización central • proceso. Mejora radicalmente la eficiencia de la máquina y la utilización de recursos al tiempo que reduce el costo. • asociado con el mantenimiento y las operaciones
  • 69. Microservices oriented • Vagamente acoplado con dependencias descritas explícitamente (por ejemplo, • a través de puntos finales de servicio). Aumenta significativamente la agilidad general y la capacidad de mantenimiento de • aplicaciones. La fundación dará forma a la evolución de la tecnología para avanzar en el estado de • el arte de la gestión de aplicaciones y hacer que la tecnología sea ubicua y fácil • disponible a través de interfaces confiables.
  • 70. Vision Monolitica Una primera idea de cómo afrontar esta aplicación sería la siguiente arquitectura monolítica:
  • 72. • Una forma útil de pensar en las tecnologías nativas de la nube es como un continuo que se extiende desde las máquinas virtuales. • (VM) a contenedores sin servidor. En un extremo están las máquinas virtuales tradicionales que funcionan como entidades con estado, como • lo hemos hecho durante más de una década. Por otro lado, están las aplicaciones completamente sin estado y sin servidor que son • efectivamente, solo paquetes de código de aplicación sin ningún sistema operativo (SO) empaquetado que lo acompañe • dependencias.
  • 73. • En el medio, hay cosas como Docker, el nuevo servicio Fargate de Amazon Web Services (AWS), • plataformas de contenedor como servicio (CaaS) y otras tecnologías que intentan proporcionar un equilibrio diferente • entre compatibilidad y aislamiento por un lado, y agilidad y densidad por otro. Ese equilibrio es • la razón de tal diversidad en el ecosistema. Cada tecnología intenta colocar el fulcro en un • punto diferente, pero los extremos del espectro son consistentes: un extremo prioriza la familiaridad y • separación mientras que el otro intercambia algunas de esas características por una mayor abstracción y menos • esfuerzo de implementación
  • 74. El continuo de las tecnologías nativas de la nube
  • 75. Container packaged • Ejecución de aplicaciones y procesos en contenedores de software como aislados • unidades de implementación de aplicaciones, y como mecanismos para lograr altos niveles de recursos • aislamiento. Mejora la experiencia general del desarrollador, fomenta la reutilización de código y componentes, y • simplifica las operaciones para las aplicaciones nativas de la nube.
  • 78. Containers and orchestration • Developers have widely embraced containers because they make building and deploying cloudnative applications simpler than ever. Not only do containers eliminate much of the friction typically associated with moving application code from testing through to production, application code packaged up as containers can also run anywhere. All the dependencies associated with any application are included within the containerized application. That makes a containerized application highly portable across virtual machines or bare-metal servers running in a local data center or in a public cloud.
  • 79. Containers and orchestration • That level of flexibility enables developers to make huge gains in productivity that are too great to ignore. However, as is the case with the rise of any new IT architecture, cloud- native applications still need to be secured. Container environments bring with them a range of cybersecurity issues involving images, containers, hosts, runtimes, registries, and orchestration platforms, all of which need to be secured
  • 80. Containers and orchestration • Kubernetes is an open-source orchestration platform that provides an API that enables developers to define container infrastructure in a declarative fashion – that is, infrastructure as code (IaC). Leveraging Kubernetes orchestration and a microservices architecture, organizations can publish, maintain, and update containerized cloud-native applications rapidly and at scale.
  • 81. Contenedores integrados en VM • Para algunas organizaciones, especialmente las grandes empresas, los contenedores proporcionan una implementación de aplicaciones atractiva • y enfoque operativo, pero carecen de suficiente aislamiento para mezclar cargas de trabajo de diferentes niveles de sensibilidad. • Dejando a un lado las fallas de hardware recientemente descubiertas como Meltdown y Spectre, las VM proporcionan una • grado de aislamiento, pero a costa de una mayor complejidad y carga de gestión. Integrado en VM • contenedores, como los contenedores Kata y los contenedores integrados de VMware vSphere, buscan lograr esto • al proporcionar una combinación de una API amigable para el desarrollador y una abstracción de la aplicación del sistema operativo mientras se oculta la • complejidades subyacentes de compatibilidad y aislamiento de seguridad dentro del hipervisor.
