EXIN CLOUD Computing Foundation Workbook Johannes W. van den Bent (CLOUD-linguistics) and Martine van der Steeg (The Workbook Company)

Transcripción

1 Colofón Título: Autores: EXIN CLOUD Computing Foundation Workbook Johannes W. van den Bent (CLOUD-linguistics) and Martine van der Steeg (The Workbook Company) Revisión: Editor: Traducción: Robert Grandia (MyLegalCounsel), André Koot, Ruud Ramakers (Centre4Cloud), Ir. Jan Sipke van der Veen and Maurice van der Woude (Personal Consult) Johannes W. van den Bent (CLOUD-linguistics) Ángel M. Rayo (Trainer Senior en Alhambra-Eidos) Publicador: EXIN Holding B.V. ISBN: Edición: Septiembre 2012 DISCLAIMER: Johannes W. van den Bent and Martine van der Steeg have asserted their right to be identified as the Authors of this work under the Copyright, Designs and Patents Act, Although every effort has been taken to compose this publication with the utmost care, the Authors, Editors and Publisher cannot accept any liability for damage caused by possible errors and/or incompleteness within this publication. Any mistakes or omissions brought to the attention of the Publisher will be corrected in subsequent editions. All rights reserved COPYRIGHT: 2012 All rights reserved EXIN Holding B.V. No part of this publication can be reproduced in any form in print, photo print, microfilm or any other means without written permission by the Publisher 1

2 Prólogo Para Alhambra-Eidos, compañía especializada en Servicios Cloud, es un orgullo haber sido elegida por EXIN para llevar a cabo la traducción al español del que es el primer Workbook publicado: EXIN Cloud Computing Foundations Workbook. La temática de este Workbook es especialmente grata para nosotros, dada la especialización que poseemos en todas las áreas de la empresa hacia la tecnología Cloud. Cloud Computing, la Nube, es hoy en día una realidad tangible. Al igual que en su momento se impuso en la empresa la red de área local o más tarde la conexión intranet/internet, la computación en la Nube ha dado un paso en firme para convertirse en una forma de abordar tecnológicamente el presente, no concibiéndolo sólo como un concepto del futuro. Pero además, el mundo Cloud sobrepasa las fronteras puramente técnicas. Ya sea usted proveedor, gestor, consumidor o simple usuario de los servicios en la Nube (es decir, si está de una manera u otra relacionado con estos servicios, su venta o su uso), debe poseer unos conocimientos sobre esta arquitectura y sus diferencias con la computación clásica. En el aspecto formativo, la experiencia acumulada por Alhambra-Eidos durante más de 20 años como proveedor de formación TI, nos indica que aun siendo el curso propiamente dicho, la base indispensable y no sustituible de cualquier formación, es muy recomendable para el alumno, y especialmente para el candidato a examen, contar con un workbook como este, dado que refuerza los conocimientos adquiridos y permite conservar un elemento de consulta permanente de cara al futuro. Adolfo Vara de Rey Santillán Director del Área de Formación de Alhambra-Eidos 2

3 Tabla de contenidos Colofón... 1 Prólogo... 2 Tabla de contenidos... 3 Introducción... 5 Los principios de Cloud Computing: Especificaciones del examen Los principios de Cloud Computing El concepto de Cloud Computing Cómo ha evolucionado Cloud Computing Arquitecturas Cloud Computing Fortalezas y limitaciones de Cloud Computing Preparación del examen: capítulo Preguntas de ejemplo Preguntas Get it Términos del examen Implementar y Gestionar Cloud Computing: Especificaciones del examen Implementar y gestionar Cloud Computing Construir un entorno Cloud local Los principios de gestionar servicios Cloud Preparación del examen: capítulo Preguntas de ejemplo Preguntas Get it Términos del examen Los principios de Cloud Computing: Especificaciones del examen Utilizar la Nube Acceder a la Nube Cómo puede Cloud Computing soportar los procesos de negocio Cómo los proveedores de servicio pueden utilizar la Nube Preparación del examen: capítulo Preguntas de ejemplo Preguntas Get it Términos del examen Seguridad y cumplimiento: especificaciones de examen Seguridad y cumplimiento Riesgos de seguridad de Cloud Computing y medidas de mitigación Gestionar la identidad y la privacidad en la Nube Preparación del examen: capítulo Preguntas de ejemplo Preguntas Get it Términos del examen Evaluación de Cloud Computing: Especificaciones del examen Evaluación de Cloud Computing El caso de negocio para Cloud Computing Evaluación de las implementaciones Cloud Computing Preparación del examen: capítulo Preguntas de ejemplo Preguntas Get it Términos del examen Listado de conceptos principales Bibliografía y referencias Organizaciones Clave de las respuestas Capítulo Preguntas de ejemplo

4 Preguntas Get it Capítulo Preguntas de ejemplo Preguntas Get it Capítulo Preguntas de ejemplo Preguntas Get it Capítulo Preguntas de ejemplo Preguntas Get it Capítulo Preguntas de ejemplo Preguntas Get it Contacto EXIN

5 Introducción Cloud Computing trata sobre la prestación de servicios de TI a través de Internet. Permite ofrecer soluciones TI flexibles para dar soporte al negocio, basadas en unos acuerdos claros de servicio. Cloud Computing Gestionar Evaluar Utilizar Dar soporte Implementar El presente workbook le ayudará a preparar el examen de Fundamentos en Cloud Computing de EXIN y le ofrece una visión general de Cloud Computing y su relación con otras áreas de Gestión de la Información. Los temas abordados son los conceptos fundamentales de Cloud Computing como arquitectura, diseño y modelos de despliegue, además de cómo pueden ser utilizados por diferentes tipos de organizaciones. El examen consiste en 40 preguntas de opciones múltiples. En este workbook encontrará numerosas preguntas de opciones múltiples de ejemplo y para ayudar a ampliar su conocimiento sobre Cloud Computing se han incluido preguntas llamadas get it. Encontará esas preguntas al final de cada capítulo. Los requisitos del examen están especificados al comienzo de cada capítulo y el peso de los diferentes temas del examen está expresado como un porcentaje del total. Audiencia objetiva Cualquiera que desee prepararse para el examen de Fundamentos en Cloud Computing de EXIN así como aquellos interesados en los conceptos básicos del procesamiento de la información en la nube. 5

6 Los principios de Cloud Computing: Especificaciones del examen Tras leer el capítulo 1, comprenderá los principios de Cloud Computing (30%) 1.1 Comprender el concepto de Cloud Computing (5%) Usted podrá: Explicar qué es Cloud Computing Comparar los cuatro Modelos de Despliegue para Cloud Computing (Nube Privada, Pública, Comunitaria e Híbrida) Describir los tres Modelos de Servicio principales para Cloud Computing (SaaS, PaaS e IaaS) 1.2 Conocer la evolución de Cloud Computing (10%) Usted podrá: Describir los conceptos principales a partir de los cuales Cloud Computing se ha desarrollado Explicar el papel de la red y los servidores en Cloud Computing Describir el papel de Internet en Cloud Computing Explicar el papel de la Virtualización en Cloud Computing Describir el papel de los servicios gestionados en Cloud Computing 1.3 Comprender las arquitecturas de Cloud Computing (10%) Usted podrá: Explicar la diferencia entre una arquitectura de propósito específico y multipropósito Describir la Arquitectura Orientada a Servicios (Service Oriented Architecture, SOA) 1.4 Conocer las fortalezas y limitaciones de Cloud Computing (5%) Usted podrá: Identificar las principales fortalezas de Cloud Computing Identificar las principales limitaciones de Cloud Computing 6

7 Los principios de Cloud Computing Cloud Computing Internet Servicio Compartido Escalable Virtualización Cloud Computing, método de ejecutar aplicaciones y almacenar datos relacionados en unos sistemas de ordenadores centrales y ofrecer a los clientes u otros usuarios acceso a ellos a través de Internet Encyclopaedia Britannica (eb.com, 2012) 1.1. El concepto de Cloud Computing Para comprender el concepto de Cloud Computing se necesita conocer cómo ha evolucionado. Pero lo primero que se necesita es analizar otra definición. Según el Instituto Nacional Americano de Estándares y Tecnología (American National Institute of Standards and Technology (NIST)): Cloud Computing es un modelo para habilitar un acceso de red desde cualquier ubicación, conveniente y bajo demanda a un grupo de recursos de computación configurables (p. ej. redes, servidores, almacenamiento, aplicaciones y servicios) que pueden ser provisionados y liberados rápidamente con un esfuerzo de administración o interacción con el proveedor de servicio mínimos. NIST Special Publication (September 2011) Hoy en día esta definición ha sido aceptada o adoptada por numerosas organizaciones en la industria, como por ejemplo: - La Organización Internacional de Estándares (International Standards Organization (ISO)); referencia: ISO/IEC JTC 1/SC 38 N 282, Draft Study Group on Cloud Computing Report V.2 (2011) - El Foro de la Industria Cloud (Cloud Industry Forum (CIF)); referencia: Paper five Cloud Definitions, Deployment Considerations & Diversity (2012) 7

8 Para este workbook se utilizará la definición del NIST como base. El NIST declara que hay cinco características esenciales, tres modelos de servicio y cuatro modelos de despliegue. Se analizarán en primer lugar estas cinco características Cinco características de Cloud - Auto-servicio bajo demanda; dentro de un contrato existente, un usuario/cliente puede por ejemplo añadir nuevos servicios, espacio de almacenamiento o potencia de computación sin realizar una solicitud de cambio formal. - Acceso a una red abierta; esto es lo que Bill Gates imaginó a finales de los noventa: en cualquier momento, en cualquier lugar y con cualquier dispositivo. Y, por supuesto, también con suficiente ancho de banda. - Grupos de recursos; en la industria, esta característica se conoce también como Multitenencia o multi-propietario (Multi-tenancy). Muchos usuarios/clientes comparten unos recursos de diferente tipo y nivel. - Elasticidad rápida; esta característica está relacionada con los aspectos fundamentales de Cloud de flexibilidad y escalabilidad. Por ejemplo, las tiendas web necesitan una capacidad de transacciones homogénea durante todo el año, pero necesitan un pico cerca de las Navidades. Por supuesto, ellos no quieren pagar por esta disponibilidad pico durante el resto del año. - Servicio medido; esto significa servicios monitorizados, controlados y con informes. Esta característica habilita un modelo de servicio de pago por uso. Tiene similitudes con el concepto de telefonía móvil de paquetes de servicios, donde se paga una suscripción estándar para niveles básicos y un pago extra para servicios adicionales sin cambiar el contrato. - El NIST además define cuatro modelos de despliegue: Nube privada, nube comunitaria, nube pública y nube híbrida, y tres modelos de servicio: Infraestructura como un servicio (IaaS), plataforma como un servicio (PaaS) y software como un servicio (SaaS). Los modelos de despliegue serán tratados en el siguiente apartado, y los tres modelos de servicio en el apartado Hubo un tiempo en el que cada hogar, pueblo, granja o ciudad tenía su propio pozo. Hoy en día podemos obtener agua corriente simplemente abriendo el grifo; Cloud Computing trabaja de una forma similar. Como el agua del grifo en tu cocina, los servicios de Cloud Computing pueden abrirse o cerrarse tan rápidamente como sea necesario. Como en la compañía de agua, hay un equipo de profesionales dedicados encargados de que el servicio sea seguro y esté disponible 24horas/7días a la semana. Cuando el grifo no está abierto no sólo estás ahorrando agua, tampoco estás pagando por recursos que no necesitas en ese momento. Vivek Kundra Federal CIO, United States Government Los cuatro modelos de despliegue de Cloud Es tentador hablar sobre La Nube como un entorno. Sin embargo, estudiar todos los fenómenos de la misma debe conducir a la conclusión de que hay varias nubes diferentes. Para un usuario final normal de servicios web como las redes sociales, el correo web, el almacenamiento online, el software de colaboración, los blogs, la video llamada y alguno más, pueden parecer una única nube, la World Wide Web. Pero para las empresas, las organizaciones del sector público y las organizaciones no gubernamentales (ONGs) hay más de un cielo de nubes. La mayoría de ellas poseen su propia infraestructura TI, compran servicios de TI desde proveedores de servicio y utilizan un gran número de servicios web. Por ejemplo, la infraestructura de correo electrónico de una organización típicamente consiste en uno/un número de servidores Exchange en los que cada uno de los empleados tiene su propio ID, buzón de correo, agenda y lista de contactos corporativos. La mayoría de los empleados tendrán acceso a una cuenta de correo web que los conectará al servidor de correo corporativo a través de Internet. En este caso se tiene obviamente un aspecto privado y uno público. 8

9 En la industria hay ahora cuatro modelos de despliegue de Cloud que están aceptados generalmente, principalmente por el NIST. La nube privada Simplemente otro nombre para un Centro de Datos moderno? La principal característica de una nube privada es que reside en una red privada que se ejecuta dentro de/en parte de un centro de datos que es utilizado de manera exclusiva por una organización. El centro de datos puede ser propio, gestionado y ejecutado por la propia organización; de un tercero o una combinación de los dos. Los servicios son entregados a las diferentes partes de la organización, por ejemplo sus unidades de negocio y departamentos internos como recursos humanos y financiero. El fin es ofrecer soporte a los objetivos de negocio de la organización desde el punto de vista económico, pero más importante de manera segura. Una solución de nube privada es elegida generalmente cuando existe la necesidad de cumplir con regulaciones externas y legislaciones como SOX que redundarán en la necesidad de un alto nivel de gobierno. La base de esta solución es que aún existe un alto grado de coste total de propiedad (Total Cost of Ownership (TCO)). Una organización necesita considerar si realmente necesita acceso en cualquier momento, desde un lugar y desde cualquier dispositivo (por ejemplo una nube) o solamente un centro de servicio compartido La nube pública Una nube pública es un ejemplo de qué se pretende obtener con Cloud Computing, básicamente la entrega de servicios al exterior a través de Internet. Las características clave son la compartición de recursos, con la consiguiente reducción del TCO, y la alta disponibilidad y escalabilidad de la capacidad, también conocida como elasticidad. La base de este principio de compartir (multi-cliente) es el nivel más bajo de seguridad y privacidad convirtiendo en más difícil de cumplir con los diferentes tipos de legislaciones internacionales. La infraestructura de compartición básica, como el almacenamiento, los servidores de bases de datos o las aplicaciones (datos) pueden causar problemas de seguridad y privacidad. 9

