Multinube: qué riesgos y desafíos

26/04/22

La estrategia acelerada de múltiples nubes, que ha caracterizado los últimos dos años, ha permitido a las organizaciones aprovechar las mejores características técnicas de cada plataforma en la nube. Sin embargo, como suele suceder, la preocupación de gestionar el sistema permanece por parte de muchas organizaciones. vendedor encerrado¹, también confirmado por uno reciente encuesta llevado a cabo por Cloud Security Alliance. Esta preocupación no es la única razón que frena la implementación de multinube, ya que las organizaciones se enfrentan a los diferentes desafíos que surgen de entornos interoperables y diversos, tales como:

• necesidad de personal experimentado en la gestión de entornos multinube;

• Superficie de ataque ampliada, como resultado de la integración de múltiples proveedores de nube en el entorno, lo que dificulta la gestión y la seguridad;

• difícil supervisión de todos los recursos;

• Difícil supervisión y control de riesgos en una amplia variedad de activos en múltiples plataformas cloud e en el local²;

• dificultad para integrar múltiples plataformas, incluso con la ayuda de API³, ya que los proveedores de la nube utilizan diferentes tecnologías para obtener una ventaja competitiva;

• Complejidad de gestionar controles de seguridad entre una amplia variedad de servicios y productos en diferentes proveedores de servicios cloud;

• Latencias⁴ debido a las transferencias de datos entre diferentes plataformas, con los consiguientes problemas de rendimiento y confiabilidad, considerando que la disponibilidad es un elemento clave de seguridad y operación.

Sin embargo, se procede con el orden.

que es multinube

Si nos referimos a IBM, encontramos que para multicloud significa el uso de servicios cloud de más de un proveedor de servicios cloud. Esto podría estar usando Software como Servicio (SaaS) de diferentes proveedores o, como suele ser el caso en las grandes empresas, podría estar ejecutando aplicaciones en Plataforma como servicio (PaaS) o superior Infraestructura como un servicio (IaaS) de diferentes proveedores de servicios cloud^5,6,7,8.

Siempre IBM especifica que un solución multinube es una solución de la computación en nube que resulta ser portable a través de diferentes proveedores de infraestructura cloud. Una solución multicloud normalmente se logra mediante el uso de tecnologías nativo de la nube (como, por ejemplo, Kubernetes⁹) que son generalmente apoyados por todos los proveedores servicios públicos cloud.

Cómo evitar el cerrar

El segmento de TI se caracteriza por muchos jugadores en estrecha competencia entre sí para proponer soluciones atractivas. De ello se deduce que el fenómeno lock-in es complejo y articulado, dado que yo Proveedor de servicios en la nube tienden a utilizar una variedad de "elementos" y técnicas para desfavorecer el paso de los clientes a la competencia.

Sin embargo, la comparación transparente entre los diferentes operadores permite (no sin dificultad) verificar directamente la presencia de posibles estrategias. cerrar y, si es necesario, evaluar cualquier costo de salida.

Las asociaciones y las empresas líderes se esfuerzan por mantener la lógica comercial lo más alejada posible del bloqueo, especialmente en términos de datos. Por lo tanto, al elegir el cloud será fundamental para evitar la aparición de nuevos silos¹⁰ y trabajar juntos para evitar (o tratar de limitar) que los grandes operadores de la nube impongan reglas que potencialmente, o en la práctica, limiten el grado de libertad del mercado.

Además, en un mercado tan cambiante, innovador y extremadamente competitivo, iI cerrar es una restricción difícil de aceptar para las organizaciones que aspiran a tener total libertad para desarrollar sus propias estrategias de negocio combinando las soluciones ofrecidas por los distintos proveedores e integrando los distintos servicios con los ya implantados internamente en sus propias estructuras.

Como resultado, los clientes exigentes deben esperar poder crear, migrar e implementar sus aplicaciones en múltiples entornos, tanto en cloud como en la premisa, evitando así cualquier cerrar con vistas a una innovación más rápida, en todos los entornos.

I Proveedor de servicios en la nube, por su parte, deberán garantizar estas características si no quieren socavar el enorme potencial de creación de valor que ofrecen los paradigmas de Soluciones.

Por lo tanto, debemos avanzar hacia el código abierto y los estándares, que permitan fortalecer la interoperabilidad y crear valor para las organizaciones que necesitan poder migrar cargas de trabajo a las infraestructuras y localizaciones que mejor se adapten a sus necesidades comerciales.