  • 84. Contenedores • Los contenedores ofrecen las tres características del sistema nativo de la nube, así como un conjunto equilibrado de capacidades y compensaciones a lo largo del continuo. Popularizado y más conocido por el proyecto Docker,Los contenedores han existido en diversas formas durante muchos años y tienen sus raíces en tecnologías como Zonas Solaris y cárceles BSD. Si bien Docker es una marca conocida, otros proveedores están adoptando su tecnologías subyacentes de runc y containerd para crear soluciones similares pero separadas.
  • 86. Contenedores como servicio • A medida que los contenedores crecieron en popularidad y se diversificó el uso, los orquestadores como Kubernetes (y sus derivados • como OpenShift), Mesos y Docker Swarm se volvieron cada vez más importantes para implementar y operar • contenedores a escala. Si bien abstrae gran parte de la complejidad requerida para implementar y operar grandes • cantidad de microservicios compuestos por muchos contenedores y que se ejecutan en muchos hosts, estos • los propios orquestadores pueden ser complejos de configurar y mantener. Además, estos orquestadores • se centran en el tiempo de ejecución del contenedor y hacen poco para ayudar con la implementación y gestión de • hosts subyacentes.
  • 87. Contenedores como servicio • Si bien las organizaciones sofisticadas a menudo usan tecnologías como máquinas virtuales delgadas envueltas en herramientas de automatización para abordar esto, incluso estos enfoques no alivian completamente a la organización desde la gestión del hardware de red, almacenamiento y computación subyacentes. Contenedores como servicio (CaaS) proporcionan las tres características nativas de la nube de forma predeterminada y, mientras se ensamblan desde muchos más componentes genéricos están altamente optimizados para cargas de trabajo de contenedores.
  • 88. Contenedores como servicio • Dado que los principales proveedores de IaaS de nube pública ya tienen grandes inversiones en • automatización e implementación, muchos han optado por aprovechar esta ventaja para construir • plataformas para ejecutar contenedores que se esfuerzan por eliminar la administración del hardware subyacente y • VM de los usuarios. Estas plataformas CaaS incluyen Google Kubernetes Engine, Azure Kubernetes • Service y Amazon EC2 Container Service.
  • 89. Contenedores como servicio • Estas soluciones combinan la implementación de contenedores y capacidades de gestión de un orquestador con sus propias API específicas de plataforma para crear y administrar máquinas virtuales. Esta integración permite a los usuarios aprovisionar capacidad más fácilmente sin la necesidad de administrar el hardware subyacente o la capa de virtualización. Algunas de estas plataformas, como Google Kubernetes Engine, incluso utiliza máquinas virtuales delgadas que ejecutan sistemas operativos centrados en contenedores, como ContainerOptimized OS o CoreOS, para reducir aún más la necesidad de administrar el sistema operativo host.
  • 90. Contenedores como servicio • Las plataformas CaaS se diferencian de los contenedores a su izquierda en el continuo (ver Figura 3-6) por • proporcionando un conjunto más completo de capacidades que abstraen las complejidades involucradas con • aprovisionamiento de hardware y VM. Se diferencian de los contenedores a pedido a su derecha en el • Continuo al permitir que los usuarios aún administren directamente las máquinas virtuales subyacentes y el sistema operativo host. Para • Por ejemplo, en la mayoría de las implementaciones de CaaS, los usuarios pueden SSH directamente a un nodo y ejecutar herramientas arbitrarias como un • usuario root para ayudar en el diagnóstico o personalizar el sistema operativo del host.
