sábado, 29 de enero de 2022

Gestión de la continuidad empresarial de Microsoft Azure: continuidad empresarial

 



La confiabilidad, la disponibilidad y la alta capacidad de recuperación han sido premisas fundamentales de Microsoft Azure desde sus inicios. Pero, ¿alguna vez te has detenido a pensar cómo, incluso después de diez años en el aire y 32 centros de datos implementados en más de 3 continentes diferentes, la plataforma logra mantener el nivel de servicios brindados?

En la publicación de blog de hoy, exploremos juntos Microsoft Azure Business Continuity Management , un programa de administración de continuidad de negocios y recuperación ante desastres que fue diseñado para garantizar el alto nivel de resistencia de todos los recursos de almacenamiento, cómputo y administración de marca .

Metodología BCM

Garantizar que todos los servicios y productos se entreguen independientemente de los desastres y las amenazas puede ser todo un desafío para cualquier empresa de tecnología, especialmente ante los ataques cibernéticos cada vez más sofisticados y rápidos que afectan a miles de organizaciones en todo el mundo.

Pero para Microsoft, esto siempre ha sido una prioridad. La empresa , de rápido crecimiento , ha estado trabajando desde 2007 con un enfoque centrado en las personas, los procesos y la tecnología para aumentar su resiliencia y resiliencia en todos los servicios y ofertas en la nube.

Con una metodología única, Business Continuity Management, que va desde la evaluación, pasando por la planificación y procediendo a la validación de la funcionalidad, es adaptable a todos los modelos de negocio de Microsoft y cuenta con planes probados, revisados ​​y actualizados anualmente.

Cómo funciona en la práctica

Para cubrir una amplia gama de posibles incidentes y validar sus estrategias según la criticidad del servicio, BCM crea diferentes categorías de escenarios de prueba que siempre tienen en cuenta tecnologías, personas y ubicaciones.   

Esto significa que los servicios internos y externos son mapeados y compartidos dentro de la herramienta de gestión, donde se crean registros de análisis de impacto, mano de obra, planes, pruebas, así como requisitos de recuperación ante desastres basados ​​en estándares que pueden certificarse.

Una vez que la información está disponible, comienzan a realizarse pruebas exhaustivas. En la práctica, los cierres totales de zonas y regiones, inválidos o no, a menudo simulan interrupciones y pérdidas y obligan a los equipos y clientes a poner en práctica sus planes de recuperación.

De principio a fin, todos los procesos se ejecutan como eventos reales, ya sean fallas a gran escala o pequeños incidentes internos, para garantizar la preparación y disponibilidad de todos los servicios de Azure.

Reconocido como uno de los más maduros de la industria, BCM es el único programa desarrollado por un proveedor de la nube que recibió la certificación ISO 22301 y se está sometiendo a pruebas exhaustivas. 

sábado, 22 de enero de 2022

Acceso remoto seguro con Azure Bastion

 Visión de conjunto:

En este artículo, explorará cómo configurar e implementar Azure Bastion para obtener acceso remoto a su red de manera segura.

Imagen de resumen de la red:

 



La topología del observador de red no estaba cooperando, así que estoy usando esta imagen en su lugar.

Introducción:

Para desempeñarse de manera eficiente como profesional de TI, es vital tener la capacidad de administrar y mantener servidores de forma remota en una red local. Con más empresas que adoptan la nube, los administradores están restringidos a usar solo herramientas de administración remota para tener control y visibilidad de sus máquinas virtuales (VM).

Un problema principal al que se enfrentan los administradores ahora es cómo conectarse de forma segura a sus máquinas virtuales sin exponerlas a Internet. Microsoft ofrece un servicio llamado Azure Bastion que ayuda a proteger las sesiones de administración remota sin exponer las máquinas virtuales a actores malintencionados en Internet.

Guión:

Village Enterprise utiliza una aplicación de punto de venta (POS) para respaldar sus transacciones diarias de venta de muebles. Alojan la aplicación en servidores Windows y Linux en su centro de datos privado. Para conectarse de forma remota a los servidores locales, los administradores utilizan protocolos como SSH en el puerto 22 y RDP en el puerto 3389. Tener estas conexiones abiertas deja una gran superficie de ataque para que los atacantes maliciosos obtengan acceso a la red.