Cómo elegir proveedores de servicios para multinube

Hay proveedores de servicios en la nube, como Microsoft Azure, que ya ofrecen una plataforma abierta que permite que cualquiera use lo que quiera y se integre con cualquier otro servicio, esté en la nube o no. Todo lo anterior, aunque teóricamente lógico, no es fácil de obtener por varias razones.

Primero, las organizaciones tendrán que conocerse a sí mismas para comprender en su totalidad sus necesidades y vulnerabilidades, abordar e intentar prevenir/resolver el problema de bloqueo es extremadamente importante.

De ello se deduce que, antes de elegir un proveedor de Servicios en la Nube será necesario:

Llevar a cabo la "diligencia debida"¹¹ y cuidadosa comparación de ofertas - Compruebe si las ofertas se ajustan a sus necesidades; examinar diferentes modelos de precios para determinar ahorros de costos a corto, mediano y largo plazo; comprender los acuerdos de nivel de servicio (SLA); considerar los procesos y costos de transferencia de datos; tenga en cuenta otras empresas similares con las que ha trabajado.
Planifica la salida del contrato - Incluir un plan de salida y costos potenciales en la estrategia de implementación, es decir, una especie de “acuerdo pre-equity” que pueda proteger mejor a la empresa y cuantificar los costos de forma preventiva. Además, es fundamental asegurarse de comprender todas las cláusulas de rescisión del contrato en la nube, así como los costos de migrar los datos fuera de la nube. Aún así, para simplificar el acceso a los datos y la transición a otra nube, es posible que deba implementar una estrategia de respaldo que mantenga una segunda copia de sus datos fuera de la nube.
Crea tus propias aplicaciones para que la migración sea lo más flexible posible - Asegúrese de que los componentes de la aplicación en la nube se puedan vincular libremente a los componentes de la aplicación que interactúan con ellos.
Considere cuidadosamente la arquitectura nativa de la nube: Se trata de sopesar los riesgos y las prioridades de la organización para determinar si adoptar una arquitectura nativa de la nube o considerar una dependencia reducida.
Maximice la portabilidad de datos - Los datos son uno de los mayores puntos débiles en las migraciones a la nube, ya que los diferentes formatos y modelos pueden causar problemas de portabilidad. Por lo tanto, sería mejor evitar el formato propietario y describir los modelos de datos con la mayor claridad posible, utilizando los estándares de esquema aplicables para crear documentación detallada que sea legible tanto para la computadora como para el usuario. Además, debe asegurarse de que el proveedor de servicios en la nube ofrezca una forma de extraer datos de manera fácil y económica para facilitar la transición de datos de un proveedor a otro.
Implementar herramientas y procesos de DevOps¹² - Son necesarios para maximizar la portabilidad del código. En particular, la tecnología de contenedores ayuda a aislar el software de su entorno y a abstraer las dependencias del proveedor de la nube, y dado que la mayoría de los proveedores de servicios en la nube admiten formatos de contenedores estándar, debería ser fácil migrar una aplicación a un servidor si es necesario.
Tenga en cuenta las normas de privacidad desde el principio - se debe investigar cuidadosamente el uso de servicios en la Nube proporcionados por países distintos al nuestro, así como el país de referencia para la resolución de disputas judiciales.
Usar la política de seguridad por diseño - El nivel adecuado de seguridad debe diseñarse desde el principio, junto con la elección de los proveedores de la nube.

Antes de seleccionar un proveedor de servicios en la nube, es necesario conocer los requisitos técnicos, de servicio, de seguridad, de gobierno de datos y de gestión de servicios que necesita, lo que le permitirá comparar los diversos proveedores de servicios en la nube en función de su lista de verificación. .

Además, recuerde que al migrar aplicaciones y cargas de trabajo a la nube, los entornos específicos que elija y los servicios ofrecidos por el proveedor de servicios en la nube determinarán las configuraciones que necesita, el trabajo a realizar y la ayuda que puede obtener del proveedor.