10 Por ejemplo, cuando una empresa multinacional de tiendas con sus oficinas centrales en los Países Bajos decida migrar sus aplicaciones Office a la plataforma Google Apps for Business, su principal requisito será que sus datos estén almacenados en centros de datos dentro de la Unión Europea. Para la mayoría de usuarios privados o públicos, estos asuntos son menos relevantes o incluso no apreciados. Para este grupo objetivo la nube es Facebook, Twitter, Skype, Flickr, Webmail y el resto de ejemplos de Internet que ofrecen servicios que redundan en una vida más productiva o divertida. La nube comunitaria La nube comunitaria tiene numerosas similitudes con la nube privada en la prestación de servicios a un grupo específico de organizaciones y/o individuos que comparten un objetivo común. Algunos ejemplos son los institutos de educación regional o nacional, los de investigación, los centros comunitarios o incluso alguna organización comercial que desee compartir una serie de componentes de muy alta seguridad para el procesamiento de transacciones como la Bolsa. El objetivo principal para crear una nube comunitaria es la facilidad de compartir datos, plataformas y aplicaciones con otros, ya que en otro caso sería demasiado caro adquirir sus propios equipos de investigación. Otro objetivo de compartir componentes Cloud con tu propia comunidad puede ser reducir costes, mejorar el rendimiento junto con la privacidad y la seguridad sin incrementar el TCO. Algunas ventajas específicas no podrían ser obtenidas fácilmente utilizando sus propios componentes informáticos: acceso y soporte 24/7, servicio compartido y contratos de soporte en las economías de escala. La nube híbrida Por hacer un resumen, la nube híbrida es una mezcla de los modelos anteriores. Combina varias soluciones privadas y públicas de diferentes proveedores en una infraestructura TI. En este modelo una elección clara es que tendrá que hacerse aquello que quieras comprar. Elegir servicios específicos para estabilidad, seguridad balanceada, privacidad y cumplimiento frente al peso tanto en nubes privadas como públicas. Veamos un ejemplo. Una gran multinacional tomó la decisión de utilizar el camino híbrido. Los componentes logísticos críticos y los sistemas de planificación de recursos corporativos (Enterprise Resource Planning (ERP)) se ejecutan en una solución de nube privada, mientras que las aplicaciones ofimáticas comunes están completamente dentro de una solución Google Apps for business. Esto ofrece un ahorro de varios millones de dólares anuales y no ponen en compromiso la integridad de los servicios de negocio clave. Otro ejemplo podría ser el caso de las compañías de seguros que trabajan con agentes aseguradores. Hay mucha interacción por ambas partes, pero las infraestructuras de la compañía y de los agentes pueden pero no serán integradas de la manera tradicional. En este escenario una extensión de nube pública podría construir un puente entre ellas Modelos de servicio para Cloud Computing Existe un gran número de servicios Cloud como webmail, Exchange alojado, almacenamiento online, copia de seguridad online, medios de comunicación social, etc. Todos estos servicios pueden agruparse bajo tres principales modelos de servicio Cloud: Software como un servicio (Software as a Service (SaaS)), plataforma como un servicio (Platform as a Service (PaaS)) e infraestructura como un servicio (Infrastructure as a Service (IaaS)). En este apartado se describirán brevemente estos tres modelos. 10

11 SAAS Software as a Service Usuarios de aplicaciones del negocio PAAS Platform as a Service Plataformas y middleware para aplicaciones IAAS Infrastructure as a Service Potencia de cálculo, almacenamiento y resto de IT Software as a Service (SaaS) Es el tipo más común de servicio Cloud. SaaS es ya una tradición en la que las organizaciones compran o desarrollan sus propias aplicaciones de negocio y las ejecutan y administran en su propia infraestructura TI. El alojamiento de aplicaciones por terceros nos hace volver a los días de los mainframes y aporta madurez con la industria ASP a principios de los Numerosos tipos de servicios SaaS fueron desarrollados desde soluciones ASP (por ejemplo hosting de aplicaciones, pago por licencia, emulación, servicios de terminal, etc.) dentro de soluciones Cloud (por ejemplo multipropiedad, pago por uso, interfaces web, elasticidad, etc.) Algunos ejemplos típicos de soluciones SaaS son: - CRM - ERP - Cobros y facturación - Alojamiento web - Comercio electrónico (E-commerce) - Procesamiento de transacciones - Colaboración online Características clave: - Software alojado offsite - Software bajo demanda - Empaquetado de software - Ninguna modificación en el software - Software de tipo plug-in: software externo utilizado con aplicaciones internas (Nube híbrida) - Fabricante con alto conocimiento técnico - Usuario ligado al fabricante El beneficio clave es que el cliente no tiene que preocuparse del desarrollo ni de la gestión de estas aplicaciones. El proveedor es el responsable de las actualizaciones y de la gestión de las licencias y de la mayoría de los parámetros de gestión de los servicios como la escalabilidad, el mantenimiento y la continuidad del servicio. Un cliente paga mediante un modelo de suscripción o pago por uso. Subtipos o quizá simplemente otros nombres para SaaS son software como demanda, servicios alojados y aprovisionamiento de servicios de aplicación. 11

12 Platform as a Service (PaaS) No ser el propietario de una plataforma de computación, pero ser capaz de utilizarla bajo demanda puede ahorrar costes de propiedad, gestión y mantenimiento. En plataformas típicas de entornos de desarrollo de software se utilizan durante el tiempo del proyecto, ya que un nuevo proyecto normalmente tiene diferentes requisitos. Durante algunas fases del proceso de desarrollo, por ejemplo las pruebas, es necesario un escalado para simular un entorno de producción. Los servicios PaaS pueden ofrecer esta escalabilidad bajo demanda. Las variantes más comunes de PaaS son: - Entorno de desarrollo de software; un cliente puede desarrollar una aplicación sin tener que comprar un entorno de desarrollo dedicado y sin tener que configurar y gestionar los componentes de infraestructura intermedios como hardware, middleware y las diferentes capas de software. Microsoft Azure y el motor Google App son ejemplos de este tipo de servicio. - Entorno de alojamiento para aplicaciones; este servicio solo contiene los servicios de seguridad y escalabilidad bajo demanda en el nivel de alojamiento. - Almacenamiento online; soluciones Cloud, debido a su arquitectura con servidores Storage Area Network (SAN), no ofrecen solamente ese almacenamiento sino también el intercambio rápido de datos entre las instancias del mismo. Características clave: - Principalmente utilizado para el desarrollo remoto de aplicaciones - Soporte remoto de aplicaciones - La plataforma puede tener características especiales - Costes de desarrollo bajos Algunos ejemplos de proveedores de servicio PaaS son Force.com, el primer proveedor PaaS, junto con otros como Bungee y Heroku. Un nuevo invitado es Google con su nuevo App Engine. Infrastructure as a Service (IaaS) Los servicios IaaS son vendidos por los conocidos como proveedores de servicio hardware a través de los cuales un cliente puede alquilar hardware físico o virtual como almacenamiento, servidores o conexión a Internet. Los servicios son vendidos en función de su aportación como servicio de computación y un modelo de facturación. Una solución IaaS puede ser vista como la unión que existía entre TI y la infraestructura de telecomunicaciones en la década pasada. Características clave: - Escalado dinámico - Virtualización de escritorio - Servicios basados en políticas Ejemplos de IaaS son servicios de alojamiento que ofrecen soporte al comercio electrónico, servicios de alojamiento web que incluyen conexiones de banda ancha y almacenamiento. Numerosas infraestructuras IaaS bajo demanda están construidas sobre componentes de los líderes del mercado como Cisco, HP, NetApp y VMWare. Con el modelo IaaS, infraestructuras TI y servicios similares a los de las grandes empresas se ponen al alcance de las pequeñas y medianas empresas (PyMES) Cómo ha evolucionado Cloud Computing Cloud Computing se compara a menudo con los modelos de suministro de la red eléctrica o de las compañías de agua. El poder de computación del grifo, se enciende solo cuando se necesita, y se apaga cuando ya no es necesario, y solo se paga por el uso y por la propia conexión. Esta comparación entre computación y suministros comunes se hizo en 1996 por Douglas Parkhill en su libro The Challenge of Computer Utility (Parkhill, 1996). Él declaró que cuando llegó la red eléctrica rápidamente sustituyó a todas las plantas y proveedores pequeños privados. Las economías a gran escala, en combinación con la seguridad y la confianza 12

13 ganaron. Este tema fue discutido con más detalle por Nicolas Carr en su libro The Big Switch: Rewiring the World, from Edison to Google (Carr, 2008). Línea de tiempo histórica Al principio había un ordenador central (mainframe) Cloud Computing Virtualización Servicios Gestionados Internet Micrordenadores Miniordenadores Mainframe Red de Área Local Sistemas de Comunicación Una serie de factores clave han contribuido a la existencia actual de la nube - El desarrollo de Internet - El cambio desde la computación mediante ordenadores centrales (mainframes) a los dispositivos personales con conexión a Internet - El desarrollo de redes de ordenadores Modelos de servicio para Cloud Computing Los primeros ordenadores centrales no estaban conectados a lo que hoy en día llamamos red. Al principio contaban con una conexión punto a punto con un terminal. Los primeros terminales no tenían monitor. Cuando las aplicaciones de negocio empezaron a ejecutarse en mainframes, los usuarios tenían sus propios terminales, pero ellos no estaban interconectados. Todo el procesamiento de datos y la compartición de información se hacía dentro del mainframe. Cuando la computación descentralizada comenzó a aparecer se desarrollaron los primeros miniordenadores. La primera generación de estos ordenadores descentralizados con sus propios terminales unidos fueron llamados mini-ordenadores (o a veces procesador front end). Esos ordenadores descentralizados estaban conectados a través de una red local (LAN) o de área amplia (WAN) con el ordenador central. 13

14 Terminales Unidades de Disco Ordenador (CPU) Unidades de Cinta Cuando IBM comenzó a vender sus primeros micro-ordenadores, se pensaba que solo se iban a necesitar algunos IBM PC por oficina, e independientes probablemente. Ahora se sabe que casi existe la necesidad de conectar estos PC a ordenadores centrales a través de una red. En lugar de tener un terminal mainframe más un PC en el escritorio, se podría tener un PC conectado a una red y acceder al mainframe con un programa de emulación de terminal. Se crearon diferentes topologías de red, cada una con su propio protocolo. Los protocolos más comúnmente conocidos son: Point-to-point, Bus, Star o Circular, Mesh, Tree, Hybrid y Daisy chain. La topología más común hoy es la topología en estrella (Star) en combinación el protocolo TCP/IP. Es importante entender que la llamada pila Transmission Control Protocol (TCP) / Internet Protocol (IP) es el protocolo esencial de Internet. Partiendo de los PC conectados al ordenador central se pasó al desarrollo de la arquitectura cliente-servidor. Los PC eran capaces de conectarse a diferentes mini-ordenadores llamados servidores, por ejemplo servidores de archivos, servidores de aplicaciones, etc. Con el crecimiento del ancho de banda y de la velocidad de las redes, de la velocidad y capacidad de los servidores, y de los cada vez más baratos y pequeños dispositivos personales conectables a las redes se hs entrado en la era de Internet y el alojamiento de aplicaciones por Proveedores de Servicios de Aplicación (Application Service Providers (ASP)). Una de las variantes del Servicio Cloud SaaS es la evolución de las soluciones ASP El papel de Internet En 1963 el científico norteamericano J. C. R. Licklider envió un memorándum a sus colegas explicando su visión de una red global. El memorandum se llama: Memorandum For Members and Affiliates of the Intergalactic Computer Network. Esta visión se hizo realidad en 1969 con la forma de ARPANET, el predecesor directo de Internet. ARPANET fue la primera red 14