Actualmente, la empresa está en proceso de migrar sus servidores de aplicaciones locales a máquinas virtuales de Azure. Sin embargo, todavía se están conectando a las VM de la aplicación a través de RDP/SSH usando la IP pública de la VM. Dejar esto sin marcar puede hacer que su entorno se vea comprometido por posibles vulnerabilidades del protocolo. Recientemente lo contrataron como administrador de la nube y lo colocaron en el proyecto de migración. Su jefe propone dos soluciones: una máquina virtual de caja de salto que actúa como un puente entre la consola de administración y las máquinas virtuales de destino, o implementar Azure Bastion.

Soluciones:

Un servidor de salto (jump box) es una máquina virtual con una dirección IP pública y actúa como puente entre Internet y las máquinas virtuales internas alojadas en Azure. El uso de un cuadro de salto evita que las máquinas virtuales de nuestra aplicación estén expuestas a Internet. Se implementan en la misma red virtual (Vnet) que las máquinas virtuales de destino a las que intentamos conectarnos de forma remota mediante una conexión RDP/SSH. Por lo general, la única capacidad que permite un Jump Box es SSH en una subred privada, siendo esa la única entrada a la subred.

Con esta solución, nuestras máquinas virtuales de aplicaciones no necesitan una IP pública y solo se comunican a través del jump box. Sin embargo, implementar esta solución tiene algunas desventajas. La seguridad del jump box aún puede verse comprometida ya que nos estamos conectando mediante RDP/SSH en una IP pública. Además, los administradores tienen otro servidor que deben mantener y proteger con actualizaciones y parches regulares.

Aquí es donde entra en juego Azure Bastion. Es una plataforma como servicio (PaaS) completamente administrada que establece una conexión segura a las máquinas virtuales de la aplicación mediante RDP/SSH a través del portal. Obtiene su sesión RDP/SSH a través de TLS en el puerto 443, lo que la mantiene segura. Con Bastion, podemos abrir una conexión RDP/SSH a nuestras máquinas virtuales de aplicaciones utilizando sus IP privadas en lugar de asignarles IP públicas para conectarse.

Tenemos la opción de conectarnos de forma remota a cualquier máquina virtual implementada en la misma red virtual que AzureBastionSubnet o una red virtual emparejada con ella. Tampoco es necesario instalar ningún cliente, agente o software adicional para usar Bastion. Para fortalecer aún más la seguridad de nuestra red virtual y máquinas virtuales, podemos agregar grupos de seguridad de red (NSG) para controlar el tráfico que entra y sale de la subred de Bastion y las máquinas virtuales de la aplicación.

Manifestación:

Estos son los pasos que seguiré durante la demostración:

1.     Crear un grupo de recursos

2.   Crear red virtual

3.    Asigne una subred a las máquinas virtuales y una subred separada para el bastión

4.   Crear 2 máquinas virtuales

5.    Configurar 2 GSN

6.   Conéctese a la VM usando Bastion



El primer paso es crear un grupo de recursos. Esto contendrá todos los servicios que usaré para esta demostración. Por lo general, se recomienda agregar recursos con un ciclo de vida similar al mismo grupo de recursos para que los administradores puedan implementarlos, actualizarlos y eliminarlos fácilmente como grupo. Cualquier recurso que se usó en esta demostración se colocó en el grupo de recursos " Bastion-Demo " y en la región Este de EE. UU. 


El paso 2 será crear una red virtual. Para este ejemplo, estoy implementando una nueva red virtual llamada " 
Demo-Vnet " con 10.10.0.0/16 como espacio de direcciones IPv4. En esta red virtual, crearé una subred para las máquinas virtuales de mi aplicación llamada " Prod-Servers " y asignaré este espacio de direcciones IP 10.10.1.0/24 .




Cuando implementamos Azure Bastion, debe tener su propia subred dentro de una red virtual (la subred debe llamarse AzureBastionSubnet ). Podría ser una red virtual existente o una recién creada. Estamos en medio de la creación de una nueva red virtual, por lo que podemos habilitar Azure Bastion en la pestaña Seguridad .

