Mejores prácticas para implementar nuevos entornos en la nube por primera vez - Parte 1

Eyal Estrin
Computación en la nube
August 17, 2020

Mejores prácticas para implementar nuevos entornos en la nube por primera vez - Parte 1

Cuando las empresas dan sus primeros pasos para utilizar los servicios de nube públicos tienden a fijarse en un objetivo específico.

Mi recomendación: ¡piensa a escala!

Planifica un par de pasos por adelantado en lugar de buscar un único servidor que atienda a unos pocos clientes. Piensa en un gran entorno compuesto por cientos o miles de servidores que atiendan a 10.000 clientes al mismo tiempo.

Esta planificación te permitirá administrar el entorno (infraestructura, seguridad de la información y presupuesto) cuando alcances una escala de miles de clientes simultáneos. Cuanto más planifiquemos la implementación de nuevos entornos de acuerdo con sus fines comerciales y los recursos requeridos para cada entorno, más fácil será planificar la ampliación, al tiempo que mantenemos un alto nivel de seguridad, control de gestión de cambios y presupuesto y más.

En esta serie de blogs de tres partes, revisaremos algunos de los temas más importantes que te ayudarán a evitar errores al crear nuevos entornos en la nube por primera vez.

 

Planificación de la asignación de recursos

El primer paso en la planificación de la asignación de recursos es decidir cómo dividir los recursos según una estructura organizativa (ventas, RR.HH., infraestructura, etc.) o según los entornos (producción, desarrollo, pruebas, etc.) 

Para evitar mezclar recursos (o derechos de acceso) entre varios entornos, la mejor práctica es separar los entornos de la siguiente manera:

  •  Entornos que comparten una cuenta de recursos (productos de seguridad, auditoría, gestión de facturación, etc.)
  • Cuenta del entorno de desarrollo (considera la posibilidad de crear una cuenta separada para fines del entorno de prueba)
  •    Cuenta del entorno de producción

 

La separación de diferentes cuentas o entornos se puede realizar mediante:

 

 

Etiquetado de recursos

Incluso al implementar un solo servidor dentro de un entorno de red (AWS VPC, Azure Resource Group, GCP VPC) es importante etiquetar los recursos. Esto permite identificar qué recursos pertenecen a qué proyectos / departamentos / entornos a efectos de facturación.

 

Ejemplos de etiquetado comunes:

  •   Proyecto
  •    Departamento
  •   Entorno (Prod, Dev, Test) 

Más allá del etiquetado, es recomendable agregar una descripción a los recursos que admiten este tipo de metadatos, con el fin de ubicar los recursos por su uso previsto.

 

Política de autenticación, autorización y contraseñas

Para facilitar la gestión del trabajo con cuentas en la nube (y, en el futuro, varias cuentas según los distintos entornos), la mejor práctica es seguir las siguientes indicaciones:

  •   Autenticación central: en caso de que la organización no use Active Directory (AD) o Directorio Activo (DA) para la administración central de cuentas y los derechos de acceso, la alternativa es usar servicios administrados como  AWS IAM, Google Cloud IAM, Azure AD, Oracle Cloud IAM, etc.

Si eliges el servicio IAM administrado, es fundamental establecer la política de contraseñas de acuerdo con la política de contraseñas de la organización (longitud mínima de la contraseña, complejidad de la contraseña, historial de contraseñas, etc.)

  • Si la organización utiliza el servicio de directorio central es recomenble conectar y sincronizar el servicio de IAM administrado en la nube al servicio de directorio del centro organizativo en las instalaciones (autenticación federada).
  • Es fundamental proteger las cuentas privilegiadas en el entorno de la nube (como  AWS Root Account, Azure Global Admin, Azure Subscription Owner, GCP Project Owner, Oracle Cloud Service Administrator, etc.), entre otros, limitando el uso de cuentas privilegiadas al mínimo requerido, imponiendo contraseñas complejas y rotación de contraseñas cada pocos meses. Esto permite la autenticación de múltiples factores (multi-factor authentication) en cuentas privilegiadas, etc.
  •  El acceso a los recursos debe definirse de acuerdo con el principio de privilegio mínimo.
  •  El acceso a los recursos debe establecerse para grupos en lugar de usuarios específicos.
  •   El acceso a los recursos debe basarse en roles en AWS, Azure, GCP, Oracle Cloud, etc.

 

Seguimiento de auditoría (audit trail)

Es importante habilitar la auditoría en todos los entornos de nube para obtener información sobre el acceso a los recursos, las acciones realizadas en el entorno de nube y por quién. Estas son razones tanto de seguridad como de gestión de cambios.

 

Servicios comunes de seguimiento de auditoría:

  •   AWS CloudTrail – Se recomienda habilitar la auditoría en todas las regiones y reenviar los registros de auditoría a un depósito S3 central en una cuenta central de AWS (a la que solo se podrá acceder para una cantidad limitada de cuentas de usuario).
  •    Al trabajar con Azure, se recomienda habilitar el uso de Azure Monitor para la primera fase, con el fin de auditar todo el acceso a los recursos y las acciones realizadas dentro de la suscripción. Más adelante, cuando el entorno se expanda, puede considerar utilizar servicios como Azure Security Center y Azure Sentinel con fines de auditoría.
  •   Google Cloud Logging – Se recomienda habilitar la auditoría en todos los proyectos de GCP y reenviar los registros de auditoría al proyecto de GCP central (que será accesible solo para una cantidad limitada de cuentas de usuario).
  •    Oracle Cloud Infrastructure Audit service – Se recomienda habilitar la auditoría en todos los compartimentos y reenviar los registros de auditoría a la cuenta del compartimento raíz (que será accesible solo para una cantidad limitada de cuentas de usuario).

Traducido por Mirella Kesti Izquierdo

 

 

 


Eyal Estrin

Eyal Estrin

Author, Cloud Security Architect, Public columnist, Focus onCloud & Cybersecurity

Related Posts

Boletin informativo SpainClouds.com

Thank you! Your submission has been received!

Oops! Something went wrong while submitting the form