  • 92. Contenedores bajo demanda • Si bien las plataformas CaaS simplifican la implementación y operación de contenedores a escala, aún brindan • usuarios con la capacidad de administrar el sistema operativo host subyacente y las máquinas virtuales. Para algunas organizaciones, esto • la flexibilidad es muy deseable, pero en otros casos de uso puede ser una distracción innecesaria. Especialmente para • desarrolladores, la capacidad de ejecutar simplemente un contenedor, sin ningún conocimiento o configuración del • Los hosts o máquinas virtuales subyacentes pueden aumentar la eficiencia y la agilidad del desarrollo.
  • 93. Contenedores bajo demanda • Los contenedores bajo demanda son un conjunto de tecnologías diseñadas para compensar parte de la compatibilidad y • control de las plataformas CaaS para reducir la complejidad y facilitar la implementación. Contenedor bajo demanda • Las plataformas incluyen AWS Fargate y Azure Container Instances. En estas plataformas, los usuarios no pueden • tener la capacidad de acceder directamente al sistema operativo host y debe utilizar exclusivamente las interfaces de la plataforma para • implementar y administrar sus cargas de trabajo de contenedores
  • 94. Contenedores bajo demanda • Estas plataformas proporcionan las tres soluciones nativas de la nube. • atributos y posiblemente incluso los requiera; Por lo general, no es práctico no crear aplicaciones para ellos como • microservicios y el entorno solo se pueden administrar de forma dinámica e implementar como contenedores.
  • 96. Computación sin servidor • El término "sin servidor" generalmente se refiere a un modelo operativo en la computación en nube. En el servidor • modelo, las aplicaciones se basan en servicios administrados que abstraen la necesidad de administrar, parchear y • infraestructura segura y máquinas virtuales. Las aplicaciones sin servidor se basan en una combinación de • servicios en la nube y función como servicio (FaaS). La adopción de un modelo sin servidor puede afectar la aplicación • desarrollo de varias formas:
  • 98. Gastos generales operativos reducidos Sin servidores que administrar, los desarrolladores y DevOps no necesitan preocuparse por escalar la infraestructura, instalar y mantener agentes u otras operaciones relacionadas con la infraestructura.
  • 99. Mayor agilidad • Porque las aplicaciones sin servidor dependen en gran medida de los servicios administrados para las cosas como las bases de datos y la autenticación, los desarrolladores pueden centrarse en la lógica empresarial del aplicación, que normalmente se ejecutará en un FaaS, como AWS Lambda o Google Cloud Funciones.
  • 100. Costos Reducidos • Con la mayoría de los servicios utilizados en aplicaciones sin servidor, el cliente paga solo por • uso. Por ejemplo, con AWS Lambda, los clientes pagan por la ejecución de sus funciones. • Este modelo de precios generalmente tiene un impacto significativo en el costo porque los clientes no tienen que • Pague por la capacidad no utilizada como lo haría con las máquinas virtuales.
  • 105. Objetivos de seguridad nativos de la nube • OBJETIVOS - Al finalizar este módulo del curso, los estudiantes podrán: • Identificar las 4 C de la seguridad nativa de la nube. • Resumir las similitudes y diferencias entre DevOps y DevSecOps. • Reconocer los desafíos de cumplimiento, gobernanza y visibilidad nativa de la nube.
  • 106. Cloud Native Security • La velocidad y la flexibilidad que son tan deseables en el mundo empresarial actual han llevado a las empresas a adoptar la nube tecnologías que requieren no solo más seguridad, sino también nuevos enfoques de seguridad. En la nube, puedes tener cientos o incluso miles de instancias de una aplicación, presentando oportunidades exponencialmente mayores para ataque y robo de datos.