Habilitar esto nos permite crear la subred bastión y asignarle una IP pública. Para cualquier AzureBastionSubnet, la máscara de subred debe ser mayor que /27. Asigné este espacio de direcciones IP ( 10.10.2.0/24 ) y creé una nueva dirección IP pública para la subred de Bastian. Una vez que la red virtual está configurada, seleccionamos Revisar + crear . Después de que pase la validación, seleccione crear .

 


Después de la creación de la red virtual y la subred bastión, aprovisionaremos 2 máquinas virtuales en nuestro grupo de recursos Bastion-Demo. Las únicas pestañas en las que debe realizar cambios son las de Básico y Redes . Además de eso, use cualquier configuración predeterminada que le den. Llamé a mis máquinas virtuales POS-APP-1 y POS-APP-2 .

Recuerde, su máquina virtual no debe tener puertos de entrada públicos ni direcciones IP públicas. En este ejemplo, dejaré habilitado el " generar nuevo par de claves ". Mantenga un registro de qué nombre de usuario usa y el par de claves generado. Vamos a utilizar ambos más adelante.



En la pestaña de redes, coloque las VM en la "Demo-Vnet" que creamos anteriormente y cambie la subred a Prod-Servers. Configuraremos un NSG para la subred Prod-Server más adelante, por lo que, por ahora, no es necesario un NSG de NIC (tarjeta de interfaz de red).

Después de configurar correctamente la pestaña de redes, puede hacer clic en Revisar+crear . Después de que pase la validación, seleccione crear .

Pd: me gusta marcar la casilla " Eliminar NIC cuando se elimine la VM " solo porque es conveniente y puede ahorrarme dinero una vez que elimine todo el grupo de recursos más adelante.


Este mensaje se muestra después de crear sus máquinas virtuales. Descargue la clave privada y guárdela en un lugar accesible. Lo necesitaremos una vez que estemos listos para conectarnos a nuestra VM usando Bastion.\



Los NSG son una excelente herramienta para agregar otra capa de defensa a nuestra red, pero si no están configurados correctamente, no funcionarán y causarán dolores de cabeza. La imagen de arriba muestra los 2 NSG que creé: Bastion-NSG para nuestra AzureBastionSubnet y Demo-Prod-NSG para nuestra subred Prod-Server. Voy a configurar el Demo-Prod-NSG primero.



Después de seleccionar Demo-Prod-NSG, me llevan a esta pantalla. Mi atención se centra principalmente en lo que hay debajo de la carpeta Configuración .



NSG opera en los niveles de subred y NIC. Para esta demostración, tenía más sentido crear un NSG que protegiera ambas VM de aplicaciones en lugar de que cada VM tuviera su propio NSG en el nivel de NIC. En la imagen de arriba, etiqueté el proceso de cómo asociar una subred a un NSG. Tener el NSG en el nivel de subred facilita el control del tráfico de entrada y salida de la subred.



La regla de seguridad entrante que creé para Demo-Prod-NSG restringe todo el tráfico RDP/SSH que no proviene de AzureBastionSubnet ( 10.10.2.0/24 ). En otra nota, las 3 reglas con el texto verde que ve en la imagen de arriba son las reglas predeterminadas que se configuran automáticamente cuando crea un NSG.



Crear y aplicar un NSG a una subred de máquinas virtuales es bastante simple, crear uno para AzureBastion es todo lo contrario. Si el NSG no está configurado correctamente con una lista de reglas requeridas, volverá con un error. El siguiente enlace explica qué reglas de entrada y salida deben configurarse para que el NSG funcione correctamente.

https://docs.microsoft.com/en-us/azure/bastion/bastion-nsg


Ahora que todo está configurado, finalmente podemos conectarnos a nuestras máquinas virtuales. Navegue a una de las máquinas virtuales y haga clic en la flecha desplegable del botón 
Conectar . Esto muestra 3 opciones: SSH, RDP y Bastion . Vamos a hacer clic en la opción Bastión . Además, observe que la VM no tiene una IP pública, solo una privada.



