Mejores Practicas para el Despliegue de Nuevos Ambientes en la Nube por Primera Vez – Parte 3
En las Partes 1 y 2, revisamos la planificación de asignación de recursos, etiquetado de recursos, autenticación, autorización y política de contraseñas, seguimiento de auditoría, control presupuestario, acceso seguro a entornos de nube, gestión de recursos informáticos y almacenamiento de información confidencial.
En la tercera y última parte de la serie, revisaremos las mejores prácticas adicionales para construir nuevos entornos en la nube.
Almacenamiento de Objetos
Al utilizar el almacenamiento de objetos, se recomienda seguir las siguientes pautas:
- Evitar permitir el acceso público a servicios como Amazon S3, Azure Blob Storage, Google Cloud Storage, Oracle Cloud Object Storage, etc.
- Habilitar el acceso de auditoría en el Almacenamiento de Datos y almacenar los registros de acceso en una cuenta central en el entorno de la nube (que será accesible solo para una cantidad limitada de cuentas de usuario).
- Se recomienda encarecidamente cifrar los datos en reposo en todos los datos dentro del Almacenamiento de objetos y cuando exista un requisito comercial o reglamentario, y cifrar los datos utilizando claves administradas por el cliente.
- Se recomienda encarecidamente aplicar HTTPS / TLS para acceder al almacenamiento de objetos (usuarios, computadoras y aplicaciones).
- Evitar crear nombres de depósito de almacenamiento de objetos con información confidencial, ya que los nombres de depósito de almacenamiento de objetos son únicos y se guardan dentro de los servidores DNS de todo el mundo.
Redes
- Hay que asegúrese de que el acceso a todos los recursos esté protegido por listas de acceso (como Grupos de seguridad de AWS, Grupos de seguridad de red de Azure, Reglas de firewall de GCP, Grupos de seguridad de red de nube de Oracle, etc.)
- Se debe evitar permitir el acceso entrante a entornos en la nube utilizando protocolos como SSH o RDP (en caso de que sea necesario el acceso remoto, use el servidor Bastion o las conexiones VPN).
- En la medida de lo posible, se recomienda evitar el tráfico saliente del entorno de la nube a Internet. Si es necesario, use un NAT Gateway (como Amazon NAT Gateway, Azure NAT Gateway, GCP Cloud NAT, Oracle Cloud NAT Gateway, etc.)
- Tanto como sea posible, use nombres DNS para acceder a los recursos en lugar de IP estáticas.
- Al desarrollar entornos de nube y subredes dentro de entornos nuevos, se debe evitar la superposición de IP entre subredes para permitir la interconexión entre entornos de nube.
Uso avanzado de ambientes de nubes
- Es preferible usar servicios administrados en lugar de administrar manualmente máquinas virtuales (servicios como Amazon RDS, Azure SQL Database, Google Cloud SQL, etc.)
- Esto permite el consumo de servicios, en lugar de mantener servidores, sistemas operativos, actualizaciones / parches, copias de seguridad y disponibilidad, suponiendo que se elijan servicios gestionados en modo de clúster o réplica.
- Utiliza Infraestructura como Código (IoC) para facilitar las implementaciones del entorno, reducir los errores humanos y estandarizar la implementación en múltiples entornos (Prod, Dev, Test).
- Alternativas comunes de Infraestructura común como código:
o Google Cloud Deployment Manager
o Oracle Cloud Resource Manager
Resumen
Para sumarizar
Planea. Conoce lo que necesitas. Piensa en la escala.
Si usas las mejores prácticas descritas aquí, despegar en la nube por primera vez será un viaje más fácil, seguro y ligero de lo que podría esperar.
Referencias adicionales
- AWS Well-Architected
- Microsoft Azure Well-Architected Framework
- Google Cloud's Architecture Framework
- Oracle Cloud Infrastructure Best Practices Framework
traducido por www.spainclouds.com/authors/ada-palazuelos