15 operacional de intercambio de paquetes, diseñada para las fuerzas armadas de EE.UU. y por lo tanto no pública en ese momento. El protocolo de red original NCP fue reemplazado por TCP/IP en 1983 y se mantiene como el protocolo líder hoy en día. Internet a veces es conocida como la World Wide Web (WWW), pero ese nombre es solo uno de los numerosos servicios que se ejecutan en Internet como el FTP (transferencia de datos) y SMTP ( ). Para hacer Internet accesible a cualquiera hacían falta otros dos desarrollos: los dispositivos personales y la conectividad de red. Esos desarrollos sucedieron en paralelo y comenzaron con terminales conectados a un ordenador central que proporcionaba acceso a las aplicaciones y recursos de computación centrales Virtualización En su libro Virtualization: A Manager s Guide (Kuznetzky, 2011) Daniel Kutznetzky describe los primeros ejemplos de virtualización: La primera forma de virtualización de aplicaciones fue desarrollada por los proveedores de mainframes, como IBM Un ejemplo es el IBM VM/370 de Desde los 90, Windows se ha convertido en el centro de los desarrollos de virtualización por parte de Microsoft, Citrix, VMware y otros. Kuznetzky reconoce cinco tipos diferentes de virtualización (Kuznetzky 2011): - Virtualización de acceso --- Permite el acceso a cualquier aplicación desde cualquier dispositivo - Virtualización de aplicación --- Permite que las aplicaciones se ejecuten en diferentes sistemas operativos y plataformas hardware - Virtualización de procesamiento --- Hace que un sistema parezca como varios y muchos como uno solo - Virtualización de red --- Presenta una vista artificial de la red que difiere de la realidad física - Virtualización de almacenamiento --- Permite que varios sistemas compartan los mismos dispositivos de almacenamiento, permite ocultar la ubicación de los sistemas de almacenamiento y más. Para la media de usuarios de la Nube esto significa que el hardware, las aplicaciones y los datos pueden estar ubicados en cualquier lugar en la Nube; solo se necesita acceder a ellos y utilizarlos. La virtualización es la solución para integración de: - Ordenadores de alta velocidad - Gran capacidad de almacenamiento - Internet Las características clave son: - La virtualización multiplica el uso de ordenadores de alto rendimiento 15

16 - Con los procesadores modernos de hoy se cuenta con una gran capacidad de procesamiento. La virtualización añade capacidad extra para ser utilizada - Concepto de la Nube: entornos y clientes ligeros virtualizados y operativos; entrega vía web - Multi-propiedad Servicios gestionados Disponer de servicios gestionados significa básicamente cambiar servicios de TI propios a un tercero. Un antiguo ejemplo, desde los días de los mainframes, es el alojamiento de aplicaciones por parte de un proveedor TI. A finales de los 90 las aplicaciones eran ofrecidas por proveedores, no estando disponible directamente para el cliente. Este primer ejemplo de servicios gestionados compartidos era entregado por ASP (Application Service Providers). Debido a la explosión de la Burbuja de Internet a principios de los 2000 el ASP pasó de ser un gran componente desarrollado lentamente en uno de los modelos de servicio en la nube SaaS. En paralelo con esos servicios gestionados surgió la necesidad de contar con un buen framework de gestión de servicios. Con las guías operacionales de IBM (Redbooks) como base y la adopción de las numerosas mejores prácticas de la industria se desarrolló el framework ITIL (Biblioteca de Infraestructura TI, IT Infrastructure Library) para la gestión de servicios de TI a principios de los 70. ITIL es el estándar líder para la gestión de servicios de TI hoy en día y ofrece numerosos ejemplos de buenas prácticas de cómo gestionar dichos servicios. Los procesos internos de ITIL clave para un centro de datos en la Nube incluyen gestión de la disponibilidad, gestión de capacidad, gestión de la seguridad y gestión de la continuidad del servicio. Los procesos externos incluyen gestión del nivel de servicio, mantenimiento, gestión, generación de informes y mejoras de los niveles de servicio vendidos y acordados con el cliente y la gestión financiera. El departamento de TI del cliente puede cambiar sus objetivos desde una vista operacional, eliminando la preocupación sobre las actualizaciones y el mantenimiento de los servidores. Esto no significa que el CIO no tenga nada que hacer. El cambio de foco se hará en dirección al gobierno de TI. Los elementos clave son: - Rendimiento; pueden los servicios en la Nube ofrecer soporte a nuestro modelo de negocio? y cuándo cambia? - Cumplimiento; cumplen los servicios con nuestra propia legislación nacional e internacional? - Contingencia; qué ocurre si el proveedor Cloud quiebra? Cómo puede permanecer un cliente en el asiento del conductor? Parece que habrá un incremento en la necesidad de modelos de auditoría centrados en los procesos de gestión de servicios de TI, del rendimiento del centro de datos y de la conformidad de los acuerdos. Los centros de datos que tradicionalmente vienen prestando alojamiento de aplicaciones y de plataformas es habitual que hagan uso de estándares de auditoría y guías de aplicación ISO/IEC para sus mecanismos de auditoría interna y externa (fuente: iso.org e isaca.org) - ISO/IEC :2011; Information technology Service Management Part 1: Service management system requirements - ISO/IEC :2012; Information technology Service Management Part 2: Guidance on the implementation of Service management systems - ISO/IEC 27001:2005; Information technology Security techniques Information security management systems Requirements - ISO/IEC 27002:2005; Information technology Security techniques Code of practice for information security management 16

17 - ISO/IEC 24762:2008; Information technology Security techniques Guidelines for information and communications technology disaster recovery services Para los clientes de servicios Cloud las buenas prácticas de gobierno incrementarán su importancia y se pondrá más énfasis en los siguientes estándares de auditoría: - COBIT 4.1 Guidance for executive management to govern IT within the Enterprise - ISO/IEC 38500:2008; Corporate governance of information technology Móvil PDA / Teléfono Un nuevo mundo para ofrecer servicios IT 1.3. Arquitecturas Cloud Computing Dos principios clave de arquitectura se aplican a cloud computing, arquitectura multipropósito y multi-cliente. Antiguamente la mayoría de arquitecturas eran propietarias y monopropósito. Algunos ejemplos son los sistemas de contabilidad y el almacenamiento de datos médicos. La clave de Cloud Computing es que su infraestructura es multipropósito. Un ejemplo puede ser un sistema en el que los datos no están solo almacenados sino distribuidos por Internet. Arquitectura Orientada a Servicios Arquitectura en Capas Arquitectura Multipropósito Arquitectura del Datacenter Servicio Hypervisor Software (SaaS) Plataforma (PaaS) Infraestructura (IaaS) Arquitectura multipropósito La virtualización es uno de los factores clave que contribuyen a esta característica. Diferentes tipos de implementación pueden funcionar en el mismo tipo de plataforma en un entorno virtualizado. De esta manera es fácil garantizar la escalabilidad a todos los clientes. El proceso 17

18 de reinstalar una nueva plataforma virtual dedicada es mucho más rápido y sencillo que reinstalar un servidor físico. Características clave: - Multicapa (diferentes capas para base de datos, aplicación y balanceo de carga) - Virtualización (servidor) - Capas interoperables - Estándares abiertos Arquitectura multi-cliente En su artículo Multi-Tenancy Misconceptions in Cloud Computing, Srinivasan Sundara Rajan afirma que el caso de negocio de multipropiedad es: un gran número de usuarios, básicamente multi-clientes, hace a la plataforma en la Nube la más eficiente en términos de usabilidad de aplicación y Hacer más con menos recursos (Rajan 2011). También ofrece algunos ejemplos de soluciones multi-cliente: - Salesforce.com: Una aplicación CRM SaaS para varios negocios utilizando un framework común y un modelo multi-cliente. - La oferta de Microsoft Dynamics CRM Online - Ofertas multi-cliente IaaS/PaaS de Amazon, IBM o Microsoft Azure Un elemento clave de la multipropiedad es la seguridad. Si la seguridad no puede ser garantizada en todos los niveles de la infraestructura, desde la infraestructura básica hasta la interfaz web, los clientes no desearán adoptar este modelo Arquitectura orientada a servicios (Service Oriented Architecture (SOA)) En su artículo The Cloud-SOA connection (Krill, 2009) Paul Krill cita a Jerry Cuomo, CTO del negocio WebSphere de IBM. Su pregunta Es posible construir una infraestructura de centro de datos bajo los principios SOA? es respondida por Cuomo con: Sí, y eso es la Nube, una infraestructura orientada a servicios está tomando el principio arquitectónico de SOA y aplicándolo a una infraestructura El Grupo de Trabajo SOA Open Group establece la siguiente definición: Service-Oriented Architecture (SOA) es un modelo de arquitectura que ofrece soporte a la orientación a servicios. La orientación a servicios es el modo de pensar en términos de servicios, su desarrollo y sus resultados. Un servicio: -Es una representación lógica de la actividad repetible del negocio que tiene un resultado especificado (por ejemplo comprobar el crédito de un cliente, ofrecer datos meteorológicos, consolidar informes) -Es auto-contenido -Puede estar compuesto de otros servicios -Es una caja negra para los clientes del servicio Esta definición de SOA fue producida por el SOA Work Group s Definition of SOA project the Open Group 18

19 Una arquitectura orientada a servicios es básicamente una colección de servicios que se comunican entre sí. Esta comunicación puede ser simplemente pasar datos entre dos o más servicios o una actividad gestionada conjuntamente. Conectar esos servicios en muchos casos involucra servicios web utilizando XML. Históricamente se remonta a la especificación CORBA. Podría decirse que no habría Nube sin SOA Fortalezas y limitaciones de Cloud Computing Como modelo de servicio, la Nube tiene muchas ventajas pero también inconvenientes. En este apartado se listan las principales fortalezas y limitaciones. Costes Seguridad Almacenamiento Ubicación de los datos Flexibilidad Beneficios Conformidad Green Limitaciones Dependencia de Internet Movilidad Niveles de Servicio Migración Principales beneficios de Cloud Computing - Coste reducido; gracias al modelo de pago por uso y/o de suscripción las empresas no tienen que invertir en la infraestructura TI. Para los proveedores Cloud los costes son menores gracias a las economías de escala y al principio de multi-cliente; no hay desaprovechamiento. - Automatizado; actualizaciones, parches de seguridad y copias de seguridad no son necesarias para el cliente. No es necesario tener al personal TI preocupado por mantener el software actualizado. - Flexibilidad; Cloud Computing ofrece más flexibilidad que los servicios de TI propietarios. Dentro de un contrato estándar existente un cliente puede cambiar la mezcla Cloud de servicios de manera dinámica para que ofrezcan soporte a las demandas y requisitos del negocio. - Más movilidad; los datos y las aplicaciones pueden ser accesibles a través de Internet desde cualquier tipo de dispositivo de computación inteligente en cualquier momento y desde cualquier sitio. - Recursos compartidos; los clientes comparten recursos, permitiendo a las pequeñas empresas tener unos componentes TI escalables, unos servicios y el soporte de ellos. Los usuarios que pertenezcan a uno o más clientes pueden trabajar juntos en un entorno de proyecto compartido. 19

20 - Agilidad y escalabilidad; las empresas pueden escalar sus infraestructuras TI hacia arriba o hacia abajo bajo demanda. - Volver al núcleo del negocio; la mayoría de los tipos de negocios start-up no necesitan su propia infraestructura TI y su soporte. - Más funcionalidad TI a menor precio; compartiendo Principales limitaciones de Cloud Computing - Acceso a Internet; sin acceso a Internet no hay acceso Cloud - Seguridad; los centros de datos Cloud pueden tener una alta seguridad y una alta gestión pero también una baja seguridad y una mala gestión. Cómo comprobarlo? - Privacidad; debido a la incertidumbre de dónde están los datos almacenados junto con la variedad de legislaciones nacionales e internacionales en privacidad, nunca se sabe quién podrá tener acceso a los datos. - Acuerdo de nivel de servicio; los acuerdos permiten flexibilidad y escalabilidad? - Atarse a un proveedor; la migración de la aplicación a otro proveedor de computación Cloud. 20

21 Preparación del examen: capítulo 1 Para ayudar a preparar el examen, se han incluido preguntas de opción múltiple y de tipo get it (la clave de las respuestas se encuentra al final de este workbook). Adicionalmente se ofrece una visión general de términos con los que debería familiarizarse. Preguntas de ejemplo 1. Cuál es la definición de Cloud Computing? A. Un grupo grande de recursos virtualizados utilizables y accesibles B. Una red de ordenadores cliente globalmente interconectados C. Una arquitectura de servicio basada en clientes ligeros D. Un servicio ofrecido por un proveedor de servicios, no limitado por un Acuerdo de Nivel de Servicio (Service Level Agreement (SLA)) 2. Qué organización inició Internet? A. Un grupo de universidades cooperando en EE.UU. B. Un grupo de aficionados a los ordenadores C. La CIA D. El Ministerio de Defensa de EE.UU. 3. Por qué la virtualización estimuló el nacimiento de Cloud Computing? A. Una máquina virtual es más segura que una máquina física B. La virtualización hace más sencilla y barata la compartición de recursos entre usuarios C. Las máquinas virtuales tienen mayor rendimiento que sus homólogas físicas D. La virtualización proporciona una mejor utilización de la red 4. Cuál es un ejemplo de entorno de propósito único en los primeros días de la computación? A. Cualquier aplicación en cualquier servidor B. Una interfaz con grandes ordenadores C. Una interfaz con grandes almacenes D. Un ordenador central (mainframe) 5. Qué es importante para el cliente acerca de los entornos multi-cliente? A. Disponibilidad B. Ancho de banda de red C. Latencia de red D. Seguridad 6. Cuál es un beneficio importante de Cloud? A. Datos altamente protegidos B. Independencia de Internet C. Los recursos pueden ser provisionados y retirados de manera rápida D. Pequeño ancho de banda Preguntas Get it 1. Describe los cuatro tipos de modelos de despliegue Cloud y da un ejemplo de cada uno de los cuatro tipos 2. Cuál es la diferencia entre SaaS, PaaS e IaaS? 3. Nombra los factores clave que han contribuido a la existencia hoy en día de la Nube 4. Qué otros dos desarrollos eran necesarios de realizar para tener Internet accesible a cualquiera? 5. Busca en la Wikipedia el término virtualización. Qué diferentes tipos de virtualización se mencionan? Compara esos tipos con los tipos de Kuznetzky 6. Explica por qué el almacenamiento de datos sanitarios es un ejemplo de arquitectura de propósito único 7. Qué significa SOA? 8. Nombra cuatro beneficios y cuatro limitaciones de Cloud Computing 21

