La hiperconvergencia de la infraestructura está de moda en estos días. Este post habla sobre cómo configurar un HCI seguro y en las instalaciones para activos críticos y por qué es una buena idea hacerlo.
Comprender la infraestructura hiperconvertida y por qué es importante para su negocioSimon Robinson, un analista de investigación de 451 Research, explica cómo HCI combina ciertas unidades de infraestructura entre sí, lo que facilita la gestión y la escalabilidad.
¿Es una infraestructura gestionada por la nube para aplicaciones críticas una buena idea? Buena pregunta, ¿verdad? Quiero decir, ¿qué podría salir mal? Supongo que depende de lo que se considere una infraestructura segura. Mientras que mucha gente se está moviendo lo más posible a la nube, todavía hay sistemas críticos que deben permanecer en las instalaciones como sus servidores de AD por ejemplo. Cuando desee implementar estos sistemas de forma remota, es probable que desee centrarse en la aplicación en lugar de construir toda la infraestructura en la que se asienta. Sólo quieres que funcione y que esté seguro todo el tiempo. Este es uno de los beneficios de migrar a una solución de nube.
Lecturas imprescindibles del centro de datos
Pero no todo debe ir a la nube. Eso es sólo un hecho. Entonces, ¿cómo obtenemos este tipo de experiencia»plug-and-play» y nos aseguramos de que todo esté seguro sin invertir toneladas de horas, toneladas de equipo y terminando con un dolor de cabeza cuando la solución está en su lugar? Una opción es desplegar una solución como la infraestructura hiperconvergente SkySecure.
Se trata de una plataforma intrínsecamente segura e hiperconvergente que integra computación, virtualización, redes y almacenamiento en una única plataforma sin sacrificar la seguridad ni el rendimiento. ¿Cómo es eso? Echemos un breve vistazo a la solución, empezando por el hardware hiperconvertido que desplegaría en su rack y obtenga una idea de cómo la seguridad ha estado en primer plano desde el principio. A continuación, veremos cómo implementar un servidor de AD, paso a paso, en sólo unos minutos, lo que pondrá de relieve la experiencia de la nube.
VER: Investigación: Nube vs. tasas de adopción, uso y planes de migración de centros de datos (Tech Pro Research)
El hardware
No hay una interfaz de gestión integrada en el dispositivo Skyport. Esto significa que no hay IPMI, ninguna vía adicional que pueda estar abierta a ataques, ningún agujero de seguridad inherente. No, en cambio, este sistema x86 se entrega en un estado a prueba de manipulaciones. Por su diseño, es totalmente inofensivo. El x86 utiliza un TPM durante el ciclo de arranque (muchos servidores incluyen el TPM pero no lo utilizan) para generar firmas que el Centro SkySecure gestionado en nube puede validar en la fase de certificación de la secuencia de arranque medida. Desde la perspectiva del cliente, todo lo que debe buscar es el indicador que identifica el status como válido. Puede ver esto en la imagen de abajo.
El dispositivo de hardware tiene una conexión segura con el servicio de gestión de la nube. Se utiliza para establecer la identidad de la plataforma y validar su integridad. Esto distingue a Skyport de las soluciones basadas en agentes, lo que sería otra forma de registrar los equipos en las instalaciones en un sistema de gestión basado en la nube. El problema con la solución basada en agentes es que necesita ser instalada en la parte superior del sistema operativo y es probable que el sistema operativo no haya sido validado, ni el propio hardware haya sido validado. Aunque estoy repasando otros componentes clave que hacen que la solución Skyport sea segura desde cero, el punto es que ha sido diseñada desde ceropara ser segura, ya que ellos controlan toda la experiencia.
El software gestionado en la nube y cómo desplegar un compartimento seguro
Desde el punto de vista del usuario final, queremos tener un compartimento desplegado porque aquí es donde funcionará nuestra máquina virtual. La tecnología de hipervisor que utiliza Skyport es KVM. Afortunadamente, no tenemos que interferir con ninguna de esas configuraciones.
Para empezar, creamos un compartimento desde la página de inicio. Durante la creación del compartimento, hay algunos valores que tendremos que proporcionar. En la siguiente imagen hemos definido un nombre para nuestra VM, en este caso, MyNewDC, y hemos establecido la postura de seguridad para que todo aparezca en la lista blanca incluso antes de que se cree la VM. Esto se debe a que un compartimento comienza completamente aislado.
Ahora en la imagen anterior, tenemos el tipo de fuente configurado para usar una imagen existente, pero queremos hacer una instalación limpia desde una ISO. Necesitamos cambiar al tipo de fuente para reflejar eso. Puede ver esto en la siguiente captura de pantalla.