  • 107. Cloud Native Security • Los proveedores de servicios de nube pública han hecho un gran trabajo al asumir la construcción, el mantenimiento y la actualización de hardware informático y proporcionar máquinas virtuales, almacenamiento de datos y bases de datos a sus clientes, junto con seguridad básica para protegerlo todo. Pero aún depende del cliente proporcionar seguridad para los datos, los hosts,contenedores e instancias sin servidor en la nube.
  • 108. Temas Modulo 3 • Las siguientes secciones exploran los problemas de seguridad nativa de la nube, incluida la protección de clústeres de Kubernetes, DevOps y DevSecOps y desafíos de visibilidad, gobernanza y cumplimiento.
  • 109. The 4C’s of cloud native security • El proyecto Kubernetes de Cloud Native Computing Foundation (CNCF) define un modelo de seguridad de contenedores para Kubernetes en el contexto de la seguridad nativa de la nube. Este modelo se conoce como "las 4 C de Cloud Native seguridad". Cada capa proporciona una base de seguridad para la siguiente capa. Las 4 C de la seguridad nativa de la nube son: • Cloud • Clusters • Containers • Code
  • 110. Cloud • La nube (así como los centros de datos) proporcionan la base informática confiable para un clúster de Kubernetes. Si el clúster está construido sobre una base que es inherentemente vulnerable o configurada con poca seguridad controles, las otras capas no se pueden asegurar correctamente.
  • 111. Cluster • Asegurar los clústeres de Kubernetes requiere proteger tanto los componentes configurables del clúster como las aplicaciones que se ejecutan en el clúster.
  • 113. Containers • Asegurar los clústeres de Kubernetes requiere proteger tanto los componentes configurables del clúster como las aplicaciones que se ejecutan en el clúster.
  • 115. Code • Finalmente, el código de la aplicación en sí debe estar protegido. Prácticas recomendadas de seguridad para proteger el código incluyen requerir TLS para el acceso, limitar los rangos de puertos de comunicación, escanear bibliotecas de terceros para vulnerabilidades de seguridad conocidas y análisis de código estático y dinámico.
  • 117. Desarrollo de Software Tradicional • En un modelo de desarrollo de software tradicional, los desarrolladores escriben grandes cantidades de código para nuevas funciones, productos, correcciones de errores, etc., y luego pasar su trabajo al equipo de operaciones para su implementación, generalmente a través de un sistema de venta de entradas automatizado. El equipo de operaciones recibe esta solicitud en su cola, prueba el código y lo obtiene listo para la producción: un proceso que puede llevar días, semanas o meses. Bajo este modelo tradicional, si Las operaciones se topan con problemas durante la implementación, el equipo envía un ticket a los desarrolladores para informar ellos qué arreglar. Eventualmente, después de que se resuelva este vaivén, la carga de trabajo pasa a producción.
  • 118. Desarrollo Tradicional • Este modelo hace que la entrega de software sea un proceso largo y fragmentado. Los desarrolladores a menudo ven a las operaciones como una barricada, lo que ralentiza los cronogramas de sus proyectos, mientras que los equipos de operaciones se sienten como el vertedero para problemas de desarrollo.
  • 120. DevOps and DevSecOps • DevOps resuelve estos problemas al unir los equipos de desarrollo y operaciones en todo el software. proceso de entrega, lo que les permite descubrir y solucionar problemas antes, automatizar las pruebas y la implementación, y reducir el tiempo de comercialización.
  • 121. DevOps and DevSecOps • Para comprender mejor qué es DevOps, primero comprendamos qué no es DevOps. • DevOps no es: • A combination of the Dev and Ops teams. • Its own separate team • A tool or set of tools. • Automation.
  • 123. Desplazar a la izquierda y habilitar DevSecOps • Integra la seguridad en todo el ciclo de vida del desarrollo • La mayoría de las organizaciones modernas se dan cuenta del valor de cambiar la seguridad que queda en el ciclo de vida del desarrollo, especialmente a medida que las aplicaciones se están convirtiendo en colecciones de microservicios y funciones, y todo se está definiendo como código. Los desarrolladores utilizan una amplia gama de herramientas para crear e implementar aplicaciones nativas en la nube, y poner en funcionamiento controles de seguridad que funcionen sin problemas en estas herramientas sigue siendo un desafío.
