Get best of the week

Modelo de distribución de responsabilidad de seguridad en la nube

Cada vez queda menos tiempo hasta el inicio de una nueva transmisión en el curso "Prácticas y herramientas de DevOps" . En previsión del inicio del curso, preparamos una traducción de otro material útil.




Cuando pensamos en las nubes, a menudo hablamos de sus ventajas: escalabilidad, elasticidad, dinamismo y precios flexibles. Todo esto está muy bien, pero el problema de seguridad sigue siendo crítico para las empresas. En su propio entorno local, usted mismo es responsable de todos los aspectos de seguridad, entre los que se pueden distinguir los siguientes en el nivel base (pero no se limitan a esto):

  • cifrado de datos;
  • control de acceso a la base de datos;
  • Seguridad de la red;
  • seguridad del sistema operativo (host e invitado);
  • seguridad física.

Con el enfoque correcto, todo esto implica una cantidad significativa de trabajo y, por regla general, costos significativos. En las nubes, todos estos puntos siguen siendo relevantes y necesarios para garantizar la seguridad adecuada. Sin embargo, de acuerdo con el modelo de responsabilidad compartida, parte de este trabajo se transfiere de usted al proveedor de servicios en la nube. Veamos este modelo y las diferencias entre los dos tipos comunes de implementaciones de bases de datos en la nube: IaaS y DBaaS.

Modelo de responsabilidad compartida


Cada proveedor de servicios en la nube puede tener sus propios términos específicos, pero sin embargo, el concepto general para todos sigue siendo el mismo. La seguridad consta de dos partes: seguridad de la nube y seguridad en la nube. Por ejemplo, mire el modelo de responsabilidad de AWS:



Seguridad en la nube


Esto es parte del modelo de responsabilidad compartida del que es responsable el proveedor de servicios en la nube. Incluye hardware, un sistema operativo host e infraestructura de seguridad física. Al pasar a la nube, muchas de estas tareas se eliminan inmediatamente del cliente.

Seguridad en la nube


A medida que el proveedor controla la seguridad física de la nube, el área de responsabilidad del cliente se enfoca más. El componente más importante sigue siendo el control de acceso a los datos del cliente.

Incluso si coloca guardias armados cerca de sus servidores, es poco probable que desee abrir el puerto 3306 para todo el mundo y permitir el acceso de root a la base de datos. Es el tipo de implementación (IaaS o DBaaS) que define el área de responsabilidad del cliente para la seguridad "en la nube".

Autodespliegue (IaaS)


A menudo, con un equipo de base de datos experimentado o un entorno complejo, es preferible el autodespliegue. En este caso, se utilizan los componentes de la nube de IaaS (máquinas virtuales, almacenamiento y red). Aunque no hay nada de malo en este enfoque, el cliente asume más responsabilidad por la seguridad. De hecho, el modelo básico presentado anteriormente corresponde al autodespliegue. Aquí, el cliente es responsable de:

  • gestión del sistema operativo invitado (actualizaciones, correcciones de seguridad, etc.);
  • gestión y configuración de todos los componentes de la red;
  • gestión de cortafuegos;
  • gestión de bases de datos (seguridad, parches, copias de seguridad, etc.);
  • control de acceso;
  • información de los clientes.

Nuevamente, este es un enfoque completamente viable y, a veces, necesario, dependiendo de sus condiciones. Sin embargo, veamos cómo cambia este modelo cuando se usa DBaaS.

Implementación administrada (DBaaS)


Incluso cuando se utiliza la base de datos como un servicio (por ejemplo, Amazon RDS), parte de la responsabilidad sigue siendo del cliente. Aunque sus fronteras son diferentes. A continuación se muestra cómo cambia el modelo de responsabilidad con DBaaS:



Lo primero que llama la atención es que la responsabilidad del SO huésped y el software de la aplicación recae en el proveedor de la nube. Esto puede liberar a su equipo para centrarse en el nivel de la base de datos, en los datos en sí (datos del cliente). El cliente sigue siendo responsable del cifrado de su lado, del firewall de la base de datos y del control de acceso a los datos. Sin embargo, una gran cantidad de trabajo operativo diario se traslada del cliente al proveedor de servicios en la nube.

Tenga en cuenta que el modelo DBaaS no elimina la necesidad de un DBA. Aunque la mayor parte del soporte operativo desaparece, las tareas estándar de DBA permanecen. En el futuro, aún discutiremos las tareas que quedan y por qué necesita continuar concentrándose en su base de datos.

Resumen


Como puede ver, las nubes realmente ayudan a eliminar parte del trabajo tradicional y los gastos generales asociados con la administración de la base de datos. No importa qué tipo de implementación utilice, aún tiene (y seguirá siendo para siempre) la responsabilidad de administrar el activo más importante: los datos. Y también, tiene el análisis de carga, tráfico y rendimiento. Aunque los servicios en la nube aseguran que los componentes individuales estén dentro del SLA, sin embargo, el cliente siempre es responsable de administrar su carga de trabajo, incluyendo:

  • optimización de consultas;
  • planificación de capacidad;
  • asignación óptima de recursos;
  • recuperación de desastres.

Estos son los aspectos principales del nivel de la base de datos, y pasar a la nube le permite concentrarse en crear la mejor aplicación, dejando los detalles de la infraestructura a otra persona. Por lo tanto, si está analizando la posibilidad de migrar a las nubes , Percona puede ayudarlo a analizar las opciones y diseñar el sistema que mejor se adapte a su organización.

Eche un vistazo a la segunda parte de esta serie de artículos: Modelo de responsabilidad compartida en la nube Parte 2: Responsabilidad del DBA .

Eso es todo. ¡Nos vemos en el curso !

More articles:


All Articles