22 Términos del examen Cloud Computing, características cloud, modelos de despliegue (privada, pública, comunitaria e híbrida), modelos de servicio (SaaS, PaaS e IaaS), evolución de Cloud Computing, LAN, Internet, virtualización, servicios gestionados, arquitecturas Cloud Computing: multipropósito, multi-cliente, arquitectura orientada a servicios (SOA), fortalezas y limitaciones de Cloud Computing. 22

23 Implementar y Gestionar Cloud Computing: Especificaciones del examen Tras leer el capítulo 2, comprenderá los principios de implementar y gestionar Cloud Computing (20%) 2.1 Comprender la construcción de un entorno Cloud local (10%) Usted podrá: Describir los componentes principales de un entorno Cloud local y cómo están interconectados Describir el uso de un acceso de tipo Red Privada Virtual (Virtual Private Network (VPN)) a una Red de Área Local Describir los riesgos de conectar una red Cloud local a Internet 2.2 Comprender los principios de la gestión de servicios Cloud (10%) Usted podrá: Describir el uso de los principios de gestión de servicios de TI en un entorno Cloud Explicar la gestión de niveles de servicio en un entorno Cloud 23

24 Implementar y gestionar Cloud Computing Cloud Aplicación Web Usuario Red de Area Local (LAN) Soporte Portabilidad Backup Herramientas Uniformidad Estándares 1.5. Construir un entorno Cloud local Se puede decir que un entorno Cloud local no es muy diferente del centro de datos tradicional. Sin embargo, utilizando la tecnología y las arquitecturas modernas Cloud, las grandes empresas pueden beneficiarse de lo mejor de los dos mundos, el centro de datos privado y la Nube. Un centro de datos privado proporciona un control completo y tus propias reglas de mecanismos de seguridad internos. Además, una nube privada ofrece flexibilidad, escalabilidad mejorada para los empleados; por ejemplo ofrecer soporte a lugares de trabajo utilizando conexiones VPN. Numerosas organizaciones ya tienen experiencia con VPN y soluciones ofimáticas gestionadas basadas en la arquitectura Citrix. Cambiar a la Nube parece ser el siguiente paso lógico Principales componentes de un entorno Cloud local Este apartado ofrece una visión general rápida de los principales componentes hardware y software de un entorno Cloud local así como algunos criterios clave de rendimiento. 24

25 Software Hardware Servidores Web Aplicación Software Sistemas Operativos Sistemas de Base de Datos Switches Almacenamiento en Disco Routers Servidores Principales componentes hardware - Grupos de servidores blade; reducidos, y a menudo sin discos, que arrancan desde un array SAN utilizado para propósitos específicos como alojamiento web, virtualización y computación paralela. (Devcentral.f5.com, 2009). Algunos ejemplos: - Diferentes tipos de servidores: Servidores de bases de datos, servidores de aplicaciones, servidores web, servidores de backup, servidores de red/dominio (Windows Server 2008, UNIX, Linux) - Escritorios de estaciones de trabajo o virtuales - Redes de área local (LAN) - Almacenamiento; - Storage Area Network (SAN); red dedicada que ofrece acceso a datos consolidados - Network Attached Storage (NAS) - Balanceador de carga; un balanceador de carga ofrece una gestión de qué instancias de aplicación pueden ser provistas y retiradas automáticamente, sin requerir cambios en la red o en su configuración. Automáticamente gestiona el incremento o decremento de la capacidad y adapta su distribución basada en decisiones según la capacidad disponible cuando se haga la solicitud. Principales componentes software - Software de virtualización (como VMware) - Software de aplicación Cloud (por ejemplo CRM, la suite Office, ERP, etc.) - Software de base de datos (Oracle, IBM DB2, Microsoft SQL, etc.) - Middleware; un conjunto de intermediarios para los componentes en un sistema de computación distribuido (Bernstein, 1996) - Sistemas operativos (Microsoft, UNIX, open source) Consideraciones de la arquitectura Para hacer el máximo uso del principio de interoperabilidad de Cloud Computing es importante estandarizar la arquitectura utilizando protocolos estándares y otros bloques de construcción que sean independientes de la ubicación y del fabricante. Algunos ejemplos son: virtualización, SAN y servidores blade o balanceadores de carga. Para gestionar la infraestructura es necesaria una consola de gestión central. Además, necesitamos considerar la seguridad y la continuidad del servicio de un entorno Cloud local. Lo ideal consiste en múltiples sites que ofrezcan asistencia con prevención de desastres y recuperación (continuidad del negocio), que utilicen mecanismos de backup adecuados y una replicación de almacenamiento de datos a través de los sites y utilice elementos comunes y con alta seguridad como: cortafuegos, DMZ, software de seguridad, perfiles de usuario basados en roles, etc. Las soluciones Cloud exitosas requieren criterios de rendimiento específicos. Algunos ejemplos son: 25

26 - Componentes físicos: escalabilidad de servidor y capacidad de almacenamiento - Almacenamiento: rendimiento SAN (tiempos de lectura, escritura y borrado) - Procesos internos: velocidad de conexión, latencia de despliegue y tiempo de espera Acceso VPN Para poder garantizar un acceso seguro a un entorno Cloud local desde ubicaciones remotas necesitamos una VPN. Una VPN está formada típicamente por un entorno de computación central, ubicaciones en oficinas remotas y otras ubicaciones de empleados remotos como su propio domicilio.. Beneficios clave de una VPN para construir una nube híbrida Una VPN Cloud puede ayudar a crear una conexión segura entre nuestra nube privada y nuestros usuarios remotos, proveedores externos de servicio y proveedores de nube pública o comunitaria. Para conseguir una alta seguridad se crea la nube privada virtual propia dentro del entorno público y se conecta con el entorno privado a través de una VPN. Los beneficios clave de utilizar una VPN son: - Conectividad segura remota; extiende la LAN/WAN a una escala global - Más barata que utilizar conexiones de red alquiladas; hace uso de conexiones a Internet estándar a través de conexiones DSL domésticas o conexiones de red de datos de teléfonos móviles - Más movilidad para los empleados; mejora la productividad para los empleados que trabajen desde casa Consideraciones de la arquitectura En la mayoría de las conexiones VPN se utiliza el principio de túnel IP. Se crea una conexión punto a punto segura, un túnel, a través del que se transmitirán los datos. Técnicamente la tunelización es el proceso de encapsular un paquete dentro de otro paquete y enviarlo a través de la red. Se necesitan tres protocolos diferentes en la tunelización: - El protocolo portador; protocolo utilizado por la red - El protocolo de encapsulado; el protocolo que envuelve los datos originales - El protocolo pasajero; los datos originales (por ejemplo IP) Los bloques de construcción clave son: tunelización IP, seguridad (cortafuegos, Internet Protocol Security Protocol (IPsec) y cifrado, y servidores de autenticación, autorización y seguimiento (accounting) (AAA) Riesgos de conectar una red Cloud local a Internet La compañía de red de seguridad TI SecPoint realiza una interesante pregunta acerca de la seguridad de Cloud en Internet: Están realmente dispuestas las compañías a arriesgar tener toda la información, datos, privacidad y software gestionados en una nube virtual un lugar donde existe la posibilidad de ataques e invasiones? ( 26

27 Almacenar datos en la nube parece como guardar los bienes en el sótano de un banco, pero en el caso del banco se sabe dónde está y en qué casillero están guardados los bienes. En el caso de la nube cómo de bien están protegidos frente a robos? La consideración clave será qué hacer con la seguridad de los datos. Con los servicios Cloud en Internet los datos pueden estar almacenados en cualquier lugar del mundo sin saberlo. Además, qué ocurre con los datos que no se están utilizando? Automáticamente se guardarán bajo llave o están las bases de datos abiertas al mundo exterior. Muchas responsabilidades recaen en el proveedor. Secpoint lo formula de la siguiente forma: Los proveedores Cloud tienen la responsabilidad de asegurar que no hay bugs explotables en su colección SaaS desplegando pruebas de penetración y procedimientos de valoración de vulnerabilidades en cada programa disponible. El código de la aplicación empaquetada o externalizada también debe ser clasificado, examinado y monitorizado También recae una alta responsabilidad en los clientes. Necesitan comprobar que sus proveedores tienen todo bajo control. El cliente por ejemplo necesitará supervisar cómo está organizado el particionado y la protección de datos en el entorno Cloud. Hay que tomar bastantes medidas para mantener los datos seguros. Algunas de las opciones disponibles son tener una separación entre datos de diferentes clientes, zonas, almacenamiento oculto y clientes y perfiles de usuario basados en roles (esto significa anonimato, no se sabe quiénes son los vecinos) Los principios de gestionar servicios Cloud Principios de gestión de Servicios de TI en un entorno Cloud Externalizar los servicios de TI a un proveedor Cloud no significa que un cliente (gran empresa o PYME) pueda relajarse y delegar todo en el proveedor. Incluso si externaliza la gestión de la infraestructura de TI, la operativa de TI y la gestión de servicios, el cliente siguen necesitando asegurar la alineación negocio-ti y el gobierno TI. Para comprobar el rendimiento del proveedor y la conformidad necesitamos configurar una gestión de servicios de TI adecuada y preferiblemente de manera auditable. Frameworks probados (por ejemplo ITIL, gestión de la información de negocio y gestión de aplicaciones) y estándares de gestión de servicios de TI (por ejemplo ISO/IEC 20000:2011) pueden ser utilizados tanto por el proveedor como por el cliente. Proveedor del servicio Cloud El proveedor de servicios necesita estar bajo control en toda la cadena de suministro formada por las operaciones del centro de datos, la red y los proveedores de Internet y otros proveedores como colaboradores de solución SaaS. Un estándar bien probado para la gestión de servicios de TI con mecanismos de auditoría internos y externos es la ISO/IEC 20000:2011. En este estándar hay cuatro áreas de proceso: TI y el negocio, diseño de servicios, control de los servicios de TI y soporte de los servicios de TI. El alcance cubre tanto la gestión como la mejora de los servicios de TI. Cliente Cloud Un cliente de una gran empresa o del sector público de servicios Cloud necesita estar seguro de que se están utilizando mecanismos de gobierno apropiados. Los elementos principales son un buen proceso de gestión de niveles de servicio (SLM) en el lado del proveedor y estándares y mecanismos de auditoría adecuados. Un proveedor que sea preferiblemente certificado por ISO para asegurar que cuenta con un buen sistema de auditoría interna cubriendo el suministro completo y la cadena de demanda. Otros estándares centrados en el negocio pueden ser también beneficiosos para la organización de gestión de servicios de TI y el cliente. 27

28 Ejemplos de éstos son: - COBIT 4.1 guía para la gestión ejecutiva que gobierna TI dentro de la empresa - ISO/IEC 38500:2008; gobierno corporativo de tecnologías de la información - ISO/IEC :2004; Information technology Process assessment (también conocido como SPICE) Preguntas que debe responder el proveedor Cloud: - Cómo se realizan las auditorías? - Dónde están ubicados los servidores y qué legislación se aplica a los datos? - Cuáles son las cláusulas cuando un servicio cambia o termina (ciclo de vida del servicio y fin del servicio)? - Cuáles son las cláusulas si se quiere migrar a otro proveedor (ciclo de vida del contrato y fin del contrato)? Gestión de niveles de servicio / SLA Debe recordarse que hay diferentes requisitos de nivel de servicio (SLR) para los diferentes modelos de despliegue Cloud. Para la nube pública deben ser altamente estandarizados y disponibles para todos. No se recomienda utilizar para datos críticos. Ejemplos son el , las aplicaciones de productividad y el almacenamiento. Para nubes privadas, el SLA necesita cubrir todos los servicios de TI y sistemas además de la red. Los niveles de servicio dependen del proveedor. Y finalmente, para nubes híbridas, será una mezcla de los casos anteriores porque de hecho son una combinación de nube pública y privada. Por eso, los niveles de servicio pueden variar Gestión de los niveles de servicio en un entorno Cloud Como cliente se requiere que el proveedor cumpla con algunas especificaciones de calidad y que los procesos correspondientes estén implantados. El estándar ISO/IEC 20000:2011 comprende varios procesos importantes para un centro de datos o proveedor Cloud. Como cliente, se espera ver evidencias de estrategias y de la implementación de los procesos esenciales de gestión de servicios para garantizar la conformidad con esos criterios de calidad. La siguiente tabla muestra las especificaciones de calidad de ISO/IEC 20000:2011 para los sistemas de información y cómo son gestionados. Componente Consistente en Propósito Especificaciones de calidad Sistema de Información Gestionar la información - Personas - Procesos - Tecnología - Colaboradores Soporte - Cambios, restauración del sistema en caso de fallo - Mantenimiento Asegurar el rendimiento acorde a los requisitos acordados - Disponibilidad - Capacidad - Rendimiento - Seguridad - Escalabilidad - Adaptabilidad - Portabilidad 28

29 Especificación ISO/IEC 20000:2011: procesos El objetivo de una certificación ISO/IEC y/o las auditorías de seguimiento es comprobar si la organización cumple con todos los requisitos de ISO/IEC Una serie de requisitos son obligatorios. Uno de ellos es la documentación de los procesos ISO/IEC Sin embargo, no es suficiente. La organización (por ejemplo el proveedor Cloud) también necesita demostrar que los miembros del equipo están familiarizados con dichos procesos y se adhieren a los procedimientos e instrucciones de trabajo. La siguiente tabla ofrece una lista completa de los procesos ISO/IEC Grupo de procesos Proceso Procesos de provisión del servicio - Gestión del nivel de servicio - Informes del servicio - Gestión de continuidad y disponibilidad del servicio - Elaboración de presupuesto y contabilidad de los servicios - Gestión de la capacidad - Gestión de la seguridad de la información Procesos de relación - Gestión de relaciones con el negocio - Gestión de suministradores Procesos de control - Gestión de la configuración - Gestión de cambios Procesos de resolución - Gestión de incidencias y peticiones de servicio - Gestión de problemas Procesos de entrega - Gestión de la entrega y despliegue 29