Teniendo en cuenta que los requisitos y los criterios de evaluación varían de una organización a otra, se pueden considerar algunos criterios comunes, agrupados en 8 secciones principales, para consultar durante la fase de evaluación del proveedor de servicios, con el fin de seleccionar el proveedor de servicios en la nube más adecuado. para su organización. Y precisamente:

Certificaciones y estándares
Hoja de ruta de tecnologías y servicios
Seguridad de datos, gobierno de datos y políticas de la empresa
Dependencias y asociaciones de servicios
Contratos, publicidad y SLAs
Fiabilidad y rendimiento
Soporte para migración, bloqueo de proveedores y planificación de versiones
Fortaleza financiera y perfil de proveedor

Por lo tanto, para no ralentizar la implementación de la Nube, las organizaciones deben considerar no solo el desempeño, la confiabilidad y el costo, como elementos a colocar en la balanza, sino también revisar cuidadosamente cuáles pueden ser las limitaciones contractuales o tecnológicas que un determinado proveedor dicta al cliente. No hablamos solo de hardware/software/plataformas en la nube o SLAs, sino también de los mecanismos contractuales y de gestión que pueden generar un verdadero “lock-in” para quien compra un servicio.

Estrategia de gestión de múltiples nubes

Las organizaciones, al diseñar un sistema capaz de explotar múltiples nubes al mismo tiempo, deben enfrentar varios problemas/desafíos que implican la necesidad de una estrategia de gestión de múltiples nubes. De hecho, existen en el mercado diferentes tipos de aplicaciones de gestión multinube capaces de:

Automatice y orqueste, de manera efectiva y eficiente, el movimiento y la migración de diferentes cargas de trabajo de aplicaciones entre entornos de nube pública, privada e híbrida, de acuerdo con los requisitos técnicos y comerciales establecidos de vez en cuando.
Proporcionar funciones de gestión de seguridad, gobierno de políticas y control de cumplimiento.
Garantizar, mediante la optimización de recursos y la estimación de costes, tanto la monitorización del rendimiento de la infraestructura y las aplicaciones como la gestión económica del entorno multinube.

Muchas organizaciones medianas-grandes, gracias a estas aplicaciones de gestión multinube, utilizan cuadros de mando de gestión que facilitan -independientemente de las infraestructuras y servicios utilizados- tanto las actividades de movimiento de cargas de trabajo y aprovisionamiento como las mediciones, reduciendo considerablemente la complejidad y, al mismo tiempo, al mismo tiempo, permitiendo verificar: los SLAs contractuales, la evaluación del consumo de los servicios de acuerdo a los costos asociados; la optimización del uso de recursos, moviendo cargas de trabajo entre diferentes nubes e infraestructuras on-premise.

seguridad y oferta

Para garantizar la seguridad en la Nube es necesario tener un conocimiento profundo de la propia organización y la confiabilidad del Proveedor de Servicios en la Nube para tomar decisiones efectivas, eficientes y estructuradas en función de los objetivos de la empresa, especialmente en términos de: protección de datos; la seguridad; compartir reglamentos y normas que puedan ser aplicados, utilizados y comprendidos por todos.

De hecho, en la fase de elección del proveedor de la Nube, es necesario:

Consulta los planes de continuidad del proveedor de la nube e insertar cláusulas de continuidad en los contratos, así como solicitar confirmación de cumplimiento también por parte de los subproveedores. Este es probablemente el aspecto más complejo ya que implica tener acceso a información que no siempre es fácil de interpretar.
- Verifique los servicios de conectividad y la energía en los centros de datos en caso de desastre / interrupción.
- Comprobar la gestión de fallos de hardware y cómo insertar contractualmente sus métodos de resolución.
- Comprobar cómo se replican los datos y dónde se guardan a efectos del RGPD.
Verifique las especificaciones del centro de datos utilizado por el proveedor de la nube.
Verifique los casos de tiempo de inactividadà ocurrido en los últimos 18 meses.
Comprobar la frecuencia de las pruebas recuperación, emergencia y disponibilidad del último informe.

Igualmente importante es asegurarse de que haya una configuración de seguridad sólida en la nube a través de un conjunto de estrategias y herramientas ampliamente establecidas, como:

Gestión de identidad y acceso a través de la adopción de un sistema de Gestión de Identidad y Acceso (IAM).
Seguridad física como una combinación de medidas para evitar el acceso directo y la interrupción del hardware alojado en el centro de datos del proveedor de la nube.
Información sobre Amenazas, Monitoreo y Prevención a través de la adopción de Threat Intelligence, Intrusion Detection Systems (IDS) y Intrusion Prevention Systems (IPS).
Criptografía para proteger los datos y recursos de información, codificados y encriptados cuando están en reposo y en tránsito según los niveles requeridos.
Prueba de vulnerabilidad y penetración en la nube para identificar cualquier debilidad u oportunidad de explotación.
Microsegmentación, dividiendo la implementación de la nube en distintos segmentos de seguridad, hasta el nivel de carga de trabajo individual.
Cortafuegos de próxima generación que protegen las cargas de trabajo, utilizando capacidades de firewall tradicionales y las funciones avanzadas más recientes.

