Archive

Archive for January, 2020

Por fin viernes…

January 31, 2020 Leave a comment

Categories: Fotos Tags: , ,

Combinando tipos de nubes. Características del enfoque multicloud

January 31, 2020 Leave a comment

Combinando tipos de nubes. Qué es el enfoque multicloud
En el artículo anterior comentábamoos como a medida de que los desafíos de una organización se van haciendo cada vez más complejos, una sola solución de computación en la nube no alcanza para responder a las necesidades de la organización. Pero ¿Que pasa si las necesidades son tan grandes que un solo proveedor no dispone de la infraestructura suficiente para dar una respuesta integral. Es para esos casos en que se desarrolló el término multicloud para definir un enfoque de nube compuesto por más de un servicio de nube, que proporcionan por lo menos dos proveedores de nubepública o privada.

Antes de continuar describiendo el enfoque multicloud te pongo los enlaces a los otros artículos de la serie.
Prehistoria de la computación en la nube.
Historia de la computación en la nube.
Tipos de nube. Características de la nube pública.
Características de la nube privada.
Características de la nube híbrida.

Combinando tipos de nubes. Cuando usar el enfoque multicloud

Aunque las soluciones de nubes múltiples es añadido más reciente a la oferta disponible, ha tenido una rápida aceptación. Según una encuesta encargada por IBM el 85% de las compañías consultadas las utilizan.

Las ventajas de optar por este tipo de enfoque son:

  • Se puede obtener un precio más bajo optando por aquellos servicios en los que cada proveedor tiene un precio más bajo.
  • Es posible lograr un mejor servicio combinando aquellas prestaciones en las que cada proveedor es mejor.
  • Hace posible evitar la dependencia de un solo proveedor.
  • Permite ofrecer una mejor respuesta a contingencias contratando el mismo servicio a dos proveedores diferentes.

Aquellas organizaciones que optan por soluciones de nubes múltiples, pueden determinar que carga de trabajo es la más adecuada para cada nube en función de sus necesidades específicas. De esta forma, diferentes cargas de trabajo de misión crítica dentro de una misma empresa porán satiscaccer sus propios requisitos de rendimiento, ubicación de datos, escalabilidad y cumplimiento, y las nubes de ciertos proveedores cumplirán estos requisitos mejor que otros. Por ejemplo, una multinacional de la industria de petróleo necesitará de diferentes recursos informáticaos para gestionar lo siguiente:

  • Una aplicación de inventario para la obtención y asignación de materiales para la perforacion y extracción
  • Un sistema de información geográfica para mantener al día la información sobre las diferentes explotaciones a lo largo del mundo.
  • Programas de gestión contable capaces de trabajar con diferentes monedas
  • Una solución de CAD para la creación de herramientas de gestión más eficientes.

Diferencia entre la nube híbrida y la solución de nubes múltiples

Las nubes múltiples y las nubes híbridas son modelos distintos pero a menudo complementarios. La nube híbrida describe una variedad de tipos de nubes. En un entorno de nube híbrida, una organización utiliza una mezcla de nubes públicas y privadas, dentro o fuera de las instalaciones, para satisfacer sus necesidades de TI. El objetivo de la nube híbrida es conseguir que todo funcione conjuntamente, con diversos grados de comunicación y de intercambio de datos para gestionar mejor las operaciones diarias de una empresa.

Multicloud se refiere a una variedad de proveedores de nubes. Cada nube puede residir en su propio silo, pero eso no impide que interactúe con otros servicios en un entorno híbrido. De hecho, la mayoría de las organizaciones utilizan la multi-nube como parte de sus estrategias híbridas.

Un caso de uso común de híbridos/multi-nube: su sitio web y su solución de equilibrio de carga se ejecutan en la nube pública IaaS, mientras que el sitio web se conecta a una base de datos de usuarios y a un sistema de inventario en una nube privada en las instalaciones para cumplir con los requisitos de seguridad y regulación.
Ventajas y desventajas de la multi-nube

Hablando en general, la principal ventaja de la multi-nube es la flexibilidad de adoptar rápidamente las mejores tecnologías para cualquier tarea. El principal inconveniente es la complejidad que conlleva la gestión de muchas tecnologías diferentes de muchos proveedores diferentes.
Pros

La flexibilidad inherente de Multicloud ofrece una serie de beneficios, incluyendo la mitigación de riesgos, la optimización y el fácil acceso a los servicios que usted necesita.