30 Preparación del examen: capítulo 2 Para ayudar a preparar el examen, se han incluido preguntas de opción múltiple y de tipo get it (la clave de las respuestas se encuentra al final de este workbook). Adicionalmente se ofrece una visión general de términos con los que debería familiarizarse. Preguntas de ejemplo 1. Qué es una Red Privada Virtual (VPN) A. Una conexión segura para el acceso remoto a una red de área local B. Una nube privada segura para un único usuario C. Un dispositivo de red virtual para propósitos privados D. Un sistema operativo para sistemas de red privados 2. Qué puede hacerse para hacer el máximo uso del principio de interoperabilidad de Cloud Computing? A. Emplear múltiples integradores de sistema para construir la nube privada B. Solo utilizar proveedores Cloud localizados en Europa C. Utilizar hardware y software de un único vendedor D. Utilizar protocolos estándar 3. Cuál no es una razón válida para un cliente que pregunta al proveedor Cloud dónde están localizados los servidores? A. La localización geográfica puede decir algo sobre la latencia de la red B. La localización geográfica puede decir algo sobre la legislación C. El número de sites informa acerca de las posibilidades de recuperación de desastres D. Cuando un servidor cae, el cliente quiere enviar un técnico para arreglar el problema lo antes posible 4. Qué proceso no está cubierto en ISO/IEC 20000? A. Gestión de la configuración B. Gestión de personas C. Gestión del nivel de servicio D. Gestión de suministradores Preguntas Get it 1. Dibuje un entorno Cloud local con sus componentes principales y cómo están interconectados 2. Nombre los beneficios clave de utilizar una VPN 3. Hay riesgos de conectar una red Cloud local a Internet. Uno de los riesgos es que recaen grandes responsabilidades en los clientes. Ellos necesitan comprobar que su proveedor tiene todo bajo control. El cliente por ejemplo necesitará supervisar cómo están organizados la protección y el particionado de datos en el entorno Cloud. Hay que tomar numerosas medidas para mantener los datos seguros. Cuáles son las opciones disponibles? 4. El objetivo de una certificación ISO/IEC y/o la auditoría de seguimiento es comprobar si la organización cumple de manera completa con los requisitos ISO/IEC Una serie de requisitos son obligatorios. Uno de estos es la documentación de los procesos ISO/IEC Nombre tres grupos de procesos incluyendo los procesos de cada grupo. 5. Términos del examen Implementar y gestionar Cloud Computing, entorno Cloud local, software, hardware, VPN, riesgos, gestión de servicios, proveedor Cloud y SLA 30

31 Los principios de Cloud Computing: Especificaciones del examen Tras leer el capítulo 3, comprenderá los principios de utilizar Cloud Computing (15%) 3.1 Conocer cómo los usuarios pueden acceder a Cloud (5%) Usted podrá: Describir cómo acceder a las aplicaciones web mediante un navegador web Describir la arquitectura de acceso web a la Nube Describir el uso de un cliente ligero (Thin Client) Describir el uso de dispositivos móviles para acceder a la Nube 3.2 Comprender cómo Cloud Computing puede ser utilizado por los procesos del negocio (5%) Usted podrá: Identificar el impacto de Cloud Computing en los procesos principales de una organización Describir la función de las aplicaciones estándar en colaboración 3.3 Comprender cómo los proveedores de servicios pueden utilizar Cloud (5%) Usted podrá: Explicar cómo utilizar Cloud Computing cambia la relación entre vendedores y clientes Identificar los beneficios y riesgos de ofrecer servicios basados en Cloud 31

32 Utilizar la Nube 1.7. Acceder a la Nube Aplicación Web Cloud Arquitectura de Acceso a Cloud Navegador Web Cliente Ligero Usuario Final Cómo acceder a aplicaciones web mediante un navegador web Estar conectado a la Nube para acceder a soluciones basadas en Cloud SaaS como las soluciones Office parece ser muy simple. Todo lo que se necesita es un PC o un portátil, elegir un navegador de Internet, obtener una conexión a Internet y una solución de un proveedor de servicios Cloud. Por ejemplo, un usuario privado compra un portátil, lo conecta al router inalámbrico ofrecido por el proveedor de servicio de Internet (ISP), elige un navegador de su preferencia (por ejemplo Google Chrome, Microsoft IE o Mozilla Firefox) y accede a Internet. Si decide tener una solución ofimática basada en Web debe buscar un proveedor, suscribirse a una cuenta de manera gratuita (pero limitada) y ya está en el negocio. Sin embargo, para los negocios, pequeños o grandes, se necesita una pareja (Two to Tango). En este caso lo primero que se tendrá que hacer es determinar por qué se quiere comenzar a utilizar soluciones Cloud (precio, flexibilidad, escalabilidad/elasticidad, acceso en cualquier momento, cualquier lugar desde cualquier dispositivo ), elegir qué se quiere utilizar (solución Office, almacenamiento de archivos y compartición, colaboración online, aplicaciones profesionales como CRM o escritorio virtual para el equipo de ventas ) y finalmente cómo se quieres acceder a esos servicios y con qué infraestructura básica. Se dispone de una granja de servidores y LAN propia, o se trata de una pequeña PyME y quiere deshacerse de todo el equipamiento de su pequeña oficina? Y qué sucede con la privacidad y la seguridad? Acceder a la Nube es ya un concepto sencillo. Se necesita acceso a Internet! O en el caso de planes de nube privada, a la Intranet. Para ayudar a entender cómo y por qué se necesita Internet es bueno echar un vistazo a algunos conceptos básicos. El primero de ellos es Internet. Se comenzará con una definición desde la Nube (Wikipedia). Acorde a una fuente basada en Cloud (Wikipedia): 32

33 Internet es un conjunto descentralizado de redes de comunicación interconectadas que utilizan la familia de protocolos TCP/IP, garantizando que las redes físicas heterogéneas que la componen funcionen como una red lógica única, de alcance mundial. Uno de los servicios que más éxito ha tenido en Internet ha sido la World Wide Web (WWW, o "la web"), hasta tal punto que es habitual la confusión entre ambos términos. La WWW es un conjunto de protocolos que permite, de forma sencilla, la consulta remota de archivos de hipertexto. Ésta fue un desarrollo posterior (1990) y utiliza Internet como medio de transmisión. Existen, por tanto, muchos otros servicios y protocolos en Internet, aparte de la Web: el envío de correo electrónico (SMTP), la transmisión de archivos (FTP y P2P), las conversaciones en línea (IRC), la mensajería instantánea y presencia, la transmisión de contenido y comunicación multimedia -telefonía (VoIP), televisión (IPTV)-, los foros electrónicos (NNTP), el acceso remoto a otros dispositivos (SSH y Telnet) o los juegos en línea. Uno de los componentes clave de la arquitectura de Internet es la familia de protocolos de Internet estándar (TCP/IP). Cada dispositivo que desee acceder a Internet requiere de una dirección para ser identificado y reconocido; esto se conoce como dirección IP. Además, debe recordarse que es un sistema global de redes de comunicación interconectadas lo que significa que se estará conectado con el resto del mundo. Finalmente, esas redes están conectadas por un conjunto de dispositivos electrónicos, inalámbricos y ópticos. Para ver la perspectiva de esos conceptos es necesario revisar el modelo de interconexión de sistemas abiertos (Open Systems Interconnection (modelo OSI)), el modelo TCP/IP y una definición de Internet Modelo de interconexión de sistemas abiertos (Open Systems Interconnection (OSI)) El modelo OSI fue desarrollado para ayudar a estandarizar las funciones de los sistemas de comunicaciones en términos de capas. Cloud Computing, debido a sus características de compartición de recursos y sus necesidades de interconexión necesita un alto grado de estandarización de sus componentes tanto en el lado del proveedor como en el del cliente. Es posible mapear los estándares con cada capa del modelo OSI para ver qué es necesario en la cadena entre la transmisión y la recepción de datos. Ilustración 1 Una representación sencilla del modelo OSI 33

34 A continuación se van a mapear algunos de los protocolos estándares en este modelo. Comenzando con la capa física, se necesitará algún tipo de conexión física o inalámbrica a Internet. Esto puede ser hecho de diferentes formas: cableado a través de una conexión LAN, para esto se necesitará una tarjeta de interfaz de red (NIC), para lo cual hay algunos estándares IEEE y un cable Ethernet (RJ45-cat. 4 ó 5). Así ya se habría establecido una conexión Ethernet (nivel 2). Lo siguiente que se necesitará será un medio de transporte, el protocolo Transmission Control Protocol (TCP) y la dirección de Internet Protocol (IP) (capas 3/4). Ya se habría cubierto la parte hardware de la conexión. Lo mismo puede conseguirse con una conexión inalámbrica en la oficina, utilizando puntos de acceso públicos o conectando un dispositivo inteligente a Internet mediante una red móvil o con un enlace vía satélite. Lo siguiente que se necesitará será establecer una sesión con una aplicación, la capa de sesión (NetBios, sockets) se encarga de abrir, cerrar y gestionar las aplicaciones (capa 5). La siguiente capa se ocupará de presentar los datos (ASCII) (capa 6). Finalmente se puedem utilizar las aplicaciones basadas en web o Cloud en la capa 6, acceder a un sitio web www (HTTP), realizar pagos seguros con una conexión segura (HTTPS), recibir s mediante el protocolo Post Office (POP), enviar mediante el protocolo Simple Mail Transfer Protocol (SMTP) o transferir archivos con el protocolo File Transfer Protocol (FTP). Resumiendo, es posible decir que desde la perspectiva del negocio se necesita establecer los requisitos de negocio sobre velocidad y capacidad (se necesita una conexión por cable sencilla o una línea alquilada segura y el cableado), movilidad y seguridad móvil (wireless mediante puntos de acceso o conexiones personales mediante la conexión móvil), seguridad (VPN y cifrado). En el siguiente apartado se presenta una visión más profunda sobre los elementos de la arquitectura necesarios para acceder a la Nube Arquitectura del acceso web a Cloud Una de las características clave de la arquitectura de Cloud Computing es el uso de protocolos estándar y otros estándares de diseño. La siguiente tabla relaciona las capas del modelo OSI discutido en el apartado anterior con algunos de esos estándares y para qué son utilizados en la cadena entre la transmisión de datos a través de Internet para recibirlos en nuestro dispositivo con conexión a Internet (PC, cliente ligero, smartphone, tablet, etc.) Protocolo / estándar Capa ISO/OSI Descripción (ejemplos) HTTP Aplicación Hypertext Transfer Protocol (HTTP); origen del world wide web (WWW) VT Presentación En la subcapa SASE (Specific Application Service Element) - Virtual Terminal RTSE En la subcapa CASE (Common Application Service Element) - Reliable Transfer Service Element Sockets API Sockets Sesión Interfaz de Programación de Aplicaciones (Application Programming Interface (API)); permite a los programas controlar y utilizar sockets de red 34

35 Protocolo / estándar (ejemplos) TCP Capa ISO/OSI Transporte Descripción Transmission Control Protocol SSL Secure Sockets Layer; protocolo para cifrar la información en Internet IP Internet/Red Internet Protocol Ethernet Enlace de datos/enlace Carrier Sense Multiple Access /Collision Detection (CSMA/CD) Define la capa física y el control IEEE de acceso al medio (MAC) de la capa de enlace de datos o Ethernet cableado (Wi-Fi equivalente: a,b/g,n 10BASE-T Física Línea fija (cable, LAN, WAN) o conexión inalámbrica Otro componente clave de la arquitectura Cloud Computing es la virtualización. Una o más capas del modelo OSI pueden estar virtualizadas. Debido a que es un concepto bastante técnico no se va a entrar en detalle aquí. Puede ampliarse información sobre este concepto en numerosos artículos en Internet. Un ejemplo de artículo online relativo a las capas 1-3 puede ser encontrado en prsync.com (artículo: Networks and Virtualization by Oracle Tuesday, February 14, 2012) Utilizar un cliente ligero En el pasado se utilizaban los recursos y las funciones de un ordenador central desde un dispositivo sencillo llamado terminal. Sin embargo, esto no es muy parecido a estar conectado al mundo vía Internet. La conexión era punto a punto entre el terminal y el mainframe. A principios de 1960 una forma de virtualización fue utilizada para dividir la potencia del procesador o procesadores del mainframe en máquinas separadas, cada una para realizar su propia tarea. El siguiente paso fue contar con PCs más potentes y cliente/servidor. En este escenario había una parte de la aplicación en el dispositivo local, la llamada aplicación cliente. Con el surgimiento de Cloud Computing la mayoría de la potencia se ejecuta en los sistemas en la Nube, parecido a como los tiempos del mainframe. El último paso es remplazar los PC caros de las oficinas y reemplazarlos por modernos terminales. Este nuevo tipo de terminal se conoce como cliente ligero. Un cliente ligero es un ordenador sencillo con acceso a la red, sin disco duro (arranca desde la red) o sin otras partes móviles (sin unidad DVD). En una oficina moderna se necesitan menos PCs porque se cuenta con formas móviles de trabajar (desde casa o en desplazamientos) y no se necesitan PCs tan potentes para ejecutar software cliente complejo. Los clientes ligeros pueden repercutir en un menor consumo, una mayor vida útil y menores costes de ejecución. Para resumir los beneficios: - Menores costes; precio inicial y costes de ejecución - Simple; sin partes móviles - Mejor para el entorno; produce menos calor y necesita menos refrigeración, a veces incluso sin ventilador - Seguridad aumentada, arrancar desde la red con acceso controlado, sin datos locales, etc. - Menor posibilidad de errores de usuario Los clientes ligeros no han sido muy populares en el pasado debido a sus limitaciones en áreas que necesitan potencia de cálculo y gráficos. La tecnología se ha desarrollado rápidamente y en el CES de 2012 un fabricante anunció el primer cliente ligero multiprotocolo y multimedia. Se tomará la tecnología Cloud aún más en serio con la ya existente opción de escritorio virtual como servicio (un servicio tipo IaaS). Con esta opción, cualquier dispositivo inteligente (y en cualquier momento y desde cualquier lugar) podrá actuar como un cliente ligero. 35