Anteriormente en el artículo, dije que hiciera un seguimiento del par de claves y el nombre de usuario, ya que los usaremos más adelante. Bueno, ha llegado el momento. Escriba el nombre de usuario que utilizó y seleccione " Clave privada SSH del archivo local ". Para el archivo local Navegue a través de su directorio de archivos y haga clic en el par de claves que descargó antes cuando creó la máquina virtual. Seleccione Conectar después de haber ingresado todo.

 

¡Ha establecido con éxito una conexión segura a su VM usando Azure Bastion! Espero que hayas disfrutado del artículo.

Si tiene algún problema, estos son los enlaces que me ayudaron a comprender Bastion:


https://docs.microsoft.com/en-us/azure/bastion/tutorial-create-host-portal

https://docs.microsoft.com/en-us/azure/bastion/troubleshoot

https://docs.microsoft.com/en-us/azure/bastion/bastion-nsg

domingo, 9 de enero de 2022

Copia de seguridad en la nube para empresas: 5 opciones a considerar

 Imagine perder datos importantes de su empresa. Es un poco desesperado, ¿no? ¡Pero tranquilo! El respaldo en la nube previene este tipo de ocurrencias y puede ser la solución para su empresa.

¿Quieres estar al tanto de los principales detalles de esta tecnología? Por lo tanto, asegúrese de leer esta guía. 

Para empezar, comprendamos el concepto de copia de seguridad en la nube .

Después de todo, ¿qué es la copia de seguridad en la nube ?

Antes de que entendamos qué es la copia de seguridad en la nube , es interesante entender qué significa simplemente la copia de seguridad.

Aunque no existe una traducción literal para la palabra “ copia de seguridad ”, podemos entenderla como “ copia de seguridad ”, que se utiliza para proteger los datos que se guardan en el sistema .

Es importante dejar en claro que hacer una copia simple de un archivo determinado no garantizará que esa copia esté disponible cuando la necesiten. 

La copia de seguridad en la nube es la copia de seguridad de datos digitales (archivos, sistemas, etc.) en un servidor remoto , generalmente alojado en grandes centros de datos de todo el mundo, no en la infraestructura de TI de la empresa. 

Podemos decir que la copia de seguridad en la nube funciona como el almacenamiento en la nube, lo que le permite archivar y acceder a los datos en el entorno de la nube 

Este acceso puede ocurrir de diferentes maneras. 

A nivel individual, los datos de la computadora se almacenan en la nube, no en un disco o unidad de red, por lo que puede acceder y almacenar datos en cualquier máquina , ya sea en casa o en el trabajo.

Para hacerlo, simplemente acceda a la ubicación de almacenamiento de forma remota a través de un inicio de sesión de cliente   .

Las copias de seguridad comerciales funcionan de manera diferente , especialmente debido a las políticas de seguridad de la información . 

Estas copias de seguridad no pueden ser accedidas por aplicaciones ni por ningún usuario. 

Las corporaciones suelen utilizar un esquema de cifrado para los datos almacenados en la nube y solo los profesionales que trabajan en soporte de TI o seguridad de la información tienen libre acceso. 

Para finalizar este tema, vamos a enumerar los principales riesgos que evita una buena copia de seguridad . Son ellos:

  • Daños causados ​​por accidentes como incendios o tormentas;
  • Robo de datos o daños en la estación de trabajo;
  • Error humano, como la eliminación de un archivo realizada por un colaborador;
  • Errores técnicos resultantes de equipos obsoletos;
  • Ataques de piratas informáticos . 

 

Qué tipos de copias de seguridad existen

No existe un único tipo de copia de seguridad. Esta tecnología mejora con los años y se adapta a las necesidades de cada uno. Vea abajo:

copia de seguridad completa

Aquí, los archivos copiados generalmente se colocan en un solo archivo comprimido para ahorrar espacio de almacenamiento. 

Por lo tanto, cada vez que se realice una copia de seguridad completa , toda la información de origen se copiará en un archivo completamente nuevo.

La desventaja de este tipo de copia de seguridad es que sus copias de seguridad posteriores terminan copiando archivos adicionales que no necesitarían copiarse nuevamente. 