Multicloud ayuda a mitigar el riesgo de dos maneras: limitando la exposición de un enfoque de un solo proveedor y previniendo el bloqueo del proveedor. En un entorno de multi-nube, si la nube de un proveedor determinado experimenta un tiempo de inactividad, la interrupción afectará sólo al servicio de un proveedor. Si su correo electrónico alojado está fuera de servicio durante unas horas, los servicios de otros proveedores, como su sitio web o su plataforma de desarrollo de software, pueden seguir funcionando.

Multicloud también le permite elegir el servicio que mejor se adapte a sus necesidades. Un servicio puede ofrecer funcionalidad extra o emplear un protocolo de seguridad que facilita el cumplimiento de sus requisitos de conformidad. O, siendo todas las cosas iguales en seguridad y funcionalidad, usted podría elegir el proveedor con el mejor precio.

Otro beneficio significativo de la multi-nube es el acceso a la tecnología. Por ejemplo, si no tiene el presupuesto para desplegar una solución analítica en las instalaciones, puede acceder a ella como un servicio en la nube sin el gasto de capital inicial. Esto también significa que puede poner en marcha el servicio más rápidamente, acelerando el tiempo de obtención de valor.

Del mismo modo, cuando tiene la libertad de elegir cualquier proveedor para cualquier solución, puede acceder a nuevas tecnologías innovadoras más rápidamente de lo que podría hacerlo también desde el catálogo de un solo proveedor, y puede combinar servicios de varios proveedores para crear aplicaciones que ofrezcan una ventaja competitiva única.
Contras

Cuantas más nubes utilice, cada una con su propio conjunto de herramientas de gestión, tasas de transmisión de datos y protocolos de seguridad, más difícil será gestionar su entorno.

Puede que te falte visibilidad de aplicaciones enteras y sus dependencias. Incluso si algunos proveedores de nubes ofrecen funciones de supervisión, es posible que tenga que cambiar entre tableros con diferentes API (reglas y procedimientos de interfaz) y protocolos de autenticación para ver la información que necesita. Los proveedores de nube tienen cada uno sus propios procedimientos para migrar, acceder y exportar datos, lo que puede crear serios dolores de cabeza a los administradores.

Las plataformas de gestión multi-nube abordan estos problemas proporcionando visibilidad a través de las nubes de múltiples proveedores y haciendo posible la gestión de sus aplicaciones y servicios de forma coherente y simplificada. A través de un tablero central, los equipos de desarrollo pueden ver sus proyectos y despliegues, los equipos de operaciones pueden vigilar los clústeres y nodos, y el personal de seguridad cibernética puede monitorear las amenazas. También se puede considerar la adopción de una arquitectura de microservicios para poder obtener servicios en la nube de cualquier combinación de proveedores y combinarlos en una sola aplicación.

from Linux Adictos https://ift.tt/36JcORS
via IFTTT

Categories: Internet, Linux Tags: , ,

Tipos de nubes combinadas. La nube híbrida y sus características

January 31, 2020 Leave a comment

Tipos de nubes combinadas. La nube híbrida
Diferentes clientes tienen diferentes necesidades. De la misma forma, un único cliente puede tener que responder a distintos desafios para los que no alcanza una única herramienta. Pongamos por caso un laboratorio de investigación farmacológica. Para las tareas administrativas cotidianas, el uso de plataformas como Office 365 o Google Docs en sus versiones empresariales resultan una buena alternativa. Pero, confiarles los datos de las investigaciones de sus productos constituye un grave riesgo de seguridad. Y antes de que me lo digan, ya sé que LibreOffice es una mejor alternativa, pero no comercializa sus servicios de la misma forma que Microsoft y Google, por lo tanto no sirve para el ejemplo.

