🌐Entendiendo la Responsabilidad Compartida en Azure VM (IaaS)🛡️
Explora el modelo de responsabilidad compartida en la administración de máquinas virtuales en Azure.
Ingeniero de software senior con más de 12 años de experiencia, especializado en el desarrollo de aplicaciones empresariales y soluciones en Azure. Mi trayectoria incluye el diseño e implementación de Aplicaciones Web, Desktop, API's y Microservicios escalables, y desarrollo de arquitecturas robustas basadas en .NET.
Email: jesusegarcia@gmail.com CV Online: https://app.onlinecv.es/share/07cd112ed04b4f6db4904dca3be52244
Introducción
La infraestructura como servicio (IaaS) se ha convertido en una piedra angular para muchas organizaciones. Azure, como uno de los líderes en la nube, ofrece potentes herramientas para crear y gestionar máquinas virtuales (VM).
Sin embargo, con gran poder viene una gran responsabilidad. Aquí es donde entra en juego el modelo de responsabilidad compartida. Este modelo define claramente las responsabilidades de Microsoft Azure y las del cliente, asegurando una gestión eficiente y segura de las VMs.
¿Qué es este servicio?
Azure IaaS permite a las organizaciones alquilar infraestructura de computación y almacenamiento en la nube. En lugar de gestionar servidores físicos, las empresas pueden crear y gestionar máquinas virtuales, escalando según sus necesidades. Azure se encarga de la infraestructura subyacente, mientras que el cliente se enfoca en la configuración y gestión de sus aplicaciones y datos.
¿Qué cubrirá este post?
En este artículo, exploraremos:
El concepto del modelo de responsabilidad compartida en Azure IaaS.
Las responsabilidades específicas de Microsoft Azure y del cliente.
Cómo este modelo afecta la gestión de máquinas virtuales.
Casos de uso reales y buenas prácticas.
¿Por qué es importante para los arquitectos de soluciones?
Para los arquitectos de soluciones, entender el modelo de responsabilidad compartida es crucial para diseñar infraestructuras seguras y eficientes en la nube. Saber exactamente qué aspectos de la seguridad y la gestión son responsabilidad del proveedor de servicios y cuáles recaen en el cliente permite tomar decisiones informadas y evitar vulnerabilidades.
¿Qué problemas puede resolver?
Seguridad: Definir claramente las responsabilidades ayuda a evitar brechas de seguridad.
Cumplimiento: Asegura que se cumplan las regulaciones y normativas aplicables.
Ejercicio en Práctica
En la siguiente imagen proporcionada por Microsoft sobre una máquina virtual (IaaS), se detalla que las responsabilidades exclusivas de Microsoft incluyen:
Seguridad física del centro de datos.
Seguridad de la infraestructura de red.
Seguridad de los hosts.
Por otro lado, las responsabilidades que son exclusivamente de los clientes son las siguientes:
Información y datos: Los clientes son responsables de proteger y gestionar la información y los datos almacenados en la máquina virtual. Esto incluye la implementación de cifrado, copias de seguridad y políticas de acceso seguro.
Dispositivos (PC y móviles): La seguridad de los dispositivos que acceden a la máquina virtual es responsabilidad del cliente. Esto abarca la instalación de software antivirus, la configuración de firewalls y la aplicación de actualizaciones de seguridad.
Cuentas y usuarios: Los clientes deben gestionar las cuentas de usuario y sus permisos. Esto incluye la creación de contraseñas seguras, la implementación de autenticación multifactor y la supervisión de actividades sospechosas.
En este ejercicio, nos centraremos en administrar la parte correspondiente a los dispositivos (PC y móviles), lo que implica realizar las siguientes acciones:
Configuración del sistema operativo.
Instalación de software y actualizaciones.
Configuración de la red y seguridad del acceso.
Primero, accedemos al portal de Azure y creamos una máquina virtual utilizando la imagen UbuntuLTS., en este caso ya estamos configurando el Sistema Operativo de la maquina virtual
Luego, dirigimos nuestra atención a la pestaña "Disk". Aquí dejamos los valores por defecto, aunque es evidente que podemos continuar configurando nuestra máquina virtual según nuestras necesidades específicas.
En la pestaña "Networking", puedes configurar la red a la que pertenecerá tu máquina virtual. Esto implica que, al tener permisos para realizar estas configuraciones, es tu responsabilidad en caso de algún problema con la máquina virtual, ya que eres quien establece estas reglas.