Estas copias acaban utilizando espacios de almacenamiento, además del tiempo dedicado a realizar copias de seguridad . 

Por supuesto, puede eliminar copias antiguas para liberar espacio de almacenamiento, pero esto también lleva tiempo. 

La principal ventaja de la copia de seguridad completa es la posibilidad de restaurar la información original , y no solo recrearla a partir de bloques de datos ya modificados.

copia de seguridad incremental

Este tipo realiza una copia de seguridad completa el primer día y luego, en cada copia realizada, solo se almacenan los archivos agregados o modificados en el último evento realizado. 

Esta es una copia de seguridad muy eficaz 

El cuidado que debemos tener aquí se refiere a la eventual necesidad de realizar una recuperación de datos.

Si esto sucede, se requerirá una copia de seguridad completa además de las copias de seguridad incrementales realizadas, lo que lleva mucho tiempo.

Y detalle: si se corrompe un incremento, parte de la copia de seguridad puede verse afectada. De ahí la necesidad de realizar copias de seguridad completas periódicamente. 

Copia de seguridad diferencial

Después de realizar una copia completa del archivo de copia de seguridad , las copias de seguridad posteriores se reducen en tamaño para diferenciar los archivos originales de la última copia de seguridad realizada 

¿Necesitabas hacer una recuperación de datos? Necesitará una copia de seguridad completa y la última copia de seguridad diferencial . 

En relación con la copia de seguridad incremental , esta copia de seguridad es mucho más rápida en términos de restauración 

Qué considerar al elegir la copia de seguridad en la nube para su negocio

Generalmente, cuando vamos a contratar un nuevo servicio para nuestra empresa, la primera condición que se tiene en cuenta es el coste , ¿no es así?

Y esta lógica no está mal, al fin y al cabo, debemos optar por una solución compatible con el presupuesto empresarial 

Pero a la hora de elegir el mejor respaldo para tu marca, se deben evaluar otros criterios. ¡Mira los principales a partir de ahora! 

Priorizar la seguridad de la información 

Independientemente del tipo de respaldo que elija para su negocio, la seguridad de la información es fundamental para cualquier sistema 

Después de todo, la información corporativa debe estar protegida contra fugas de datos, ataques de piratas informáticos y otras vulnerabilidades a las que pueda estar sujeta la empresa. 

Vale la pena recordar que la frecuencia de las copias de seguridad debe definirse de acuerdo con las particularidades de cada empresa 

Idealmente, la herramienta contratada permite programar según las necesidades reales del negocio. 

Prefiere los servicios de copia de seguridad escalables 

Piensa en grande. Considere que su empresa puede crecer continuamente y , como resultado, producir más datos y documentos 

En este sentido, la solución de respaldo contratada debe acompañar el aumento en el volumen de datos de su empresa, y no quedar obsoleta rápidamente.

Cuente con más de una opción de respaldo en la nube

La copia de seguridad en la nube generalmente ocurre de dos maneras diferentes; por medio de: 

  • almacenamiento redundante local (LRS);
  • Almacenamiento Georedundante (GRS). 

LRS realiza tres replicaciones de los datos en centros de datos ubicados en la misma región que la información de origen. 

Esto asegura bajo costo y eficiencia en la protección de datos en caso de eventuales fallas del servidor. 

El GRS , por su parte , proporciona copias de datos en una segunda región, alejada del servidor principal, para que no haya interrupción en la disponibilidad de datos y documentos .

El GRS resulta muy interesante para protegerse ante posibles fallas de transmisión en la región donde opera su empresa. 

Apreciar herramientas de encriptación

El cifrado de datos es una excelente alternativa para garantizar que nadie acceda a la información y los documentos de su empresa. 

Con el cifrado, solo aquellos que tengan las claves correctas tendrán acceso a los datos comerciales . Por eso, cuente siempre con esta herramienta para garantizar la seguridad de la información de su marca. 

Opte por copias de seguridad que garanticen un almacenamiento a largo plazo

No subestime la necesidad de conservar los datos durante mucho tiempo . Es posible que nunca necesite recuperar datos, pero es posible que deba hacerlo diez años después de un evento. Por lo tanto, busque servidores que almacenen información a largo plazo.