Durante muchísimos años, las comunicaciones en los Estados Unidos estaban en manos de una empresa privada, la AT&T. Esto abarcaba también a la infraestructura de comunicaciónes necesaria para la defensa, incluído el teléfono rojo para llamar a Moscú y evitar una guerra nuclear, y los enlaces al sistema informático para lanzar los misiles en caso de que hablar con Moscú no funcionara.

Como suele suceder en cualquier burocracia dónde la mano izquierda no sabe lo que hace la derecha, el Departamento de Comercio descubrio que la AT&T constituía un monopolio y que de acuerdo a la ley había que desmantelarlo. De pronto, el Departamento de Defensa se encontró en la disyuntiva de tener que coordinar una red de comunicaciones a cargo de diferentes proveedores o de crear la suya propia. Para la defensa. Los servicios telefónicos para las comunicaciones cotidianas se contrataron a las empresas locales.

Aunque este último ejemplo es anterior al nacimiento de la computacion en la nube, explica el por que la necesidad de las soluciones de Cloud Computing combinadas. En aquellas ocasiones donde el costo es un factor crítico se usa una nube pública y en los que se requiere privacidad y control una privada.

En este artículo vamos a hablar del primer tipo de nube combinada. La nube híbrida

Si llegaste a este post desde los buscadores o redes sociales te pongo los enlace a los artículos anteriores

Prehistoria de la computación en la nube.
Historia de la computación en la nube.
Tipos de nube. Características de la nube pública.
Características de la nube privada.

Tipos de nubes combinadas: La nube híbrida

La nube híbrida es un entorno de computación en nube que utiliza una mezcla de servicios de nube privadas y públicas haciendo que las dos plataformas trabajen en conjunto. Al permitir que las cargas de trabajo se desplacen entre las nubes privadas y públicas a medida que cambian las necesidades y los costos de la computación, la nube híbrida ofrece a las empresas una mayor flexibilidad y más opciones de despliegue de datos.

Pasos para crear una nube híbrida

Los requisitos de una nube híbrida son:

  • Contratar los servicios de un proveedor de soluciones de nube pública
  • Disponer una infraestructura de nube privada. Con privada nos referimos a que sea el único usuario del servicio. No necesita ser el propietario
  • Establecer una conectividad adecuada de red de área amplia (WAN) entre esos dos entornos.

Como la organización no tendrá control directo sobre la arquitectura de una nube pública, tendrá que configurar su nube privada para lograr la compatibilidad con la nube o nubes públicas contratadas. Esto implica la implementación de hardware adecuado dentro del centro de datos, incluyendo servidores, almacenamiento, una red de área local (LAN) y balanceadores de carga.

El siguiente paso será desplegar una capa de virtualización, o un hipervisor, para crear y dar soporte a las máquinas virtuales (VM) y, en algunos casos, a los contenedores. Luego, deberá instalarse una capa privada de software de nube, encima del hipervisor para ofrecer capacidades de nube, como autoservicio, automatización y orquestación, confiabilidad y resistencia,

El secreto para obtener los mejores resultados es seleccionar capas de hipervisor y software de nube que sean compatibles con la nube pública contratada, asegurando la debida interoperabilidad con las interfaces de programación de aplicaciones (API) y los services de esa nube pública. La aplicación de software y servicios compatibles también permite que las instancias migren sin problemas entre las nubes privadas y públicas. Es posible para los desarrolladores crear aplicaciones avanzadas utilizando una combinación de servicios y recursos provistos por las plataformas públicas y privadas.

from Linux Adictos https://ift.tt/2GKoYzj
via IFTTT

Categories: Internet, Linux Tags: , ,

Iowa Prosecutors Drop Charges Against Men Hired to Test Their Security

January 31, 2020 Leave a comment

On Sept. 11, 2019, two security experts at a company that had been hired by the state of Iowa to test the physical and network security of its judicial system were arrested while probing the security of an Iowa county courthouse, jailed in orange jumpsuits, charged with burglary, and held on $100,000 bail. On Thursday Jan. 30, prosecutors in Iowa announced they had dropped the criminal charges. The news came while KrebsOnSecurity was conducting a video interview with the two accused (featured below).