  • 124. Desplazar a la izquierda y habilitar DevSecOps • Mientras tanto, aunque las herramientas de análisis de código estático existen desde hace muchos años, tienen la reputación de ser difíciles de usar. Para habilitar una cultura de DevSecOps, una forma práctica de cambiar la seguridad que queda en todo el desarrollo el ciclo de vida es esencial.
  • 126. Secure the Deployment • Mientras se desplaza a la izquierda y aplica la seguridad en la fase de construcción es crucial, es igualmente importante garantizar cualquier sistema operativo host, imágenes de contenedor, gotitas PAS y servidores sin servidor las funciones están libres de nuevas vulnerabilidades que pueden haber sido descubierto después de la construcción. Escaneando cualquier registro de contenedor
  • 127. Secure the Deployment • Repositorio sin servidor y aplicando fuentes de código confiables,Prisma Cloud garantiza que incluso el código que ha pasado la compilación Quality Gate está libre de problemas de seguridad cuando llega el momento de la implementación. Si no se cumplen los requisitos de seguridad definidos, Prisma la nube puede detener nuevamente la implementación. De esta manera, no importa cuándo o dónde se realizó una compilación, puede sentirse seguro solo estás implementando código seguro
  • 128. Una combinación de los equipos de desarrollo y operaciones • Todavía hay dos equipos; simplemente operan de forma comunicativa, forma colaborativa.
  • 129. Su propio equipo separado • No existe un "ingeniero de DevOps". Aunque algunas empresas pueden designar un "equipo de DevOps" como piloto cuando se intenta realizar la transición a una cultura de DevOps, DevOps se refiere a un cultura donde los desarrolladores, probadores y personal de operaciones cooperan en todo el software ciclo de vida de la entrega
  • 130. Una herramienta o un conjunto de herramientas. • Aunque existen herramientas que funcionan bien con un modelo DevOps o ayudan a promover Cultura DevOps, DevOps es, en última instancia, una estrategia, no una herramienta.
  • 131. Automatización • Si bien es muy importante para una cultura DevOps, la automatización por sí sola no define DevOps.
  • 132. CI/CD pipeline • Ahora, analicemos qué es DevOps. En lugar de que los desarrolladores codifiquen enormes conjuntos de funciones antes de entregarlos a ciegas a Operaciones para su implementación, en un modelo de DevOps, los desarrolladores frecuentemente entregan pequeñas cantidades de código para pruebas continuas. En lugar de comunicar problemas y solicitudes a través de un sistema de tickets, el Los equipos de desarrollo y operaciones se reúnen con regularidad, comparten análisis y son copropietarios de proyectos desde el principio hasta fin.
  • 133. CI/CD pipeline • DevOps is a cycle of continuous integration and continuous delivery (or continuous deployment), otherwise known as the CI/CD pipeline. The CI/CD pipeline integrates Development and Operations teams to improve productivity by automating infrastructure and workflows as well as continuously measuring application performance. • Continuous integration requires developers to integrate code into a repository several times per day for automated testing. Each check-in is verified by an automated build, allowing teams to detect problems early
  • 134. CI/CD pipeline Continuous delivery means that the CI pipeline is automated, but the code must go through manual technical checks before it is implemented in production. Continuous deployment takes continuous delivery one step further. Instead of manual checks, the code passes automated testing and is automatically deployed, giving customers instant access to new features.
  • 135. DevOps and security • Un problema en DevOps es que la seguridad a menudo termina fracasando. Los desarrolladores se mueven rápidamente y sus flujos de trabajo están automatizados. La seguridad es un equipo independiente y los desarrolladores no quieren reducir la velocidad controles y solicitudes de seguridad. Como resultado, muchos desarrolladores implementan sin pasar por la seguridad adecuada canales e inevitablemente cometer errores de seguridad dañinos.
