Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS

Seguridad de Redes e Internet
Ingeniería de Sistemas y Seguridad Informática
Mg. Ing. Jack Daniel Cáceres Meza, PMP
Sesión 03
Infraestructura como servicio -IaaS

2
Mg, Ing. Jack Daniel Cáceres Meza, PMP
El padre de la inteligencia artificial, John
McCarthy , dijo en 1961 que “si los equipos
del tipo que he defendido se convierten en las
computadoras del futuro, entonces algún día
la computación podrá organizarse como un
servicio público al igual que el sistema
telefónico es un servicio público [...] la
computadora como servicio básico podría
convertirse en la base de una industria nueva
e importante” [cursivas añadidas]. Esta es
una referencia, de las más antiguas,
relacionadas con el paradigma de servicio
que promulga la computación en nube.
Modelos de negocio
Cambios tecnológico fundamentales
Cambios en el perfil de la fuerza laboral

3
Web apps
 Prosumidores (consumidores y productores de información).
 Web 3.0
 Web semántica  información y no solo datos; interpretar datos
 “Una de las razones por las que no debes usar aplicaciones web para tus tareas
de TI, es que pierdes el control. Tú debes estar en condiciones de realizar tus
propias tareas en tu propio PC, en un programa amante de la libertad. Si usas
un programa propiedad de un proveedor, o el servidor Web de otra persona,
entonces quedas indefenso…el cloud computing es una trampa”. (Richard
Stallman, de la Free Software Foundation y el proyecto GNU)
 Cloud computing es una plataforma altamente escalable que promete un
acceso rápido al recurso hardware o software y donde el usuario no necesita
ser experto para su manejo y acceso.
 Our world has become mobile, connected, interactive, immediate and fluid.
(HP)

4
Ítem 2010 2011 2012 2013
1 Cloud Computing Cloud Computing Media Tablets and Beyond Mobile device battles
2 Advanced Analytics
Mobile Applications and
Media Tablets
Mobile-Centric Applications
and Interfaces
Mobile applications and HTML5
3 Client Computing
Social Communications and
Collaboration
Contextual and Social User
Experience
The personal cloud
4 IT for Green Video Internet of Things The Internet of Things
5
Reshaping the Data
Center
Next Generation Analytics
App Stores and
Marketplaces
Hybrid IT and cloud computing
6 Social Computing Social Analytics Next-Generation Analytics Strategic Big Data
7
Security – Activity
Monitoring
Context-Aware Computing Big Data Actionable analytics
8 Flash Memory Storage Class Memory In-Memory Computing
Mainstream in-memory
computing (IMC)
9
Virtualization for
Availability
Ubiquitous Computing Extreme Low-Energy Servers Integrated ecosystems
10 Mobile Applications
Fabric-Based Infrastructure
and Computers
Cloud Computing Enterprise app stores
URL
http://www.gartner.com/
it/page.jsp?id=1210613
http://www.gartner.com/it/page.jsp?i
d=1454221
http://www.gartner.com/it/page.jsp
?id=1826214
http://my.gartner.com/portal/server.pt?
open=512&objID=270&mode=2&PageID
=3862698&resId=2335015&ref=QuickSe
arch&sthkw=strategic+technology+tren
ds+2013
Tecnologías estratégicas según Gartner

5
¿Qué es computación en nube?
 Solo marketing hype
 Otra moda
 Nombre nuevo para viejos servicios
 Nube pero no realidad
 Otro nombre para Web 2.0
 Modelo de autoservicio
 Modelo de inseguridad
 Service oriented architecture (SOA) - define la utilización de servicios para dar
soporte a los requisitos del negocio (exposición e invocación /proveedor y
consumidor de servicios). Implica una orquestación _____.
 Entre 2009 y 2014 el mercado de la computación en la nube se multiplicará
casi por tres, hasta llegar a un volumen cercano a los 150 mil millones de
dólares anuales. (Gartner)
 Es tanto una experiencia del usuario como un modelo empresarial.

6
Computación en nube -¿puntos de vista?
Vídeo
Un overview sobre cloud computing
(https://www.youtube.com/watch?v=M0rWkjsK1yM)
Vídeo
Qué es la Nube
(https://www.youtube.com/watch?v=keLdVa9CLE0)
Vídeo
Qué es la nube y cómo funciona
(https://www.youtube.com/watch?v=PihhJcfmtiA)

7
Líderes

8
Cloud Computing
 La Computación en Nube (Cloud Computing) promete acelerar
la implementación de aplicaciones, aumentar la innovación y
minorizar los costos al mismo tiempo que incrementa la
agilidad de negocio. También puede transformar la manera en
que diseñamos, construimos y ofrececemos aplicaciones.
(Oracle)
 En IBM concebimos Cloud Computing como un modelo de
aprovisionamiento rápido de recursos TI que potencia la
prestación de servicios TI y servicios de negocio, facilitando la
operativa del usuario final y del prestador del servicio. Además
todo ello se realiza de manera fiable y segura, con una
escalabilidad elástica que es capaz de atender fuertes cambios
en la demanda no previsibles a priori, sin que esto suponga
apenas un incremento en los costes de gestión. (IBM)
¿Expectativas?

