La seguretat en el Cloud
La primera pregunta que ens va fer el Raul ben just començar va ser "Què és el cloud?". El Raul va definir el cloud com una infraestructura que com a tal no té seguretat. Clouds públics com Amazon Web Services i Azure ofereixen serveis del tipus IaaS que ens aporten flexibilitat, immediatesa i facilitat, però aquests no són segurs; cal protegir-nos.
Seguidament, va introduir la diferència entre un firewall tradicional i un firewall pensat per al cloud. Va posar l'exemple del procés de publicar una nova aplicació. En el cas d'un firewall tradicional cal explicitar una regla per permetre l'aplicació, fet que alenteix el procés de publicació de cara als desenvolupadors, és un "stopper". En el cloud, tots els elements es veuen entre ells de forma que es necessari establir els fluxes de tràfic desitjats. El firewall no treballa a nivell IP, sinó que ho fa a nivell d'objectes i s'alimenta de tots els entorns per adaptar-se als canvis. Aquesta nova forma de treballar ens aporta agilitat, tot permetent que el procés de publicació sigui gairebé instantani.
Un concepte que va tractar és el de "auto-scaling", creixement de la solució en un moment determinat per unes necessitats momentanies. Els serveis de cloud ens permeten no pagar avui el que utilitzarem demà, sinó que paguem per l'ús que en fem. Aquest auto-scaling es realitza de forma automàtica gràcies a APIs.
El cloud en sí ofereix una seguretat mínima a nivell 4 mitjançant iptables, però ens cal molt més. A continuació, veiem la diferència entre la seguretat aportada pel cloud i l'aportada pel gestor de Checkpoint.
El següent concepte que va tractar és el de perímetre, el fet que no tenim control sobre tots els elements del cloud. Per exemple, l'emmagatzematge pot estar separat, de forma que el firewall ja no el pot protegir. La seguretat que hem definit fins al moment no és suficient i l'única forma d'obtenir-ne el control és definint configuracions. El Raul ens va explicar que aquestes configuracions són molt complexes i és molt fàcil cometre errors. Aquí és on entra la solució SaaS de Check Point Dome9. Dome9 ens permet assegurar que estem treballant de forma segura al cloud; que no estem exposant a internet allò que no volem exposar (Compliance & Governance).
Dome9 genera informes que indiquen el grau de compliment de la normativa, els riscs, les exposicions, les males configuracions,... Aquesta eina té dos modes de funcionament, read i read&write. Amb mode read puc notificar i amb mode read&write puc alterar el comportament, per exemple, eliminar una ruta errònia. A continuació veiem una captura que mostra les diferents zones existents a la xarxa així com els objectes que es troben a cadascuna d'elles. De forma visual, és molt fàcil identificar si tenim algun problema de seguretat. Especificar que estem parlant de seguretat passiva, ja que només estem revisant configuracions.
Com a conclusió, recalcar, de la mateixa manera que ho va fer el Raul, la rellevància de l'eina Dome9 en els entorns de cloud actuals. Un firewall no ens aporta suficient seguretat al cloud quan hi ha elements fora del nostre abast, és a dir, fora del perímetre.