  • 136. • Para resolver esto, las organizaciones están adoptando DevSecOps. DevSecOps toma el concepto detrás de DevOps: la idea que los desarrolladores y los equipos de TI deben trabajar juntos en estrecha colaboración, en lugar de por separado, en todo el software entrega, y la amplía para incluir seguridad e integrar comprobaciones automatizadas en la canalización completa de CI / CD. Esta se ocupa del problema de seguridad que parece una fuerza externa y permite a los desarrolladores mantener su velocidad sin comprometer la seguridad de los datos
  • 137. Start with Shifting Left • Durante la fase de construcción, Prisma ™ Cloud permite a los desarrolladores para escanear imágenes de máquinas virtuales, imágenes de contenedores, Pivotal Gotitas de servicio de aplicaciones (PAS) y funciones sin servidor para vulnerabilidades y configuraciones inseguras usando nativos complementos de seguridad para entornos de desarrollo integrados (IDE), gestión de código fuente (SCM) y integración / desarrollo continuo (CI / CD) que sin problemas integrar en las herramientas existentes.
  • 138. Start with Shifting Left • Prisma Cloud también le permite escanear sus plantillas de infraestructura como código (IaC) para encontrar configuraciones inseguras utilizado con Terraform®, CloudFormation, manifiestos de Kubernetes y tecnologías similares. Además, Prisma Cloud brinda a los equipos de seguridad el control para fallar en una compilación en función de la vulnerabilidad o los problemas de cumplimiento, lo que evita el software no seguro de progresar más en la tubería y en su lugar forzar el desarrollador para resolver los problemas. A medida que los entornos nativos de la nube se vuelven más automatizados, es fundamental garantizar que los equipos de seguridad puedan establecer y hacer cumplir las puertas de calidad en el proceso.
  • 140. Secure the Deployment • Mientras se desplaza a la izquierda y aplica la seguridad en la fase de construcción es crucial, es igualmente importante garantizar cualquier sistema operativo host, imágenes de contenedor, gotitas PAS y servidores sin servidor las funciones están libres de nuevas vulnerabilidades que pueden haber sido descubierto después de la construcción. Escaneando cualquier registro de contenedor o repositorio sin servidor y aplicando fuentes de código confiables, Prisma Cloud garantiza que incluso el código que ha pasado la compilación Quality Gate está libre de problemas de seguridad cuando llega el momento de la implementación. Si no se cumplen los requisitos de seguridad definidos, Prisma la nube puede detener nuevamente la implementación. De esta manera, no importa cuándo o dónde se realizó una compilación, puede sentirse seguro solo está implementando código seguro.
  • 141. Use Comprehensive Risk Prioritization and Runtime Protection • Con un código vulnerable que no puede llegar a producción, su la superficie de ataque se reduce considerablemente. Para complementar esto, Prisma la nube proporciona seguridad integral en tiempo de ejecución, automáticamente clasificar cada problema por la gravedad del riesgo, así como por su impacto su uso y entorno únicos. Además, Prisma la nube usa metadatos de una aplicación (durante la etapa de CI) junto con etiquetas para notificar automáticamente al desarrollador específico quién creó la aplicación, directamente dentro de las herramientas de desarrollo que ya estén usando.