9
Cloud Computing
 With cloud computing, organizations like yours need to understand where and
how technology services can benefit from cloud solutions. You can combine
cloud computing with your traditional IT Infrastructure to create an IT model
that is best for you. You can deliver IT services from a public cloud, private
cloud or a flexible hybrid delivery model as you become an Instant-On
Enterprise. (HP)
 Cloud computing is a model for enabling convenient, on-demand network
access to a shared pool of configurable computing resources (e.g., networks,
servers, storage, applications, and services) that can be rapidly provisioned and
released with minimal management effort or service provider interaction. This
cloud model promotes availability and is composed of five essential
characteristics, three service models, and four deployment models. (NIST)
¿Pay-as-you-use/go?

10
Cloud Computing –visión NIST

11
2011: Gartner predicts that
the most transformational
technologies included in
the Hype Cycle will be the
following: virtualization
within two years; Big Data,
Cloud Advertising, Cloud
Computing, Platform-as-a-
Service (PaaS), and Public
Cloud computing between
two and five years; and
Community Cloud,
DevOps, Hybrid Cloud
Computing and Real-time
Infrastructure in five to ten
years.

12

13
Preguntas subyacentes
 ¿En qué se apoya el modelo?
 ¿Qué tipo de proveedor está mejor preparado para proveer servicios
en nube?
 ¿Fallos?

14
Tipos de nube y niveles de calidad de servicio
Fuente: Hitachi

15
Security issues
1. Gartner:
 Privileged user access
 Regulatory compliance
 Data location
 Data segregation
 Recovery
 Investigative support
 Long-term viability
2. Dimension Data:
 Private IP addresses for cloud servers -should
be routable between cloud networks
 Client-to-site VPN connectivity -site-to-site VPN
tunnel
 Full control over the login credentials -assign
role-based permissions
 All administrative actions should be logged
¿Nos interesa?
• Seguridad de la red
• Acceso seguro de
usuarios
• Cumplimiento regulatorio
• Seguridad de la máquina
virtual
• Seguridad de los datos
• Recuperación ante
desastres
• Continuidad del negocio
• Seguridad física
…

16
Política de seguridad –moldeada por:
 El tipo de servicio de nube que el proveedor hospeda: Software as a Service
(SaaS), Platform as a Service (PaaS) o Infrastructure as a Service (IaaS).
 Si es pública o privada.
 Cuánto control tiene el consumidor sobre los sistemas operativos, el hardware
y el software.
 Cómo se aplican las políticas de umbral de solicitudes de usuarios, recursos y
datos a cada tipo de servicio de nube.
 Cuáles cambios en el comportamiento proactivo de la aplicación ocurrieron
para que una aplicación interna funcione bien y esté protegida en la nube.
 Si el proveedor es interno y está dentro de un centro de datos controlado por
la organización, o si está hospedado externamente por algún miembro de la
industria de las telecomunicaciones.
 El tipo de consumidor que representa es amplio — como comercio minorista,
energía y servicios públicos, mercados financieros, atención sanitaria o
productos químicos o petróleo.

17
Seguridad
 De la Información
 Disponibilidad
 Integridad
 Confiabilidad
 Informática
 Activos (de información)
 Controles
 Sentido común
 Tecnología
 Personas
 Procesos
NTP ISO/IEC 27001
• Se denomina activo a
aquello que tiene algún
valor para la
organización y por tanto
debe protegerse.
• De manera que un
activo de información es
aquel elemento que
contiene o manipula
información.

