Este documento resume los principales conceptos de seguridad en la nube, incluyendo las nubes pública y privada, proveedores de nube pública como AWS y Azure, ventajas de la nube pública como baja inversión inicial y escalabilidad, y conceptos como autoscaling, tolerancia a fallos, DevOps, microservicios, contenedores, infraestructura como código, integración y despliegue continuo, y el modelo de responsabilidad compartida. También cubre temas de seguridad como visibilidad, auditoría, control y agilidad en la n

1. Seguridad Continua
en Cloud Computing
Walter Vargas
Santiago de Chile
RBECA Junio - 2016

2. Commerce Bank
1885

3. ¿Qué es Cloud Computing?

4. Nube Pública y Privada
On-Premise vs Public Cloud and Hybrid Clouds

5. Nube Pública
Public Cloud Providers.
Principales Proveedores de Public Cloud:
● Amazon Web Services (AWS)
● Google Cloud Platform
● Microsoft Azure
● Rackspace
● Digital Ocean

6. Nube Privada
On-Premise Private Cloud.
Tecnología para implementar una Nube Privada:
● OpenStack
● Canonical Bootstack (OpenStack)
● VMware vCloud

7. Public Cloud: Ventajas
Algunas ventajas de usar Public Cloud.
● Casi nula inversión inicial en infraestructura.
● Infraestructura disponible cuando el negocio lo
requiere
● Uso de los recursos más eficientes
● Costos basados en uso
● Capacidad para reducir el tiempo de
procesamiento.

8. Estándares en Public Cloud
Algunos estándares disponibles en Nubes Públicas.

9. Principios y Conceptos en
Cloud Computing
AutoScaling
Fault-Tolerance Design
DevOps
Microservices
Containers (Docker)
Infrastructure as Code
Configuration Management
Share Responsibility Model
(CI) Continuous Integration
(CD) Continuous Deployment

10. AutoScaling
Computación Elástica, Día de las Madres
vs 1 de Enero.

11. Fault-Tolerance Design
¿En qué se parecen los motorizados y los
veleristas a los servidores ?

12. "Everything fails all the time"
Werner Vogels - CTO Amazon Web Services

13. DevOps
Development and Operations working together toward the same business goal.
DevOps es un acrónimo inglés de development (desarrollo)
y operations (operaciones), que se refiere a una cultura o
movimiento que se centra en la comunicación,
colaboración e integración entre desarrolladores de
software y los profesionales de operaciones en las
tecnologías de la información (IT)

14. DevOps
Development and Operations working together toward the same business goal.

15. DevOps Tools
Development and Operations working together toward the same business goal.

16. Microservices
Build Loose Coupling Systems to scale horizontally.
● Tight coupling vs Loose coupling.
● REST or SOAP
● Docker
● Kubernetes
● Buffering with Queues
● CoreOS + Etcd + Consul

18. Infrastructure as Code
● AWS CloudFormation
● Google Cloud Deployment Manager
● OpenStack Heat
● Terraform by Hashicorp
<demo>

19. Containers - Docker

20. Containers - Cluster

21. Continuous Deployment (CD)
Continuous Deployment o Entrega Continua es una
disciplina de desarrollo de software en la que se
desarrolla software de tal manera que puede ser puesto
en producción en cualquier momento.

22. Continuous Deployment Flow

23. Continuous Integration (CI)
La integración continua es una práctica de desarrollo de
software donde los miembros de un equipo de integrar
su trabajo con frecuencia. Cada integración es verificada
por una herramienta de construcción automatizada
(incluyendo tests) para detectar los errores de
integración lo más rápidamente posible.

24. Continuous Integration Flow

25. Configuration Management
Gestión Automática de la configuración
● Ansible
● Salt
● Puppet
● CFEngine

26. Share Responsibility
Model
Public Cloud Computing

27. Share Responsibility Model
Modelo de Responsabilidad Compartida

28. Cloud Security Features
- Más Visibilidad
- Más Auditabilidad
- Más Control
- Más Agilidad

29. Visibilidad
¿Puede listar los componentes que hay
en su infraestructura justo ahora ?

32. Auditabilidad
CloudTrail, AWS Config, CloudFormation,
Terraform

33. Control
Más control sobre su infraestructura.
● Identificación y Autenticación con alto grado de granularidad
● Autenticación Multifactor (MFA)
● Checks de Seguridad Automáticos
● HSM-based key storage
● Disposable Servers
● Continuous Security Scanning
● Firewalls Dinámicos
● Disposable Servers

34. Control
Más control sobre su infraestructura.
¿Dónde está la evidencia?
● Varias auditorías de conformidad requieren acceso al estado de su
infraestructura en bloques de tiempo determinados. (PCI, HIPAA)
● Inventario completo de todos sus recursos y sus respectivos atributos de
configuración disponible para cualquier punto en el tiempo.

35. "Basado en nuestra experiencia, Yo creo que
podemos estar incluso más seguros en AWS que
en nuestros propios centros de datos"
Tom Soderstrom - CTO - NASA JPL

36. Agilidad
Continuous Integration and Continuous Delivery
with Security Checks in the pipeline.
Agilidad vs Riesgo.

37. Agilidad vs Riesgo
Caso Ejemplo.
Switch de Transacciones: Día de las Madres
● Atalla HSM vs CloudHSM
● Infraestructura estática y monolítica vs Infraestructura dinámica y basada en
microservices.
● Procesos del back secuenciales (eje: Liquidación Comercial) vs Procesos del
back orientados a eventos y basados en microservices en una arquitectura de
bajo acoplamiento haciendo buffering con colas.

38. PCI DSS en
Cloud Computing
Enabled PCI DSS Cloud

39. Identificación y Control de
Acceso
Usuarios, Grupos, Roles, Credenciales
AWS IAM, Keystone

40. Cifrado de Datos
en Cloud Computing

41. Network Configuration and
Management
Software Defined Networks, Newtron, AWS VPC

42. Monitoreo y Logs
Métricas, Alertas, Eventos, Almacenamiento de
Logs, Gráficos

43. Disaster Recovery
Automate Disaster Recovery Plan

44. Casos de Éxito PCI DSS en
Cloud Computing
Métricas, Alertas, Eventos, Almacenamiento de
Logs, Gráficos

45. PCI DSS en Cloud Computing
Algunos Casos
● Capital One
● Federal Home Loan Bank of Chicago
● Coinbase
● Mondo
● Nasdaq
● ME Bank
● Stripe

47. Gracias Totales
Walter Vargas
contact@walter.bio