Ahora en la pestaña "management" nuestras responsabilidades serian:
Configuración y gestión de la identidad:
Habilitar la identidad administrada asignada por el sistema para asegurar que los servicios y recursos tengan una identidad confiable en Azure.
Decidir si utilizar Microsoft Entra ID para el inicio de sesión y la asignación de roles adecuados.
Configuración de la función de apagado automático.
Habilitar la opción de apagado automático para optimizar el uso de recursos y reducir costos.
Configurar la hora de apagado, zona horaria y notificaciones por correo electrónico para estar informado antes de que la máquina se apague.
Configuración y gestión de las copias de seguridad.
Habilitar y configurar las copias de seguridad para garantizar la protección de los datos y la recuperación ante desastres.
Aplicación de actualizaciones del sistema operativo invitado.
Asegurar que la máquina virtual reciba las actualizaciones necesarias del sistema operativo para mantener la seguridad y el rendimiento óptimos.
En este caso ya podriamos decir que hemos configurado la red y seguridad del acceso. de nuestra VM, Dejamos las demás pestañas sin cambios y procedemos a crear la máquina virtual.
l
Al hacer clic en el botón "Create", se descargará un "Key Pair". Este archivo será crucial para iniciar sesión en nuestra máquina virtual Ubuntu, ya que se necesitará para futuras conexiones SSH a la máquina virtual.
https://learn.microsoft.com/en-us/azure/virtual-machines/linux/mac-create-ssh-keys
Esperamos a que la maquina virtual sea creada.
Luego nos conectamos a la maquina virtual, para hacer el ultimo pase que seria "Instalación de software y actualizaciones."
Cuando presionamos el boton connect, escogemos la opción "SSH using Azure CLI".
Las validaciones que ves en la imagen son las que Azure ha configurado.Una identidad administrada asignada por el sistema
La extensión de inicio de sesión SSH de Microsoft Entra ID
Ha habilitado el acceso a la máquina virtual para usuarios o administradores, asegurando que el puerto 22 esté accesible para todas las IPs configuradas.
Estas configuraciones permiten una conexión segura a la máquina virtual sin necesidad de usar claves SSH tradicionales, facilitando el acceso mediante la autenticación basada en Microsoft Entra ID.
Después de estas verificaciones, ya podemos conectarnos a nuestra máquina virtual.
Observamos que hay 25 actualizaciones disponibles. Para proceder, ejecutamos los siguientes comandos:
sudo apt-get update sudo apt-get upgrade
Esto demuestra que podemos instalar y/o actualizar software en nuestra máquina virtual, y que somos responsables de evitar la presencia de software malicioso o desactualizado que pudiera presentar brechas de seguridad.
Observamos que la actualización se completó sin ningún problema.
Para este caso la responsabilidad del cliente sería:
Como administradores de la máquina virtual, somos responsables de mantener el sistema operativo y el software actualizado.
Ejecutar regularmente estos comandos es fundamental para proteger la máquina virtual contra vulnerabilidades de seguridad.
La falta de actualización puede resultar en la exposición a amenazas y brechas de seguridad debido a software desactualizado o malicioso.
Casos de uso reales
Startups tecnológicas: Utilizan Azure IaaS para escalar rápidamente sin preocuparse por la infraestructura física.
Sector financiero: Aseguran el cumplimiento de regulaciones financieras mediante una gestión clara de las responsabilidades.
Buenas prácticas
Seguridad: Implementar políticas de seguridad robustas y realizar auditorías regulares.
Actualización: Mantener las VMs y las aplicaciones actualizadas para protegerse contra vulnerabilidades.
Monitoreo: Utilizar herramientas de monitoreo para detectar y responder rápidamente a cualquier incidente.
Backup: Configurar copias de seguridad automáticas y planes de recuperación ante desastres.
Herramientas de apoyo
Azure Security Center: Para monitorear la seguridad de tus recursos.
Azure Monitor: Para el monitoreo y análisis de la infraestructura.
Azure Backup: Para la gestión de copias de seguridad.
Azure Policy: Para la gobernanza y cumplimiento de normas.
URL de apoyo
Consideraciones finales
Comprender el modelo de responsabilidad compartida en Azure IaaS es fundamental para la gestión efectiva de máquinas virtuales.
Al delinear claramente las responsabilidades, los arquitectos de soluciones pueden diseñar infraestructuras más seguras y eficientes, optimizando tanto recursos como costos.
