Recientemente, en la conferencia AWS re:Invent, el director de arquitectura de la nube de Harvard detalló las principales inversiones que la universidad ha realizado para asegurar su nube.
Cuando la Universidad de Harvard comenzó su viaje a la nube, como cualquier otra organización, se encontró con la tarea monumental de proteger su red de nubes. En lugar de utilizar una solución disponible, el equipo de Harvard decidió construir la suya propia, y así nació el Harvard Cloud Shield.
El martes, en la conferencia AWS re:Invent de 2019 en Las Vegas, el director de arquitectura en nube de Harvard, Thomas Vachon, explicó cómo la universidad construyó su solución y las lecciones que aprendió en el camino.
Esencialmente, el Harvard Cloud Shield es una plataforma de seguridad de red que agrega tráfico y actúa como punto de inspección. Es redundante y geográficamente diverso. A través de él, dijo Vachon, filtran, auditan y analizan todo su tráfico de Amazon Web Services (AWS.
VER: Plantilla de política de sensibilización y formación en materia de seguridad (Tech Pro Research)
Los objetivos originales del equipo de Harvard eran multifacéticos. En primer lugar, Vachon dijo que querían proporcionar acceso de red altamente disponible a la nube. A continuación, querían proporcionar visibilidad del tráfico hacia, desde y entre aplicaciones, así como proporcionar protección de cortafuegos de próxima generación y mitigar los ataques de denegación de servicio. Además, Harvard quería permitir una configuración más simple a través del filtrado en línea.
Nube que hay que leer
Al principio, se fijaron en los agentes de seguridad y en los cortafuegos virtuales en línea. Los agentes de seguridad eran más caros para sus clientes y estaban demasiado centrados en una respuesta reactiva, dijo Vachon. Los cortafuegos en línea tenían un alto coste de gastos generales y un enrutamiento de cloud privada virtual (VPC) demasiado complejo para las necesidades de Harvard. Así que decidieron construir su propia solución.
En términos de conectividad de red, el Harvard Cloud Shield tiene cuatro conexiones AWS Direct Connect. Cada cortafuegos tiene dos conexiones directas tanto en el sitio principal como en el sitio de reserva, y cada VPC obtiene una sola partición de cortafuegos.
Vachon dijo que también desarrollaron una arquitectura sin servidores para actuar como administrador y que su plataforma fue construida principalmente sobre Python. Se superponen cinco productos y dispositivos de gestión de red diferentes, por lo que uno de los retos clave era conseguir que todos ellos funcionaran juntos y gestionar las APIs necesarias para que funcionara.
Durante su viaje, aprendieron mucho sobre el negocio, el diseño de la red y la conectividad. En los negocios, dijo Vachon, la seguridad de la red tiene que estar en su lugar primero, ya que es la pieza más difícil de reequipar después de comenzar su viaje por la nube. Lo siguiente es tener patrocinadores clave del negocio y asegurarse de que su equipo financiero esté involucrado desde el principio, y que tenga empleados técnicos que puedan explicar el proyecto a los empleados que no son técnicos. Además, dijo Vachon, usted debe alinearse con sus socios tecnológicos y proveedores, y mantener una comunicación constante.
En cuanto al diseño de la red, Vachon dijo que el equipo de Harvard aprendió que la conmutación por error por estado no es práctica. Pero, fallar sobre los sitios periódicamente es una obligación. Cloud Shield de Harvard tiene dos sitios y fallan cada dos meses más o menos, dijo Vachon. Quieren fallar un cierto porcentaje de tiempo cada dos meses para poder probar su mitigación de fallas y saber que están listos para un desastre.
En la parte de la ecuación relativa al enrutamiento, Vachon dijo que encontraron que iBGP y eBGP funcionan de manera muy diferente. También descubrieron que un reinicio elegante no siempre es lo ideal, y que el BFD debería utilizarse en cada salto de la red. Para la conectividad, la selección del camino es crítica, y Vachon señaló que el precio de un servicio no necesariamente equivale a su calidad. También dijo que es importante que las tiendas de AWS usen múltiples puntos finales de Direct Connect.
Las 3 grandes ventajas para los lectores de ConsejoTecnologico.com
- La Universidad de Harvard construyó su Harvard Cloud Shield para proteger mejor su red de nubes, que se basa principalmente en AWS.
- Harvard depende de múltiples ubicaciones geográficas, de los mejores equipos y de la automatización de la red para proteger su nube, y realizan una conmutación por error regular de los sitios para asegurarse de que sus procesos funcionen durante un desastre.
- Para un gran proyecto como éste, TI necesita patrocinadores empresariales y empleados técnicos que puedan explicar adecuadamente la visión a los empleados no técnicos y a los líderes financieros clave.
Boletín de noticias de Cloud Insights
Su base de conocimiento para lo último sobre AWS, Microsoft Azure, Google Cloud Platform, Docker, SaaS, IaaaS, seguridad en la nube, contenedores, la nube pública, la nube híbrida, la nube de la industria y mucho más. Lunes de entrega