Por lo tanto, es muy necesario, antes de adoptar un sistema en la Nube, evaluar cuidadosamente la relación riesgo/beneficio e intentar, como se ha subrayado repetidamente, minimizar el primero a través de una verificación cuidadosa de la confiabilidad del proveedor del servicio al que se destina el mandato. e implementar una estrategia que combine herramientas, procesos, políticas y mejores prácticas.

Otro elemento importante es comprender la responsabilidad compartida y el cumplimiento.

Portabilidad de las cargas de trabajo

El uso de un entorno de múltiples nubes requiere una planificación estructurada para garantizar un flujo continuo de datos e información a través de estos entornos, lo que genera preocupaciones sobre la portabilidad de las cargas de trabajo.

La portabilidad de la carga de trabajo de múltiples nubes significa, en efecto, que puede mover una carga de trabajo de una nube (o un centro de datos local) a otra. Desafortunadamente, es muy difícil escribir una aplicación, una vez, para una nube y aún poder ejecutar esa misma aplicación en otras nubes, sin ningún cambio de código. Los diferentes proveedores tienen diferentes API, semánticas, capacidades, sintaxis y otros matices que hacen que la portabilidad de la carga de trabajo sea, de hecho, una de las formas más desafiantes de portabilidad multinube.

Además, en términos de ubicación de la carga de trabajo, en entornos de múltiples nubes, debe elegir una solución de alojamiento que ofrezca la combinación adecuada de rendimiento y rentabilidad. Las opciones de infraestructura son variadas y numerosas, incluidos los centros de datos locales con nubes alojadas privadas y nubes públicas basadas en proveedores que brindan servicios SaaS, IaaS y PaaS.

Para tomar la mejor decisión, se trata de comprender los diversos tipos de cargas de trabajo, sus atributos, las aplicaciones que las habilitan y los objetivos comerciales que ayudan a lograr. Es decir, las organizaciones, según la industria, la disponibilidad y versatilidad de la plataforma y el rendimiento de la aplicación, pueden elegir si ubicar su carga de trabajo en una nube pública o en las instalaciones. Las consideraciones que influyen en esta decisión incluyen el ahorro de costos, la agilidad operativa, la centralización y la seguridad. Una vez más, se trata de conocer el contexto para conocer los requisitos necesarios y poder comparar las ofertas de los distintos Proveedores de Servicios en la Nube.

Resiliencia en la nube

La adaptabilidad y la resiliencia -a las que hoy las empresas están llamadas a responder para seguir siendo competitivas- exigen una gestión de la nube más sencilla y rápida, capaz de garantizar la escalabilidad y la velocidad, así como la reducción del time-to-market y de los costes, como requisitos fundamentales para la modernización de las empresas. De ello se deduce que los proveedores de servicios en la nube, para seguir siendo competitivos, deben garantizar la resiliencia de las operaciones diarias de la organización. Es decir, implementar una ruta continua de optimización de servicios, asumiendo que la resiliencia de la nube comienza con el alineamiento estratégico con los principales stakeholders del negocio, la planificación y ejecución con una arquitectura que soporte verdadera resiliencia y un programa de recuperación mejorada ante desastres.

Experiencias en la nube

Existen numerosas organizaciones, grupos, grupos de trabajo y asociaciones que ofrecen recursos y estándares sobre seguridad en la nube, solo piense en NIST, ISO, Cloud Security Alliance, ETSI, OGF, OASIS,

Con tantos estándares, regulaciones, marcos y otros documentos prácticos, a los profesionales de TI a menudo les resulta difícil seleccionar la opción más relevante para su organización. Creo que un buen enfoque es realizar una investigación sobre los diversos comités y grupos de trabajo técnicos en la nube y revisar los estándares utilizados por los principales proveedores de servicios en la nube, como AWS y Microsoft Azure y, lo que es más importante, incluir el cumplimiento de la seguridad como parte del proceso de evaluación.

En el futuro, necesariamente, habrá una mayor evolución de los estándares para garantizar cada vez más el cumplimiento de las distintas normativas vigentes con el fin de poder gestionar mejor los desafíos que implica la implementación de una nube.