18
Tendencias
 La pregunta, entonces, no es si se deben o no implementar
operaciones en la nube. La pregunta en todo caso es cuáles son las
variables a tomar en cuenta para que la implementación ofrezca el
máximo rendimiento.
 Los CIO inteligentes llegarán a reconocer que su nueva función es
gestionar la infraestructura, y no los bienes.
 Cada CIO debe evaluar los sistemas existentes y llegar a un plan para
reducir su propio costo, ya sea mediante la sustitución con una
aplicación SaaS o contratando las operaciones de “outsourcing” a un
proveedor más barato.
 La postnube va a generar una organización de TI que se basará
principalmente en PaaS, con una organización interna o externa para
administrar la funcionalidad subyacente y la infraestructura.
Marcelo Lozano, PCWorld

19
Modelo de prestación de servicios

20
Anatomía de una nube
 La computación en nube es una solución integral en la cual todos los
recursos informáticos (hardware, software, sistemas de redes,
almacenamiento, etc.) son brindados a los usuarios de manera rápida
según lo que determina la demanda. Los recursos o servicios que se
brindan son controlables a fin de asegurar cuestiones tales como la alta
disponibilidad, la seguridad y la calidad. El factor clave para estas
soluciones es que poseen la capacidad de ser escaladas de manera
ascendente y descendente, de manera que los usuarios obtengan los
recursos que necesitan: ni más ni menos.
Software
como
servicio -
SaaS
Plataforma
como
servicio -
PaaS
Infraestructura
como servicio -
IaaS

21
IaaS
 Actualiza Twitter o Facebook? Adiciona fotos a Flickr? Usa Yahoo para
su correo electrónico? Usted está utilizando la nube. La mayoría de
nosotros ya confía en la nube para los datos sensibles.
 ¿Cuál es la base?
 Servidores
 Virtualización
 Red de datos
 Almacenamiento
 Comunicaciones
 Telecomunicaciones
 Data loss prevention
 Trazabilidad
 …
• Tamaño del centro de datos
• Cifrado, PKI
• Canales seguros
• Capacidad de los canales
• La nube es para todos, pero
no para todo
• La nube no es Internet
• Estándares
• Políticas de privacidad
• La nube no roba puestos de
trabajo de TI
consideraciones
HP CI-MM: Convergence Infrastructure Maturity Model

22
Esquema del modelo nube
Infraestructura  Hardware
Plataforma  Aplicación
informática
Software 
Programa informático
Lo que se
consume
Con lo que se
construye
A donde se
migra
Vídeo: ¿Qué es iaaS? y cómo funciona
(https://www.youtube.com/watch?v=IVZiIVNm9RE)

23
Fuente: elaboración propia

24

25
IaaS

26
Modelos
 Separate System
Approach
 Dedicated Server for
each customer
 Excellent customer
isolation
 Expensive to the service
provider because of
dedicated hardware
 Difficult for service
provider to manage
 COST: High
 SECURITY: Good (Low
Risk)

27
Modelos
 Shared Tenet Approach
 Customers share
hardware and run off a
single software image
 Inexpensive and easy to
manage for the service
provider
 Poor isolation of one
customer from another
 Poor security, increased
risk
 COST: Low
 SECURITY: Poor (High
Risk)

28
Modelos
 Virtual Machine Approach
 Dedicated virtual
machine for each
customer (and ideally
dedicated CPU)
 Excellent customer
isolation
 Much less expensive
and easier to manage
for the service provider
than dedicated
hardware
 COST: Low
 SECURITY: Good (Low
Risk)

29
Características IaaS
 Los recursos se distribuyen como un servicio
 Permite el escalamiento dinámico
 Tiene un costo variable, modelo de pago por uso
 Particularmente útil:
 Cuando la demanda es muy volátil
 Para las nuevas organizaciones sin capital para invertir en hardware
 Cuando la organización está creciendo rápidamente y la escala de hardware sería
problemática
 Necesidad de limitar el CAPEX y mover a OPEX
 Para la línea de negocio concreta, el juicio o las necesidades de infraestructura de
carácter temporal
 Dónde IaaS puede no ser la mejor opción:
 Cuando el cumplimiento normativo hace que la deslocalización o externalización
de almacenamiento de datos y el procesamiento de difícil
 Cuando se requiera que los más altos niveles de rendimiento, y en las instalaciones
o infraestructura organizada dedicada tiene la capacidad de satisfacer las
necesidades de la organización

30
Para establecer la arquitectura debemos responder:
 ¿Qué servicios prestará o adquirirá?
 IaaS
 ¿Cómo creará y prestará los servicios?
 Herramientas, los procedimientos y el gobierno
requeridos para planificar, definir, catalogar,
configurar, entregar, monitorear, medir, facturar y
realizar informes sobre los servicios entregados en
nube.
 ¿Cómo accederán los usuarios a los servicios?
 Un catálogo de los servicios que les permita a los
usuarios finales seleccionar, ordenar y configurar los
servicios brindados en nube es un componente
esencial de una arquitectura en nube. Además, para
las nubes privadas, la arquitectura debería abordar la
provisión de una consola operativa para la entrega de
los servicios y los gerentes operativos.