36 3.1.4 Utilizar dispositivos móviles para acceder a la Nube Se puede imaginar un mundo sin un smartphone? El uso de los teléfonos móviles ha alcanzado su mayoría de edad. Los servicios de telefonía móvil que utilizan servidores aparecieron cuando se empezaron a enviar mensajes de texto (SMS) y rápidamente fueron seguidos por otras soluciones como la transmisión de imágenes (MMS). Recibir s en un smartphone es ahora una función estándar (por ejemplo SMTP y Exchange). Las plataformas hardware y los sistemas operativos para smartphones han transformado a éstos en dispositivos personales. Lo siguiente vendrá con tabletas 3G, y lo siguiente el futuro dirá. Actualmente los sistemas operativos líderes en smartphones son: - Android (de Google); plataforma líder para tablets y smartphones - Microsoft Windows; versión 8 (como Android 4+) puede ser utilizado también en tablets - Apple IOS iphone, persuasivo conjunto de hardware y software propietario - Blackberry OS; específicamente para una audiencia de negocio Aunque hay un alto grado de interoperabilidad entre las diferentes redes y proveedores móviles (quizá con la excepción de Blackberry), las aplicaciones y servicios para smartphones no pueden ser utilizados habitualmente en otros sistemas operativos. Para incrementar su cuota de mercado los proveedores a menudo desarrollan aplicaciones para las otras plataformas líderes. Desarrollar para la Nube significaría accesibilidad universal. Un ejemplo es el mail de Exchange en combinación con la función de push en un smartphone; el usuario puede actualizar su agenda, lista de contactos, notas y lista de tareas cuando quiera y recibir y enviar s. Todas estas instancias son actualizadas automáticamente en el servidor Exchange. Cuando el usuario accede a su cuenta Exchange en la oficina todo está sincronizado. Algunos problemas que los usuarios pueden encontrar con las tecnologías actuales son que un gran número de dispositivos tienen capacidades limitadas para ejecutar aplicaciones de negocio. Las aplicaciones empresariales necesitan ser rediseñadas para utilizarse en el teléfono móvil. Sin embargo, los tablets pueden resolver ese problema. Otro problema es el relativo a los temas de seguridad y privacidad como tener datos del negocio en dispositivos extraíbles como tarjetas SD y hacer todo en cualquier lugar puede comprometer dicha información. El primer problema puede ser resuelto mediante el cifrado de los datos, y el segundo con una campaña de concienciación. Finalmente un responsable de negocio debería tener en cuenta de qué forma sus empleados utilizan los dispositivos inteligentes. La mayoría de ellos tendrá uno y estarán constantemente online y conectados a servicios como itunes, Facebook y media streaming. Por ejemplo la mayoría de los usuarios de iphone y de Android tienen multitud de aplicaciones que pueden distraerles del trabajo. En este caso, el tiempo online y el uso de datos puede convertirse en un alto coste para la organización. 36

37 1.8. Cómo puede Cloud Computing soportar los procesos de negocio Identificar el impacto de Cloud Computing en los procesos principales de una organización Lo primero que se necesitan determinar es qué (tipo de) modelo de servicio Cloud se necesita para dar soporte al negocio. Dependiendo de esta opción es posible determinar cómo integrar la infraestructura propia presente o futura con Internet y la infraestructura del proveedor Cloud. Si solo se necesita un escritorio virtual para el equipo de ventas se podría optar por un modelo IaaS. Los servicios IaaS típicos cubren las primeras cuatro capas del modelo OSI. Si se necesitan diferentes tipos de plataformas de desarrollo de software con la elasticidad entre baja capacidad durante las fases de diseño y programación y alta capacidad durante las fases de pruebas, entonces se optaría por un modelo PaaS. Si se está programando con una API propia solo se necesitará cobertura de las capas 5 y 6 del modelo OSI. Sin embargo, para la mayoría de los clientes Cloud el modelo SaaS es el más adecuado. En el modelo SaaS los clientes necesitan encargarse de su propio dispositivo con conexión a Internet. Con todas las opciones de conexión que hay disponibles hoy en día, esto significa en cualquier momento, desde cualquier lugar y desde cualquier dispositivo. Sin embargo, dependerá de tus requisitos de seguridad y privacidad móvil y del presupuesto disponible, además de otros requisitos como velocidad, capacidad y elasticidad. Actualmente hay muchas soluciones de negocio típicas disponibles desde la Nube. La siguiente tabla ofrece una visión general de ejemplos de solución de negocio SaaS con sus posibles audiencias objetivo. 37

38 Categoría Audiencia objetivo Ejemplos Customer Relationship Management (CRM) Grandes empresas, organizaciones del sector público y ONGs Salesforce, SugarCRM (open source), Netsuite Enterprise Resource Planning (ERP) Soluciones de RRHH Grandes empresas, organizaciones del sector público y ONGs Grandes empresas, organizaciones del sector público y ONGs Netsuite, Compiere (open source), Microsoft Dynamics Taleo (ahora propiedad de Oracle), VANA Workforce Pequeñas empresas Natural HR (gratis) Gestión de servicios de TI Grandes empresas, ServiceNow organizaciones del sector público y ONGs Financiero y contabilidad Grandes empresas, Intacct, Netsuite organizaciones del sector público y ONGs Diseño y gestión web Grandes y pequeñas Web Studio, Joomla (gratis), empresas y otros tipos de Adobe Dreamweaver, organización Xsitepro, etc. (professional) Grandes empresas y PyMES Microsoft Exchange Online, Gmail (Google Apps for business), Cisco WebEx, Mail, IBM LotusLive inotes, etc. Webmail Pequeñas PyMES Gmail, Hotmail, etc. Suites ofimáticas Grandes y pequeñas Office 365, Google Docs for empresas Business, Zoho E-Business Medianas y grandes empresas Capgemini Immediate, Oracle RIO Pequeñas empresas Gogiro, Google/Openentry Almacenamiento online PyMES DropBox, UbuntuOne (open source) Colaboración Grandes empresas y Microsoft SharePoint Online, organizaciones Cloudshare PyMES DropBox Videoconferencia PyMES Skype, WebEX Tener esas soluciones desde la Nube ofrecerá beneficios adicionales a ejecutarlas en un centro de datos propio. Es posible combinar las soluciones desde un entorno de nube privada con soluciones privadas creando una nube híbrida propia. Por ejemplo compras y fabricación, Cloud podría habilitar la colaboración con suministradores y utilizar plataformas de intercambio y compartición para ventas, publicidad y marketing promocionando y habilitando la interacción con potenciales clientes y el mercado a través de redes sociales como Facebook. Algunos artistas en la industria de la música ahora utilizan este mecanismo como primer canal de ventas. Otro ejemplo podría ser facilitar una forma sencilla de registrar contactos de clientes en el sistema CRM para los comerciales. 38

39 La función de las aplicaciones estándar de colaboración Las redes sociales como Facebook, LinkedIn y Twiter han liderado una nueva vía de formas de colaboración. Compartir y trabajar en equipo en documentos ahora es sencillo gracias a servicios como DropBox y Ubuntu One (open source). Videoconferencias y llamadas por Internet gratuitas son posibles gracias a Skype. Nuevos servicios Cloud gratuitos emergen rápidamente y los más exitosos son desarrollados más adelante como servicios Cloud de pago. Por ejemplo, Gmail de Google tiene ahora un equivalente de negocio y combinado con Google Apps for Business, por esto Google se está convirtiendo en un proveedor Cloud SaaS Cómo los proveedores de servicio pueden utilizar la Nube Cómo Cloud Computing cambia la relación entre vendedores y clientes Con cada vez más servicios trasladándose a la Nube, los proveedores de TI tienen que volver a pensar en sus modelos de servicio orientándolos a ella. Lo que es cierto es que se trata de otro tipo de relación con sus clientes. Debido a que los proveedores han ocupado una gran parte de los sistemas de TI y de la gestión de servicios de los clientes, necesitan estar preparados para rescribir sus SLAs y demostrar a sus clientes que podrán asegurar la mejor cadena de valor. Algunos aspectos a considerar son la intimidad con el cliente (ahora está ejecutando virtualmente los procesos de negocio de sus clientes), y la necesidad de evidencias de auditoría transparentes (los clientes demandarán pruebas de cumplimiento según los estándares ISO/IEC y COBIT entre otros) Beneficios y riesgos de ofrecer servicios basados en la Nube Con el desarrollo de la Nube surgen nuevas oportunidades de negocio, pero también nuevos retos para los proveedores de servicios de TI. Los proveedores de centros de datos tradicionales están reconstruyendo rápidamente sus servicios de infraestructura tradicional en servicios IaaS, PaaS y SaaS. Los recursos existentes tienen una nueva vida gracias al principio de multipropiedad. Más usuarios en una plataforma añaden economías de escala a la ecuación. Los desarrolladores de software están ahora desarrollando en plataformas PaaS y son capaces de reducir el tiempo en el que se diseñan, construyen y prueban sus aplicaciones. Un beneficio mayor aún es el hecho de que las nuevas soluciones flexibles desde la Nube pueden ofrecer soporte al puesto de trabajo empresarial tan rápidamente cambiante. Con su experiencia con la gestión de servicios y gestión de servicios de TI los proveedores de servicio de alojamiento líderes pueden convertirse en un factor importante en el mercado Cloud. Posicionados de manera única para rentabilizar el mercado de servicios gestionados; no todos los negocios están preparados para un modelo de auto-servicio. Hay también un número de retos a los que enfrentarse. No todos los proveedores están preparados para lidiar con estándares, características de seguridad complejas desde la Nube, demandas de alto rendimiento combinadas con flexibilidad (escalabilidad), legislación de cumplimiento de datos y características de disponibilidad y continuidad; la Nube está abierta 24 por 7! 39

40 Preparación del examen: capítulo 3 Para ayudar a preparar el examen, se han incluido preguntas de opción múltiple y de tipo get it (la clave de las respuestas se encuentra al final de este workbook). Adicionalmente se ofrece una visión general de términos con los que debería familiarizarse. Preguntas de ejemplo 1. Cuál es un importante requisito para que las aplicaciones sean accesibles en la Nube? A. La aplicación debe ser compatible con el navegador o el sistema operativo del ordenador del usuario B. La aplicación debería utilizar el mismo lenguaje de programación que los clientes C. El usuario debería conocer en qué servidor está localizada la aplicación D. La identidad del usuario debería ser conocida por la aplicación 2. Qué modelo de servicio permite al cliente elegir más capas en la arquitectura de computación? A. Infrastructure as a Service (IaaS) B. Platform as a Service (PaaS) C. Software as a Service (SaaS) D. No hay diferencia entre los modelos de servicio 3. Cómo cambia Cloud Computing la relación entre el proveedor y el cliente? A. Incrementa el foco en los acuerdos de nivel de servicio (SLAs) B. Menos cumplimiento de estándares C. Pierde foco en los acuerdos de nivel de servicio (SLAs) D. Más foco en la formación Preguntas Get it 1. Liste los ingredientes básicos necesarios para acceder a aplicaciones web desde un navegador Web 2. Describa las características clave de la arquitectura Cloud Computing 3. Qué es un cliente ligero y por qué se debería utilizar uno de ellos? 4. Hoy en día hay numerosas soluciones de negocio disponibles en la Nube. La siguiente tabla muestra una visión general de ejemplos de solución de negocio SaaS con posibles audiencias objetivo. Rellene los huecos 5. Utilizar Cloud Computing cambia la relación entre vendedores y clientes. Qué aspectos cambian? 40

41 Categoría Audiencia objetivo Ejemplos Grandes empresas, organizaciones del sector público y ONGs Enterprise Resource Planning (ERP) Soluciones de RRHH Grandes empresas, organizaciones del sector público y ONGs Salesforce, SugarCRM (open source), Netsuite Taleo (ahora propiedad de Oracle), VANA Workforce Financiero y contabilidad Videoconferencia Grandes empresas, organizaciones del sector público y ONGs Grandes empresas, organizaciones del sector público y ONGs Grandes y pequeñas empresas PyMES Natural HR (gratis) ServiceNow Office 365, Google Docs for Business, Zoho 6. Describa dos beneficios y dos riesgos de ofrecer servicios basados en la Nube Términos del examen Acceso a Cloud, modelo OSI, arquitectura de acceso web a Cloud, cliente ligero, dispositivos móviles, Cloud Computing en el negocio y proveedores de servicio 41

42 Seguridad y cumplimiento: especificaciones de examen Tras leer el capítulo 4, comprenderá los principios de Cloud Computing (20%) 4.1. Comprender los riesgos de seguridad de Cloud Computing y conocer las medidas de mitigación (10%) Usted podrá: Describir los riesgos de seguridad en la Nube Describir las medidas para mitigar los riesgos de seguridad 4.2. Comprender la gestión de identidades y de la privacidad en la Nube (10%) Usted podrá: Describir los aspectos principales de la gestión de identidades Describir las características de privacidad, cumplimiento y salvaguardas en Cloud Computing 42