Además, no olvidemos que, a la fecha, las organizaciones continúan teniendo dificultades para implementar la nube debido a la falta de conocimiento de los activos y procesos de hardware / software y aplicaciones y la participación de todas las partes interesadas.

Aún así, otro problema está representado por la dificultad de encontrar personal calificado, capaz de: gestionar la implementación de una estrategia cloud/multi-cloud; evaluar los servicios ofrecidos por los distintos Proveedores de Servicios en la Nube; comprender qué oferta satisface mejor las necesidades de la organización, prestando especial atención a tres elementos fundamentales, es decir, las personas involucradas, los procesos implementados y las tecnologías utilizadas.

Conclusiones

Las organizaciones deben ser capaces de gestionar la migración de sistemas heredados a la nube, por lo tanto, es importante invertir en términos de estrategia, utilizando arquitectos expertos en la nube y consultores de TI para diseñar la configuración de infraestructura de TI ideal para soportar sus cargas de trabajo. en las condiciones actuales y en previsión del crecimiento empresarial, cuya dinámica aún no se conoce a priori.

Se cree que habrá un mayor crecimiento de la nube múltiple que involucrará a más y más organizaciones que construyan estrategias de enfoque de confianza cero; inteligencia artificial o aprendizaje automático y computación sin servidor.

De hecho, la nube múltiple le permite: mantener bajo control los costos de la estructura de la nube; construir resiliencia (permitiendo que los datos se muevan cuando sea necesario); evaluar, si y cuáles, los componentes tienen el tamaño correcto (para llevar a cabo una "orquestación" continua destinada a optimizar el rendimiento y los costos); evite el bloqueo de un solo proveedor de servicios en la nube accediendo a una cartera más grande de recursos de TI.

Por lo tanto, las organizaciones que opten por la multinube tendrán que hacer una elección prudente y estratégica y, para no cometer errores, evaluar y planificar, antes de pasar a la implementación, considerando los aspectos relacionados con la tecnología y los procesos.

Solo un conocimiento profundo de todos los entornos de la nube puede garantizar un resultado satisfactorio en términos de rendimiento y flexibilidad de las importantes inversiones a realizar. Independientemente de si se trata de una nube pública o privada para distribuir un determinado servicio, la elección siempre debe ser funcional para satisfacer necesidades de TI detalladas, derivadas a su vez de un marco estratégico perfectamente coherente con los objetivos de todo el negocio de la empresa.

Federica María Rita Levelli, Alessandro Rugolo

_{Gracias a todos los miembros del grupo SICYNT por sus comentarios/sugerencias}

_{¹ Efecto por el cual una empresa que compra una determinada tecnología de un proveedor no puede cambiar de proveedor o se ve obligada a adquirir productos del mismo proveedor, de hecho, querer cambiar de proveedor sería demasiado costoso.}

_{² Significa tener los servidores en la sede de su empresa.}

_{³ Es un tipo de software que sirve como interfaz entre dos software diferentes.}

_{⁴ La latencia indica el retraso en la transferencia de datos.}

_{⁵ SaaS, PaaS e IaaS son formas de arrendamiento que involucran software, infraestructura de TI o plataformas.}

_{⁶ Para obtener más información sobre SaaS: ¿Qué es SaaS? Software como servicio | microsoft azure .}

_{⁷ Para obtener más información sobre IaaS: ¿Qué es IaaS? | Oráculo .}

_{⁸ Para obtener más información sobre PaaS: ¿Qué es PaaS? Guía y definición de plataforma como servicio (techtarget.com) .}

_{⁹ Para saber mas : Kubernetes .}

_{¹⁰ Los silos, en el mundo de la computación en la nube, son instancias en las que los procesos comerciales y los datos están confinados. Para saber mas: El peligro de los silos de nubes | InfoMundo}

_{¹¹ La debida diligencia es un proceso que le permite analizar el valor y la salud de una empresa para determinar la conveniencia de una inversión, fusión, adquisición o cualquier relación comercial. Para saber mas: Qué es Due Diligence, para qué sirve, ejemplos y duración - DOGMA}

_{¹² DevOps es un modelo de gestión y desarrollo de aplicaciones. Qué es DevOps - Amazon Web Services (AWS)}

_{Para saber más:}

_{- ¿Qué es Multinube? | IBM}

_{- Kubernetes}

_{- www.cloudindustryforum.org/content/8-criteria-ensure-you-select-right-cloud-service-provider}

_{- www.netsolutions.com/insights/how-to-choose-cloud-service-provider/}

_{fotos: www.netsolutions.com /web}