The courthouse in Dallas County, Iowa. Image: Wikipedia.

Gary DeMercurio, 43 of Seattle, and Justin Wynn, 29 of Naples, Fla., are both professional penetration testers employed by Coalfire Labs, a security firm based in Westminster, Colo. Iowa’s State Court Administration had hired the company to test the security of its judicial buildings.

Under the terms of their contract (PDF), DeMercurio and Wynn were permitted to impersonate staff and contractors, provide false pretenses to gain physical access to facilities, “tailgate” employees into buildings, and access restricted areas of those facilities. The contract said the men could not attempt to subvert alarm systems, force-open doors, or access areas that require protective equipment.

When the duo’s early-morning Sept. 11 test of the security at the courthouse in Dallas County, Iowa set off an audible security alarm, they followed procedure and waited on-site for the police. DeMercurio and Wynn said when the county’s sheriff deputies arrived on the scene just a few minutes later, they told the officers who they were and why they were there, and that they’d obtained entry to the premises via an unlocked door.

“They said they found a courthouse door unlocked, so they closed it from the outside and let it lock,” Dan Goodin of Ars Technica wrote of the ordeal in November. “Then they slipped a plastic cutting board through a crack in the door and manipulated its locking mechanism. (Pentesters frequently use makeshift or self-created tools in their craft to flip latches, trigger motion-detected mechanisms, and test other security systems.) The deputies seemed impressed.”

To assuage concerns they might be burglars, DeMercurio and Wynn produced an authorization letter detailing the job they’d been hired to do and listing the names and mobile phone numbers of Iowa state employees who could verify their story.

After contacting some of the court officials listed in the letter, the deputies seemed satisfied that the men weren’t thieves. That is, until Dallas County Sheriff Chad Leonard showed up.

“The pentesters had already said they used a tool to open the front door,” Goodin recounted. “Leonard took that to mean the men had violated the restriction against forcing doors open. Leonard also said the men attempted to turn off the alarm—something Coalfire officials vehemently deny. In Leonard’s mind that was a second violation. Another reason for doubt: one of the people listed as a contact on the get-out-of-jail-free letter didn’t answer the deputies’ calls, while another said he didn’t believe the men had permission to conduct physical intrusions.”

DeMercurio and Wynn were arrested, jailed, and held for nearly 24 hours before being released on a $100,000 bail. Initially they were charged with felony third-degree burglary and possessing burglary tools, although those charges were later downgraded to misdemeanor trespass.

What initially seemed to Coalfire as a momentary lapse of judgment by Iowa authorities quickly morphed into the surreal when state lawmakers held hearings questioning why and how someone in the state’s employ could have so recklessly endangered the safety and security of its citizens.

Image: Dallas County Jail.

Judicial Branch officials in Dallas County said in response to this grilling that they didn’t expect Coalfire’s physical penetration testing to be conducted outside of business hours. State Sen. Amy Sinclair was quoted as telling her colleagues that “the hiring of an outside company to break into the courthouses in September created ‘significant danger, not only to the contractors, but to local law enforcement, and members of the public.’”

“Essentially a branch of government has contracted with a company to commit crimes, and that’s very troubling,” lamented Iowa state Sen. Zach Whiting. “I want to find out who needs to be held accountable for this and how we can do that.”

Those strong words clashed with a joint statement released Thursday by Coalfire and Dallas County Attorney Charles Sinnard:

“Ultimately, the long-term interests of justice and protection of the public are not best served by continued prosecution of the trespass charges,” the statement reads. “Those interests are best served by all the parties working together to ensure that there is clear communication on the actions to be taken to secure the sensitive information maintained by the judicial branch, without endangering the life or property of the citizens of Iowa, law enforcement or the persons carrying out the testing.

Matthew Linholm, an attorney representing DeMercurio and Wynn in the case, said the justice system ceases to serve its crucial function and loses credibility when criminal accusations are used to advance personal or political agendas.

“Such a practice endangers the effective administration of justice and our confidence in the criminal justice system,” Linholm told The Des Moines Register, which broke the news of the dropped charges.