43 Seguridad y cumplimiento Seguridad Riesgo Medida Entorno Virtualizado Acceso Autorización Autenticación Investigadores encuentran fallos de seguridad masivos en arquitecturas Cloud Las vulnerabilidades en Amazon Web Services fueron encontradas y arregladas, otros están bajo sospecha Por Tim Greene, Network World (26 octubre 2011) Recientes brechas de seguridad estimulan un nuevo pensamiento en la Nube Los proveedores Cloud podrían ser un objetivo atractivo para atacantes. La responsabilidad no puede ser externalizada, dicen los expertos Por Robert Lemos, (2 mayo 2011) Por favor, no se preocupe que esto no le sucederá a usted! O quizás debería estar preocupado! Cloud Computing significa compartir, Internet, multi-cliente, una mezcla de servicios gratuitos y no gratuitos, datos almacenados en cualquier lugar del mundo, clientes anónimos, SLA poco claros, muchos estándares utilizados en la parte técnica. Sin embargo, apenas ningún estándar, salvo la ISO/IEC 20000, se utiliza para asegurar la conformidad. Al darse cuenta de los riesgos de seguridad, un cliente será capaz de evaluar a los proveedores y elegir los servicios correctos que no comprometan su propio cumplimiento de legislación y regulaciones Riesgos de seguridad de Cloud Computing y medidas de mitigación Ya que Cloud Computing contiene nuevas características de arquitectura y de diseño es necesario analizar los diferentes tipos de riesgos de seguridad. Un grupo de proveedores de TI líderes como HP, Oracle, Qualys, Microsoft y Rackspace además de clientes como Bank of America, han unido fuerzas en la Cloud Security Alliance (CSA). La Cloud Security Alliance (CSA) es una organización sin ánimo de lucro con la misión de promover el uso de las mejores prácticas para ofrecer garantías de seguridad dentro de Cloud 43

44 Computing y para ofrecer educación en los usos de Cloud Computing con el fin de ayudar a asegurar otras formas de computación (Fuente: cloudsecurityalliance.org). En 2010 publicaron un documento discutiendo las características de seguridad de la Nube y sus medidas de mitigación correspondientes llamadas remedios. El documento se llama Cloud Security Alliance Top Threats to Cloud Computing Version 1.0 (2010) y se encuentra disponible en: cloudsecurityalliance.org/topthreats Riesgos de seguridad en la Nube Las principales amenazas en Cloud Computing según la CSA son, sin orden específico, la pérdida de datos, las vulnerabilidades de la tecnología compartida, las interfaces de aplicación (APIs) inseguras, los empleados maliciosos, el abuso y mal uso de Cloud Computing, riesgos de perfiles y cuentas desconocidos y la piratería (hijacking) de tráfico. (fuente: Top Threats to Cloud Computing Version ). Veamos más de cerca estos riesgos. Pérdida/filtración de datos Tener datos en la Nube tiene numerosas ventajas pero pueden ser comprometidos de diferentes maneras. Pueden ser modificados o borrados sin un backup, pueden ser desvinculados de su contexto o accedidos por gente no autorizada. Vulnerabilidades de la tecnología compartida Una arquitectura multi-cliente presenta sus propios retos. Algunos componentes pueden no haber sido desarrollados para este tipo de uso y pueden causar problemas de seguridad. Interfaces de aplicación inseguras Las interfaces de aplicación o APIs son componentes clave para la gran mayoría de los servicios Cloud. Si esas interfaces no están diseñadas adecuadamente para la seguridad pueden llegar a ser un riesgo del tipo esperar a ver qué sucede. Empleados maliciosos Si los proveedores Cloud son parte de nuestra sociedad, visto de manera estadística, alguien de su personal o algún subcontratado podría no ser alguien de fiar. Abuso y mal uso de Cloud Computing Numerosos proveedores Cloud ofrecen de manera muy sencilla y a veces de manera gratuita por un período de prueba acceso a sus servicios. El registro es relativamente anónimo y puede atraer a clientes oscuros como spammers y hackers. Tu proveedor de Cloud puede alojar no solo tus datos y aplicaciones sino también software malicioso Perfiles de usuario y cuentas desconocidas Trasladarse a la nube puede ser difícil para las organizaciones a la hora de probar la conformidad con la legislación aplicable durante las auditorías externas (por ejemplo EDP o ITaudit). Piratería de cuentas, servicio y tráfico La mayoría de los usuarios privados de y de internet son conscientes de las tácticas fraudulentas como el phishing, el hackeo de contraseñas y el robo de identidad. Las contraseñas proporcionan acceso a servicios Cloud fuera del dominio TI de la organización y pueden ser, por tanto, comprometidas. Para las organizaciones esto puede significar que son vulnerables a espionaje industrial o pueden perder importantes datos o procesos de negocio. 44

45 Medidas para mitigar los riesgos de seguridad Una manera objetiva de asegurar la conformidad del proveedor con respecto a las mejores prácticas es solicitar alguna certificación ISO. El estándar ISO/IEC 20000:2011 contiene un apartado de seguridad pero una certificación aún más adecuada es la del estándar ISO/IEC 27001:2005: Information technology Security techniques Information security management systems Requirements, y la manera de implementar las mejores prácticas está descrita en la ISO/IEC 27002:2005; Information technology Security techniques Code of practice for information security management. La CSA proporciona algunos ejemplos de lo que ellos denominan medidas de remedio en su documento Top Threats to Cloud Computing Version Un breve resumen de estas medidas relacionadas con los riesgos descritos por la CSA, además de otras posibilidades, se presenta a continuación. Pérdida/filtración de datos Ejemplos de medidas de mitigación que se pueden tomar son autentificación, auditoría (por ejemplo ISO/IEC 27001, seguridad de los datos) y autorización, además del uso de una estrategia de cifrado de backup adecuada. Vulnerabilidades de la tecnología compartida Ejemplos de medidas de mitigación que se pueden tomar son procedimientos operativos mejorados de monitorización y escalado en el caso de brechas de seguridad además de la aplicación de buenas prácticas de seguridad para la instalación, configuración y aplicación de parches. Interfaces de aplicación inseguras Ejemplos de medidas de mitigación que se pueden tomar son diseñar para seguridad, métodos de pruebas apropiados, comprender cómo interactúa con otras interfaces y software y fuerte autenticación y control de acceso. Empleados maliciosos Ejemplos de medidas de mitigación que se pueden tomar son buenos procedimientos de investigación de antecedentes de Recursos Humanos, políticas y procedimientos de seguridad de la información fuertes Abuso y mal uso de Cloud Computing Ejemplos de medidas de mitigación que se pueden tomar son la validación de credenciales, el incremento de la monitorización del tráfico entre clientes y los sites sospechosos conocidos. Perfiles de usuario y cuentas desconocidas Ejemplos de medidas de mitigación que se pueden tomar son buenas estructuras de SLAs incluyendo auditorías de cumplimiento del proveedor Cloud. Piratería de cuentas, servicio y tráfico Ejemplos de medidas de mitigación que se pueden tomar son técnicas de autentificación fuerte y monitorización del comportamiento del usuario. En el siguiente apartado se entrará en más detalle en las áreas de gestión de identidades y privacidad en la Nube 45

46 1.11. Gestionar la identidad y la privacidad en la Nube Identidad Niveles de Federación Federación Presencia Cloud Solución basada en solicitudes (Claim) Single Sign-on Autenticación Privacidad Ubicación Información Personal Identificable Salvaguardas Principales aspectos de la gestión de identidades La efectividad del proceso de autentificación en situaciones normales, no Cloud, depende de si se está conectado a un dominio o no. Si la respuesta es no, la autentificación será local; el usuario y contraseña serán validados contra la información de la cuenta almacenada en la propia máquina. Las técnicas de verificación permitirán acceder, incluso si la cuenta local no es conocida. Solo si los ficheros a los que se quiere acceder están protegidos se solicitarán credenciales adicionales. En la otra situación, se está conectado a un dominio, la autentificación a través del directorio activo será realizada; se accederá con la cuenta de Directorio Activo (AD). En caso de que el protocolo Kerberos esté involucrado en la autentificación se validarán las credenciales sin ser transmitidas en claro. De esta forma es imposible crackear las contraseñas por un motor de contraseñas. Kerberos es un protocolo de autentificación de red. Está diseñado para ofrecer una autentificación fuerte para aplicaciones cliente/servidor utilizando una clave criptográfica secreta. Una implementación gratuita de este protocolo está disponible desde el Instituto Tecnológico de Massachusetts (MIT). Fuente: 46

47 Autentificación en la Nube En una nube privada virtualizada se puede asumir el rol de un controlador de dominio o un servidor de seguridad, pero en nubes híbridas esto es un poco más difuso. En caso de necesitar seguridad adicional será necesario con una VPN para las conexiones entre las partes privada, pública y comunitaria. Los mayores problemas aparecen con nubes públicas. En este escenario la seguridad puede ser gestionada, o no gestionada, de diferentes maneras, por ejemplo utilizando el protocolo de acceso al directorio ligero (Ligthweight Directory Access Protocol (LDAP)), identificador de usuario y contraseña almacenados en una base de datos o, con suerte, Kerberos. Además, si se están utilizando diferentes soluciones desde el mismo o diferentes proveedores es bastante poco probable que haya un sistema de Single Sign-On, como en en la nube Privada. Dado que la Nube está basada en Internet, la seguridad tendrá que estar basada en protocolos enrutables a través de Internet y cuya estandarización entre la infraestructura de los diferentes componentes Cloud y los proveedores de servicio no existe todavía. Triple-A: Autentificación, autorización y trazabilidad (accounting) Triple-A a menudo llamada AAA significa autentificación, autorización y trazabilidad (accounting). Estos elementos son los cimientos de seguridad de la gestión de redes basadas en IP y la administración de políticas. La autentificación se refiere al proceso donde se verifican las credenciales de algo o alguien; ejemplos son un certificado digital, una contraseña y un identificador de usuario o un token de seguridad. La autorización determina si una entidad particular está autorizada a realizar la acción solicitada; el acceso a ciertos datos pueden estar restringido o puede haber restricciones por tiempo que eviten que la gente acceda fuera de las horas de oficina. La trazabilidad (accounting) se refiere al proceso del seguimiento del uso de recursos por los usuarios, y puede ser utilizada, por ejemplo, como parte de una evidencia de auditoría, en el cálculo de costes o la contabilidad o en la monitorización de capacidad. Una forma de pensar en la gestión de identidades es imaginar un enorme proyecto de un edificio de oficinas. Muestra las habitaciones en las que cada trabajador del edificio puede entrar. El proyecto también muestra qué tipo de persona necesitará abrir la puerta para acceder a la habitación y qué puede hacer esa persona una vez esté dentro. De: Aitoro, Jill R. (2008); The Basics: A Glossay of Federal Technology Identity Management, En su artículo, Jill Aitoro continúa la metáfora y dice Una red de ordenadores es como el edificio y cada habitación representa un archivo, una base de datos o una aplicación en esa red (Aitoro, 2008). Si se trabaja en la red de la compañía, intranet o se están usando soluciones Cloud, las organizaciones necesitarán controlar la identidad y el acceso. Existen numerosas soluciones de gestión de identidades disponibles como la plataforma Forefront de Microsoft y la plataforma Tivoli de IBM. Las características típicas de un sistema de gestión de identidades son: - Gestión de roles; implementación TI de un rol de negocio. - Jerarquía de roles; una representación de un organigrama de la compañía. - Separación de responsabilidades. - Gestión de grupos; los permisos no se dan a las personas sino a los roles. - Funciones de autoservicio. - Sincronización de contraseñas. - Identidad digital; la presencia y la localización determina los servicios y las capacidades disponibles. - Gestión de identidades federadas; habilita el Single Sign-on - Etc Se presentan a continuación son dos ejemplos de soluciones de gestión de identidades, single sign-on (SSO) y un tipo especial de SSO llamado gestión de identidades federadas Single Sign On (SSO) para servicios web 47

48 Uno de los retos de la autenticación está formado por el hecho de que la infraestructura de seguridad basada en la Nube (por ejemplo web) está distribuida. Las características de seguridad y los algoritmos se extienden sobre un dominio en concreto. Una solución para este problema es ofrecer el principio de Single Sign-On (SSO). Todos los elementos de seguridad distribuida son consolidados en un servidor SSO. Como resultado un usuario sólo necesita iniciar sesión una vez utilizando una medida de seguridad como tarjetas inteligentes, un token de seguridad o una cuenta de directorio activo. La arquitectura SSO utiliza el protocolo SOAP, un protocolo para el intercambio de información en la implementación de servicios web en la Nube o en otras redes. Gestión de identidades federadas La gestión de identidades federadas, o la federación de las identidades, describe las tecnologías, estándares y casos de uso que sirven para habilitar la portabilidad de información de identidad a través de dominios de seguridad autónomos. El último objetivo de la federación de identidades es habilitar a los usuarios de un dominio acceder de manera segura a datos o sistemas de otros dominios sin problemas y sin la necesidad de redundar la administración de usuarios. Existen varios tipos de federación de identidades, incluyendo escenarios controlados por usuario o centralizados por usuario además de los controlados por la empresa o Business to Business (B2B). La federación está habilitada mediante el uso de estándares abiertos de la industria y/o especificaciones publicadas de manera abierta, en las que múltiples partes pueden conseguir interoperar en la mayoría de casos de uso. Los casos de uso típicos involucran elementos como el intercambio de atributos de usuario, el single sign-on, el aprovisionamiento de cuentas de usuario y la gestión de derechos todos ellos entre dominios Privacidad, cuestiones de conformidad y salvaguardas en Cloud Computing Un elemento clave en cualquier discusión sobre seguridad y privacidad es la información de datos personales (Personal Identifiable Information (PII)). La manera en la que esta información puede ser obtenida, almacenada, manejada y procesada depende de la legislación nacional y las regulaciones. Esas diferencias en la legislación entre la Unión Europea y EE.UU. hacen que se inste a los proveedores a ofrecer soluciones de almacenamiento de datos dentro del territorio de la UE para poder vender servicios Cloud a clientes en Europa. Veremos una primera definición de PII, y algunos ejemplos de regulaciones y de legislación. Información de datos personales (Personal Identifiable Information (PII)) Veamos una definición desde la Nube. (Wikipedia): La Information Personal Identifidable (PII), como se usa en la seguridad de la información, es información que puede ser utilizada para identificar, contactar o localizar de manera única a usuarios de manera independiente o junto a otros recursos. La abreviación PII está altamente aceptada pero la frase que abrevia tiene cuatro variantes basadas en personal, personalmente, identificable e identificar. No todas son equivalentes, y por motivos legales las definiciones efectivas varían según la jurisdicción y los propósitos para los cuales el término se utilice. ( ) 48