A continuación, definiremos la información de la VM. Esto incluye el tipo de sistema operativo, Windows Server 2012 R2, computación y valores de RAM.
Ahora hay otra área en la que la seguridad está en primer plano y la facilidad de uso es primordial para la solución. Skyport aloja los medios de instalación por usted. Cuando se implementa una VM, descarga una imagen ISO de arranque válida desde la CDN de Skyports y luego valida la suma de comprobación SHA-256 para garantizar la integridad del medio de instalación. Puede ver esto en la siguiente captura de pantalla.
A continuación, queremos asignar el servidor donde debe desplegarse y la información de red a la que queremos conectarnos. A continuación, haga clic en el botón Guardar y desplegar y espere a que se cree el compartimento. Puede ver esto a continuación.
Un mensaje de estado en la parte inferior nos permite saber en qué punto del proceso de creación nos encontramos.
Una vez que su VM esté lista y funcionando
Una vez que el compartimento esté desplegado, y la VM esté corriendo, podemos verlo navegando a Home>Libraries y seleccionando su compartimento. Como puedes ver abajo tenemos el estado del dispositivo, en este caso, está pendiente porque acabamos de crearlo y no está terminado. También puede ver detalles adicionales sobre la VM.
Si nos desplazamos por la página hacia abajo, podemos ver lo siguiente.
- Podemos ver el adaptador de red y la tabla de enrutamiento si queremos.
- Podemos ver la postura de seguridad y notar que todas las conexiones entrantes y salientes están bloqueadas a menos que estén permitidas por una entrada de lista blanca.
- Podemos ver los roles del servidor y del cliente.
¿Cuál es la importancia del papel del servidor y del cliente? Echando un vistazo a la imagen de abajo puede ver que estamos añadiendo el Controlador o Cliente de Active Directory.
Esto es seguido por la información del dominio.
Y luego los derechos que se crearán para mí.
Estos derechos son como las entradas de control de acceso que permiten el tráfico de AD necesario. Recordemos que cuando seleccionamos la opción de postura de seguridad de Whitelist, estábamos bloqueando todo el tráfico de entrada y salida del compartimento. Con este derecho, acabamos de permitir el tráfico de AD mientras mantenemos todo lo demás agradable y seguro.
Y después de añadir nuestros derechos, podemos volver a la parte superior de la página y ver que nuestro compartimento funciona correctamente.
VER: Informe especial: Cómo elegir y gestionar grandes socios tecnológicos (PDF gratuito) (ConsejoTecnologico.com)
Gestión de la VM
La gestión de la VM es muy fácil de hacer. Desde la misma página, estamos viendo nuestro compartimento en el que podemos seleccionar el enlace Mostrar Consola.
Esto trae a nuestra consola el VM.
Lo que es notable aquí es que todo se hace en un navegador web. No hay necesidad de instalar o abrir ninguna herramienta adicional para acceder a la VM. Además, esta sesión está cifrada en TLS y está fuertemente autenticada y auditada por el servicio SkySecure Center. Otra característica de seguridad importante de esta conexión de consola es que tampoco hay transferencia de archivos aquí, así que esto garantiza que no hay ningún código binario transferido a través de la consola. Esto es diferente a RDP, donde puede exponer las máquinas virtuales al uso compartido de archivos o dispositivos a través de secuencias adicionales dentro del protocolo RDP. Un último punto a tener en cuenta aquí es que puede pegar comandos locales en la consola a través de la opción de pegar en la interfaz de la consola web. No puedo decirte cuántas veces he tenido que pegar en una consola ESXi y no he podido.
Notas finales
Al principio de este artículo hice la pregunta: ¿es una infraestructura gestionada por la nube para aplicaciones críticas una buena idea? Para responder a esta pregunta, yo diría que sí, siempre que se haga de la manera correcta. La atención debe centrarse en garantizar la seguridad de la solución al tiempo que se proporciona facilidad de uso. Creo que esta solución proporciona esa experiencia de nube que uno esperaría al implementar una VM en AWS o Google Cloud y con la profundidad de los controles de seguridad. Me sentiría bastante seguro usándolo para desplegar una aplicación local. Comparar esto con lo que uno tendría que pasar por delante con otras soluciones de otros proveedores me hace sentirme mal cuando pienso en todos los aros que tendría que pasar sólo para armar algo que está aún más cerca. Ahorrar tiempo, pero no sacrificar la seguridad, es una victoria en mi opinión.
Boletín informativo de consejotecnologico.com
Refuerce las defensas de seguridad de TI de su organización manteniéndose al día de las últimas noticias, soluciones y mejores prácticas en materia de ciberseguridad. Entregado los martes y jueves
mismo
Ver también: