Voy a decir algo: CLOUD !!! ¿Sigues ahí? ¿No ha muerto el gatito de internet? Lo siento, voy a hablar del Cloud y encima de el de Microsoft !! Azure :-)
Como buenos informáticos que somos, cuando pensamos en estas cosas, pensamos en que no es nada más que unas máquinas en internet. Nos gusta, nos sentimos cómodos creyendo que lo sabemos todo, o al menos, sabemos un poco de casi todo.. Además, el ser humano por naturaleza tiene funciones cognitivas basadas en la comparación, y nosotros de máquinas y de internet sabemos...
Con esta locura-reflexión comienzo el post de hoy sobre un servicio de seguridad de la mano de Microsoft Azure.
Como decía, cuando contratas un servidor en internet sueles buscar precio, capacidades de cómputo, memoria, disco, red. Eso no es Cloud. Por ejemplo, cuando hablamos de Cloud, hablamos en facilidad para despliegue, rapidez, orquestación y demás servicios que puedan extender tu infraestructura, servicios y demás.
La capacidad de conexión y control de los distintos servicios también es muy importante a la hora de construir una infraestructura en la nube, o montar un Cloud...
Pero aquí vamos a hablar de seguridad. La seguridad tiene varias vertientes, vamos a comenzar con alguna de las que menos nos gustan Legal.
Azure es un proveedor autorizado por la Agencia Española de Protección de datos para exportar nuestra información. La resolución es esta.
Si investigas un poco sobre la transferencia internacional verás muchas resoluciones puntuales entre empresas internacionales concretas, pero con Azure tenemos garantizada la legalidad implícitamente. Esto es extensible a Azure, Office 365 y al ERP en la nube Dynamics.
Si tu organización es pública y requiere pasar el famoso ENS (Esquema Nacional de Seguridad) Microsoft Azure ahora mismo es el único proveedor internacional de cloud certificado para ello en el nivel ALTO. Más información.
Hasta estás aburrido, no te interesa nada todo esto... o quizás si. Vamos ahora con la seguridad técnica.
Lo primero que hacemos es entrar al Security Center del portal Azure para ver que nos indica.
Empezamos a ver indicadores y podemos pinchar en mil sitios, vamos a pinchar por todas partes.
Una de las recomendaciones de seguridad que nos indica el servicio es que no tenemos un Firewall a nivel de la infraestructura, a nivel de lo que sería el perímetro, y nos ofrece la posibilidad de contratar 2 servicios. Como es normal, tu puedes montar lo que quieras, es decir, un Mikrotik virtual o un PFSENSE sobre tu linux favorito, pero Microsoft te ofrece la compra de licencias de partners, como es lógico. Si elegimos la solución Barracuda obtenemos 30 días de prueba. El servicio Checkpoint es de tan solo 15 días.
Hay que decir que hablamos de FiREWALL Next gen, es decir, con DPI (Deep Packet inspection) y otra serie de tecnologías más allá de bloquear puertos, esto lo hacen por defecto los servicios de Azure sin necesidad de comprar más licencias.
Si queremos establecer una comparación con un proveedor distinto, por ejemplo, OVH, podemos equipararlo a las soluciones NSX de los hosts con VMWARE o las soluciones Cisco ASA para dedicados y VRACK en general. Hay que tener en cuenta que los precios de estas licencias van condicionados al número de máquinas y caudal de conexión, algo que puede provocar un SPOF o cuello de botella en nuestros despliegues bajo demanda...
Bien Microsoft nos anima a comprar licencias... algo mas????.
Grupos de seguridad. ¿Que son grupos de seguridad? Configuraciones de reglas de entrada y salida de red, las típicas reglas de firewall pero que se asignan por defecto a tus grupos de recursos. Esto es MUY interesante. Imagina un cluster de servidores web en los que tienes X puertos abiertos al público, X puertos de comunicaciones entre ellos y X puertos de comunicación con tu sede o un extremo conocido. Sin duda, que por defecto las nuevas instalaciones de máquinas asuman estas configuraciones es un valor añadido.
INSISTO en lo de antes, esto no es contratar máquinas en internet, para eso, tenemos otras soluciones...
Ahora os voy a soltar la bomba !!! la solución de seguridad, definitiva !!! lo nunca visto !!! Capar el extremo de un servicio solo a una IP. Tachannnnnnnnnn, a que merezco un premio?.
Si trabajas en auditorias me contarás, en cuantos clientes, no se realiza esta medida? No hay una restricción de IP entre dos sedes con ip fija y la VPN está disponible para todos... o la conexión SSH.. Es una medida CHORRA, pero que aumenta la seguridad considerablemente. Azure entiende que esta medida es básica para la conexión SSH de las máquinas virtuales linux, y como tal, te lo indica con una alerta. Ya sabes que lo mismo, si el usuario ve la alerta, lo mismo digo... le de por solucionarlo... otra cosa que suele pasar es que se acostumbre a tener alertas:1 y no sirva de nada...
Por último vamos a ver la recomendación del informar sobre un responsable. Esto parece una trivialidad, pero cuando estás en el mundo de la respuesta a incidentes no lo es tanto. Tener una persona DEFINIDA y responsable de la seguridad es vital para gestionarle. Nos pasa en muchos casos de tener incidentes de seguridad con terceros, intentar averiguar quien es el encargado de la gestión, y tener que contactar con 3, 4 o quizás mas personas para encontrar al responsable. Este campo es muy bueno, ya no por su valor técnico, sino por la implicación a nivel de empresa de tener que designar un responsable...
Lo bueno de este portal o servicio de seguridad es que es completamente compatible con el uso de ROLES dentro de una empresa con varios administradores.
Seguro que te parece interesante este servicio, o quizás no, quizás seas de los que quiere más "chicha", más nivel técnico, logs, eventos, SIEMS y demás servicios de seguridad. Bien, lo dejamos para el próximo episodio? :-)
Gracias por leerme !!!