49 Ejemplos: - Tipos de identificación: Número de la Seguridad Social, pasaporte, huellas dactilares, escáneres de iris - Ocupacional: cargo, nombre de la empresa - Ocupacional: cuentas bancarias, registros crediticios, número PIN - Datos sanitarios: seguros, genética - Actividad online: logins - Demográficos: etnia - Contacto: teléfono, , cuentas de redes sociales, dirección Algunos ejemplos de legislación y regulaciones que utilizan PII son: - EE.UU: el Privacy Act de 1974, leyes federales HIPAA y GLBA y Safe harbor - Japón: Ley de Protección de Información Personal y Ley de Protección de los Datos Procesados por Ordenador gestionados por Órganos Administrativos (1988) - Canadá: PIPEDA (Personal Information Protection and Electronic Data Act 2008) y Privacy Act (1983) - Unión Europea: Leyes y estándares de privacidad de los países miembros, Ley de Privacidad en Internet de la UE (DIRECTIVE 2002/58/EC, 2002) y la Directiva de Protección de Datos de la UE (1995) - DIRECTIVA 95/46/EC DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995: datos personales. Definido en la Directiva (artículo 2a) como sigue: datos personales son cualquier tipo de información relativa a una persona natural identificada o identificable ( sujeto de datos ); una persona identificable es aquella que puede ser identificada, directa o indirectamente, en particular por referencia a un número de identificación o a uno o más factores específicos a su identidad física, psicológica, mental, económica, cultural o social Está claro que esto supone un dolor de cabeza para los proveedores Cloud que operan globalmente, básicamente cualquier proveedor Cloud virtual. Los clientes y los proveedores Cloud tendrán que comprobar con auditorías regulares si su propio cumplimiento no está comprometido por utilizar servicios Cloud. Para resumir, es necesario establecer buenas salvaguardas en un entorno Cloud comenzando con un efectivo control y auditoría de acceso (por ejemplo SSO, una autentificación fuerte: contraseñas y medidas biométricas y revisión de registros de auditoría). El almacenamiento seguro en la Nube requiere cifrado y control de la integridad mediante mecanismos como el hashing. Una infraestructura de red segura utiliza protocolos de cifrado frente a la filtración de datos y protocolos de Integridad (firmas digitales) frente a la modificación. Cuando se considere utilizar servicios Cloud de un proveedor de fuera de nuestro país o región se deberá consultar a un abogado especializado en legislación internacional para que revise dichas leyes de seguridad y privacidad. 49

50 Preparación del examen: capítulo 4 Para ayudar a preparar el examen, se han incluido preguntas de opción múltiple y de tipo get it (la clave de las respuestas se encuentra al final de este workbook). Adicionalmente se ofrece una visión general de términos con los que debería familiarizarse. Preguntas de ejemplo 1. Cómo se puede lograr la confidencialidad de la información? A. Asegurando que hay recursos suficientes para mantener la información disponible para todos los usuarios B. Gestionando el acceso a la información C. Previniendo cambios no autorizados D. Realizando una copia de seguridad de la información regularmente 2. Cuáles de las siguientes no es una medida de mitigación contra la pérdida de datos? A. Auditorías B. Autentificación y autorización C. Cifrado D. Red de Área de Almacenamiento (SAN) 3. A qué se refiere la federación en relación a la gestión de identidades? A. Gestión de identidades basada en Cloud habilitando Single Sign-On para múltiples sistemas B. Sistemas en la Nube compartiendo información sobre la identidad de los usuarios C. La Nube de todos los sistemas accesibles por un único usuario D. La identidad de un grupo de usuarios que comparten los mismos recursos Cloud 4. Para qué es utilizada la información de localización en la Nube? A. Para determinar la localización geográfica del usuario de un servicio Cloud B. Para determinar la identidad de un usuario de un servicio Cloud C. Para determinar si un usuario de un servicio Cloud está online D. Para determinar quién ha accedido a un documento almacenado en Cloud Preguntas Get it 1. Los riesgos de seguridad más comunes en la Nube son: - Pérdida/Filtración de datos - Vulnerabilidades de tecnología compartida - Interfaces de aplicación inseguras - Empleados maliciosos - Abuso o mal uso de Cloud Computing - Perfiles y cuentas de riesgo desconocidas - Secuestro de cuenta, servicio y tráfico 2. Qué medidas se pueden tomar para mitigar cada riesgo de seguridad? 3. Defina qué significa la Triple A en términos de autentificación 4. Explique el principio SSO 5. Cómo puede ser utilizada la PII? De cuatro ejemplos de PII Términos del examen Seguridad, conformidad, medidas de mitigación, gestión de identidades, privacidad, autentificación, autorización, trazabilidad (accounting), SSO, salvaguardas y PII 50

51 Evaluación de Cloud Computing: Especificaciones del examen Tras leer el capítulo 5, comprenderá los principios de evaluación de Cloud Computing (15%) 5.1. Comprender el caso de negocio para Cloud Computing (10%) Usted podrá: Describir los costes y potenciales ahorros de Cloud Computing Describir los principales beneficios operativos y de personal de Cloud Computing 5.2. Comprender la evaluación de las implementaciones de Cloud Computing (5%) Usted podrá: Describir la evaluación de los factores de rendimiento, los requisitos de gestión y los factores de satisfacción Describir la evaluación de los proveedores de servicio y sus servicios Cloud Computing 51

52 Evaluación de Cloud Computing El caso de negocio para Cloud Computing Cuando se consideran los principales factores de negocio para trasladarse a la Nube, los siguientes criterios serán parte de la lista de deseos de todos. Sin embargo, dependerá del tipo, tamaño e Infraestructura TI de una organización. Los servicios Cloud ofrecen mayor flexibilidad y mayor rapidez en llegar al mercado (Time to Market, TTM) en las soluciones de negocio como nuevas aplicaciones de negocio. El factor principal para cualquier responsable financiero (Chief Financial Officer (CFO)) será el precio o los costes. Ir a la Nube significa menor inversión en infraestructura TI y muestra resultados inmediatos en la contabilidad. SLA Negocio Servicio Suministrador Beneficio Ahorros Costes Personal Operaciones Hardware Software Por supuesto que los requisitos, las expectativas y los indicadores clave de rendimiento se pondrán por escrito, por lo que el criterio siguiente serán los acuerdos de nivel de servicio (SLAs) en los que el rendimiento, la seguridad, la escalabilidad, la disponibilidad, el soporte y la conformidad estarán entre los ingredientes clave. Para algunas organizaciones, el tipo de arquitectura Cloud y los diferentes bloques de construcción serán de interés. Algunos ejemplos son las organizaciones que quieren integrar parte de sus infraestructuras con la infraestructura del proveedor ( Se alinea mi pila software con la pila del proveedor de servicio PaaS?). O quizás se quiera elegir un proveedor SaaS que utilice APIs independientes de plataforma y proveedor para ayudar a prevenir una situación de estar atado a un vendedor. Otro factor clave del negocio, por ejemplo para organizaciones sin ánimo de lucro como ONGs, puede ser la computación verde (computación o TI sostenibles medioambientalmente) Costes y potenciales ahorros en Cloud Computing El primer modelo financiero donde podrían esperarse ahorros es en el coste total de propiedad (TCO), pero, Es éste el caso realmente? Según Aggarwal y McCabe Cloud Computing cambia la discusión del TCO (Aggarwal y McCabe 2009). Los clientes tienen que ser conscientes de que, en su caso, solo varía la distribución de los diferentes componentes que conforman el TCO y, en el peor de los casos, los costes a largo plazo podrían ser más altos. Un ejemplo son los costes de capital o inversiones; que serán eliminados pero en su lugar aparecerán los costes de suscripción y del pago por uso. Además, cuando se migran los 52

53 servidores de aplicación y gestión de aplicación propios por un servicio SaaS, probablemente se tenga que adquirir un soporte externo más caro (por ejemplo, consultoría). En ese caso las inversiones pueden ser remplazados por gastos corrientes. Cada cliente tendrá que calcular los beneficios financieros en su caso particular. Los principales componentes en el cálculo serán el hardware, el software y el soporte. Para el departamento financiero se dividirá en componentes como costes de personal, depreciación, utilidad y mantenimiento. Un ejemplo de cómo distribuir los costes fue publicado en dummies.com por Judith Hurwitz, Robin Bloor, Marcia Kaufman y Fern Halper. En su artículo Cómo calcular el coste de las aplicaciones en un centro de datos Cloud Computing? ellos utilizan el término coste total de propiedad de aplicación (TCAO) o cuál es el coste anual total de propiedad (incluyendo soporte hardware más costes de amortización). En dicho artículo los autores presentan la siguiente lista de componentes: - Costes de servidor - Costes de almacenamiento - Costes de red - Costes de backup y archivado - Costes de recuperación de desastres - Costes de infraestructura del centro de datos - Costes de plataforma - Costes de mantenimiento del software (paquete software) - Costes de mantenimiento de software (software propio) - Costes de soporte al Help Desk - Costes de personal de soporte operacional - Costes de software de infraestructura No siempre los ahorros de coste son el factor principal para moverse a la Nube. Para una compañía de reciente creación la Nube ofrece otras ventajas como minimizar las inversiones en la Infraestructura TI y un menor tiempo de implementación de la misma. Los negocios pequeños basados en Internet pueden construirse y ejecutarse en un breve período de tiempo. 53

54 Principales beneficios operacionales y de personal de Cloud Computing Algunos de los beneficios reales de la Nube estarán en las vertientes operacionales y de recursos humanos de la organización. Las tareas operacionales como implementación, mantenimiento y soporte serán realizadas por el proveedor, redundando en menor necesidad de personal y formación. Beneficios operacionales (ejemplos): - Servicios gestionados - Autoservicio (servicios no gestionados) - Despliegue instantáneo de servidores - Licenciamiento de software sin impacto en las partidas de inversión - Tiempos de actividad garantizados - Copias de seguridad como un servicio (siempre fuera del site) - Beneficios de recursos humanos (ejemplos): - Menos personal de TI (menos nóminas a pagar) - Menos costes de contratación, recursos humanos y formación - Menos beneficios para empleados Evaluación de las implementaciones Cloud Computing Evaluación de los factores de rendimiento, los requisitos de gestión y los factores de satisfacción Cuando se trata del rendimiento será necesario entender que intercambiar sistemas y personal propios hacia soluciones Cloud también significa que el soporte y el mantenimiento no está en la casa, y puede llevar más tiempo en ser realizado. Además, se conoce cómo de bien está organizada la seguridad? Coste SLA Negocio Servicio Suministrador Evaluar Ventajas Caso de Negocio 54

55 Las preguntas típicas a realizar son: - Cuánto tiempo se tarda en resolver incidentes y problemas? - Cómo de robusta es la seguridad del centro de datos Cloud? - Qué rendimiento de sistema (por ejemplo, velocidades de conexión y transacción) se tiene comparado con un centro de datos propio y una red privada? Tiene sentido realizar un estudio comparativo de varios proveedores antes de firmar un contrato Evaluación de proveedores de servicio y sus servicios en Cloud Computing Después de realizar un análisis de los proveedores, se decide firmar un contrato con un proveedor(es) Cloud. Gracias a los acuerdos de nivel de servicio (SLA) se dispondrá de una visión clara de los compromisos y es posible sentarse y relajarse O quizá no? Es necesario darse cuenta de que una parte o la mayoría de los procesos TI están ahora fuera de las propias manos. Se necesitará asegurar que se dispone de un framework de gobierno apropiado. En el lado del rendimiento esto significa típicamente la creación de informes de rendimiento, de excepción y revisiones de gestión trimestrales. Adicionalmente, en la vertiente de conformidad, se necesitará asegurar de que las auditorías anuales de TI o EDP se realizan. Lo ideal es que haya una sección en el SLA con este requisito. A lo largo de un año se tendrá que solicitar al menos: Statement on Auditing Standards No. 70 (SAS70); garantía de terceros para las operaciones de servicio o la nueva versión (2011): International Standards for Assurance Engagements No (ISAE3402); Informes de garantía en los controles en la Organización del Servicio. SI el proveedor está certificado por ISO (por ejemplo ISO 20000, 27001, 27002, etc.) se deberá exigir un informe de auditoría anual expedido por un tercero. 55