  • 142. Use Comprehensive Risk Prioritization and Runtime Protection • Prisma Cloud proporciona priorización de riesgos para cualquier entorno en ejecución, de modo que los equipos de seguridad puedan monitorear continuamente todos sus infraestructura y aplicaciones nativas de la nube y priorizar rápidamente esfuerzos de remediación. Informando automáticamente a los desarrolladores cuando deben corregir y volver a implementar su código, solo Prisma Cloud hace que DevSecOps sea una realidad
  • 144. Visibility, governance, and compliance • Asegurarse de que sus recursos en la nube y aplicaciones SaaS estén configurados correctamente y se adhieran a su los estándares de seguridad de la organización desde el primer día son esenciales para evitar ataques exitosos. Además, haciendo asegurarse de que estas aplicaciones, así como los datos que recopilan y almacenan, estén debidamente protegidas y cumplan fundamental para evitar multas costosas, daños a la reputación de la marca y pérdida de la confianza del cliente. Cumpliendo con los estándares de seguridad y mantener entornos compatibles a escala y en todas las aplicaciones SaaS es un requisito para la seguridad de equipos
  • 145. • A pesar de la disponibilidad de numerosas herramientas, la mayoría de las organizaciones luchan por controlar eficazmente sus datos. exposición y hacer cumplir las políticas de seguridad en entornos de nube y aplicaciones SaaS en constante cambio. Además, garantizar el cumplimiento donde los datos se almacenan en entornos distribuidos supone un importante carga sobre los equipos de seguridad limitados
  • 146. • Garantizar la gobernanza y el cumplimiento en entornos de múltiples nubes y aplicaciones SaaS requiere: • Descubrimiento y clasificación en tiempo real de recursos y datos a través de SaaS dinámico, así como PaaS e IaaS ambientes. • Gobernanza de la configuración, asegurando que las configuraciones de aplicaciones y recursos se adapten mejor a su seguridad prácticas tan pronto como se implementan y evitan la desviación de la configuración • Gobernanza de acceso mediante definiciones de políticas granulares para gobernar el acceso a aplicaciones y recursos SaaS en la nube pública, así como para aplicar la segmentación de la red • Auditoría de cumplimiento, aprovechando la automatización y los marcos de cumplimiento integrados, para garantizar el cumplimiento en cualquier momento y genere informes listos para auditorías bajo demanda.
  • 147. • Experiencia de usuario perfecta que no obliga a pasos adicionales ni introduce una latencia significativa en el uso de aplicaciones a medida que agrega nueva seguridad
  • 148. The Future of Network Security Is in the Cloud • La transformación del negocio digital invierte los patrones de diseño de servicios de seguridad y redes, cambiando el enfoque apunte a la identidad del usuario y / o dispositivo, no al centro de datos. Gestión de riesgos y seguridad. Los líderes necesitan una ventaja de servicio de acceso seguro y convergente en la nube para abordar este cambio.
  • 149. Los líderes de seguridad y gestión de riesgos responsables de la seguridad de las redes y los puntos finales deben: Posicionar la adopción de SASE como un habilitador de negocios digitales en nombre de la velocidad y la agilidad. Arquitecto para mover los motores de inspección a las sesiones, no para redirigir las sesiones a los motores. Cambie el personal de seguridad de la administración de cajas de seguridad a la prestación de servicios de seguridad basados ​​en políticas. Interactúe con los arquitectos de redes ahora para planificar las capacidades de SASE. Utilice WAN definida por software y MPLS descargan proyectos como catalizador para evaluar los servicios integrados de seguridad de redes. Reduzca la complejidad ahora en el lado de la seguridad de la red pasando a idealmente un proveedor para Puerta de enlace web (SWG), agente de seguridad de acceso a la nube (CASB), DNS, acceso a la red de confianza cero (ZTNA) y capacidades de aislamiento de navegador remoto.
  • 151. Supuestos de planificación estratégica • Para 2023, el 20% de las empresas habrán adoptado las capacidades SWG, CASB, ZTNA y sucursales de FWaaS de el mismo proveedor desde menos del 5% en 2019. • Para 2024, al menos el 40% de las empresas tendrán estrategias explícitas para adoptar SASE, en comparación con menos del 1% a fines de 2018. • Para 2025, al menos uno de los principales proveedores de IaaS ofrecerá un conjunto competitivo de capacidades SASE.