31
Servidores
Redes
Firewalls
Balanceadores
Almacenamiento
…
Escritorios

32
Consideraciones
 Cloud bursting
 Modelo de implementación de
aplicaciones en el que una aplicación
se ejecuta en una nube privada o
centro de datos y “estalla” en una
nube pública cuando se requiere
mayor capacidad de computación
que la provista.
 Sugerido para aplicaciones no
críticas que manejan información no
sensible (no PCI Security Standards
Council compliant).
 Funciona mejor para las aplicaciones
que no dependen de una
infraestructura de entrega de
aplicaciones complejas o integración
con otras aplicaciones, componentes
y sistemas internos para el centro de
datos.
• Posible incompatibilidad
entre los diferentes
ambientes y la
disponibilidad limitada
de herramientas de
gestión.
• Latencia de la
comunicación.
• Manejo de la seguridad.

33
Consideraciones
 Cloud balancing
 Is the routing application
requests across applications
or workloads that reside in
multiple clouds.
 It assumes that all instances
of the application deployed
in the various clouds are
accessible at all times.
Conjunto de
circunstancias
en el que se
produce un
hecho
¿Solo eso?

34
Consideraciones
 Resource pooling
 The provider’s computing resources are pooled to serve multiple
consumers using a multi-tenant model, with different physical and virtual
resources dynamically assigned and reassigned according to consumer
demand.
 Applications and virtual machines are provisioned automatically while
resources are pooled and delivered on-demand according to business-
driven policies, letting you build a self-managing virtual infrastructure for
increased efficiency and agility.

35
Consideraciones
 Elasticidad: capacidad de escalar-reducir tu sistema por demanda -y
hacerlo en tiempo récord.
 Virtualización:
 De recursos: tecnología que a partir de hardware físico permite ofrecer
máquinas (“trozo” de CPU + “trozo” de memoria del hardware físico) y/o
almacenamiento virtual (“trozos” de disco duro físico) en cuestión de
minutos y por lo tanto ofrece la flexibilidad de añadir o disminuir recursos
en tu infraestructura según tus necesidades.
 De plataforma: simulación/emulación de un hardware completo (APIs,
kernel, máquina virtual JAVA).

36
Tipos de hipervisor (virtual machine monitor –VMM)
Tipo I
(unhosted, bare
metal o nativo)
Tipo II
(hosted)
VMware vSphere™ ESXi
XEN, KVM
Citrix XenServer
Microsoft Hyper-V
Oracle VirtualBox
QUEMU, WINE
VMware Workstation
VMware Server
Máquina Virtual Java
Máquina virtual .NET
Microsoft Virtual Server
•Mayor
rendimiento
•Mayor
robustez
• Facilidad de
instalación y
configuración
• Garantía de
acceso al
hardware
físico
RAM
HDD
Intel VT-x / AMD-V

37
En qué apoya la virtualización
 Consolidación de recursos
 Ahorros energéticos –Green IT
 Uso mejorado de la infraestructura de la tecnología de la informática (mayor
índice de utilización, ahorro de espacio, reducción de costos operativos, …)
 Recuperación de desastres
 Continuidad del negocio
 Aislamiento
 Mejorar las técnicas de redundancia y clusterización
 Seguridad
 Flexibilidad
 Agilidad
 Mantenimiento centralizado
 Portabilidad
…

38
Ejemplo

39
Consideraciones
 The hypervisor –IaaS software
 Low level code that runs independent of an operating system, responsible
for taking inventory of hardware resources and allocating said resources
based on demand.
Módulos de núcleo que se ejecutan en el
dominio de control para configurar el
hipervisor.
Módulos de núcleo y los demonios que se
ejecutan en los dominios de E/S y los
dominios de servicio para proporcionar E/S
virtualizada, y módulos de núcleo que se
comunican por medio de canales de dominio
lógico (LDC).
Módulos de núcleo y controladores de
dispositivos que se ejecutan en los dominios
invitados para acceder a dispositivos de E/S
virtualizados y módulos de núcleo que se
comunican por medio de los LDC.
Validación de
firmas de
software,
firmware y
módulos

40

jack_caceres@hotmail.com
Gracias por su atención
¿Preguntas?
jack_caceres@hotmail.com

Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS

Similar to Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS (20)

More from Jack Daniel Cáceres Meza

More from Jack Daniel Cáceres Meza (20)

Recently uploaded

Recently uploaded (20)

Curso: Seguridad de redes e Internet: 03 Infraestructura como servicio IaaS