While the case against Coalfire’s employees has rallied many in the cybersecurity community around the accused, not everyone sees this dispute in black-and-white. Chris Nickerson, a digital intrusion specialist and founder of LARES Consulting, said in a Twitter post Thursday that “when a company puts us in harm’s way due to their poor planning, failed sales education, inadequate project management and deplorable contract management…We shouldn’t celebrate them. We should hold them accountable.”

Asked to elaborate, Nickerson referred to a recent podcast which touched on the arrests.

“The things that concern me about this situation are more of the pieces of safety that exist across how the industry instruments doing these types of engagements,” Nickerson said. “They seem very, very reasonable and obvious once they become obvious but until then they’re completely foreign to people.”

“It’s really on the owners of the organization to educate the customer of those potential pitfalls,” Nickerson continued. “Because there isn’t a good standard. We haven’t all gotten together and institutionalized the knowledge that we have in our heads and dump it down to paper so that someone who is new to the field being tasked with this can go through and say, ‘Hey, did you ask them if the city versus the state versus the building owner and the real estate people…are all of these people in lock step?’”

Coalfire CEO Tom McAndrew seemed to address this point in our interview Thursday, saying there were two unique aspects of this particular engagement. First, although the client in this case said they did not want Coalfire to make local law enforcement aware of the ongoing engagement prior to testing the physical security of the site, it was clear after the fact that state officials never did that on their own.

More importantly, McAndrew said, there was ambiguity around who actually owned the buildings that they were hired to test.

“If you’re doing a test for the state and you walk into the building and it’s the courthouse and you’re doing a test for the court system, you’d think that they would have jurisdiction or own it, and that turned out not to be the case in this scenario because there’s some things the state owns and some things the county owns, and that was something we weren’t aware of as we did some of this work,” he said. “We didn’t understand the nuances.”

Asked what Coalfire has learned from this ordeal, McAndrew said his company is likely to insist that local, state and even federal law enforcement be informed in advance of any penetration tests, at least as far as those engagements relate to public entities.

“When we look at the contracts and we look at who’s authorized to do what…typically, if a [chief security officer] says test these IP addresses, we would say okay that’s enough,” he said. “But we’re questioning from a legal perspective at what point does that need to have legal counsel review.”

McAndrew said it’s probably time for experts from various corners of the pen testing community to collaborate in documenting best practices that might help others avoid a repeat of the scenario in Dallas County.

“There’s no standard in the industry,” he said. “When it comes to these sorts of issues in red teaming — the legal challenges and the contracts — there’s really nothing out there. There are some things that can’t be undone. There’s the mugshots that are out there forever, but even as we get the charges dropped, these are permanently going to be in the federal database. This is a permanent thing that will reside with them and there’s no legal way we’re aware of to get these charges removed form the federal database.”

McAndrew said while he remains frustrated that it took so long to resolve this dispute, he doesn’t believe anyone involved acted with malicious intent.

“I don’t think there were any bad people,” he said. “Everyone was trying to do the right things — from law enforcement to the sheriff to the judges to the county — they all had the right intentions. But they didn’t necessarily all have the right information, and possibly people made decisions at levels they weren’t really authorized to do. Normally that’s not really our call, but I think people need to be thinking about that.”

from Krebs on Security https://ift.tt/2u7rFYZ
via IFTTT

Cómo configurar una cuenta de Outlook o Hotmail en Android

January 31, 2020 Leave a comment
Categories: Internet Tags: , ,

The Biggest Apple Maps Change Is One You Can’t See

January 31, 2020 Leave a comment

Apple’s “new” version of the app is less a rollout of fresh features than an important step toward the company’s own mapping independence.

from Gear Latest https://ift.tt/2GFstqv
via IFTTT

Categories: Internet Tags: ,

What It’s Like to Be a CISO: Check Point Security Leader Weighs In

January 31, 2020 Leave a comment

Jony Fischbein shares the concerns and practices that are top-of-mind in his daily work leading security at Check Point Software.

from Dark Reading: https://ift.tt/2ROUvqd
via IFTTT