Seguridad en HPE Greenlake Cloud Platform

General, HPE Green Lake, Seguridad

El uso de múltiples herramientas informáticas para la gestión de infraestructuras y servicios multiCloud puede ser tedioso y complicado. Por ejemplo, equipos on-premise, almacenamiento cloud, networking y entornos virtualizados pueden suponer un desafío para las empresas que buscan innovar y gestionar sus recursos en la nube. Para hacer frente a este desafío, HPE ha desarrollado una solución integrada y única llamada HPE GreenLake Cloud Platform (GLCP).

La plataforma GLCP es una solución SaaS que se implementa como nube pública y que permite a las empresas disfrutar de una experiencia en la nube en todos los servicios, centrándose en tres pilares fundamentales que son de gran interés para los clientes:

  • Experiencia Cloud para el on-premise. La plataforma ofrece una experiencia en la nube para el on-premises, ya que en la actualidad es esencial que la gestión del IT híbrido sea equivalente a la nube para las cargas de trabajo que se ejecutan en los CPD del cliente. Para conseguirlo, HPE ha desacoplado los paneles de control de los diferentes servicios y los ha implementado en Greenlake Cloud Platform, lo que proporciona una experiencia en la nube de operación, gestión y monitorización de los servicios on-premises donde se ejecutan las diferentes cargas de trabajo. Dentro de la plataforma, se pueden encontrar servicios de almacenamiento, cómputo, red e incluso servicios de Cloud Privada completamente automatizados, orquestados y que se pueden desplegar desde los diferentes Market Places. Al tratarse de una plataforma para la gestión del IT híbrido, los servicios se integran con las nubes públicas, lo que permite federar cargas de trabajo y tener una visión de costes de todos los servicios, independientemente de su ubicación, con FinOps.
  • Gestión del ciclo de vida del dato. Desde Greenlake se puede gestionar de manera sencilla y con experiencia en la nube todo el ciclo de vida del dato, gracias a servicios de ingesta (bloque, fichero, objeto), servicios de análisis de datos, servicios de backup, servicios de observabilidad y servicios de recuperación ante desastres.
  • Sostenibilidad y huella de carbono. Dentro de la plataforma de Greenlake se puede tener visibilidad de la huella de carbono que se consume en los Cloud Modules que residen on-premises, y con la oferta de «As a Service» se puede consumir en pago por uso, evitando sobredimensionamientos y consolidaciones para ser más sostenibles.

Para terminar de entender GLCP, es importante conocer que la gestión y el mantenimiento de la infraestructura subyacente, incluyendo la instalación, la configuración, la supervisión y la escalabilidad, corren a cargo de HPE, liberando a los clientes de la tarea de gestionar y mantener la infraestructura, permitiéndoles centrarse en sus objetivos empresariales.

Ahora que ya comprendemos qué es y qué hace GLCP hablemos sobre su seguridad.

  • ¿Pero Miguel, me estás diciendo que mis datos on-prem van a estar en la red, en una plataforma, o sepa Dios dónde?
  • ¿En serio tengo que conectar todos mis equipos a la red, y además tengo que abrir puertos, habilitar y mostrar entornos networking?
  • Espera, ¿tengo que habilitar usuarios, otorgar privilegios en la plataforma, sin tener un control de los datos? ¿Y si un compañero en un arrebato quiere hacer daño y borrar o eliminar alguna operación u opción?

Tenemos una infinidad de preguntas y dudas que se han surgido, y hoy, vamos a englobar y resolver todas de una tacada.

HPE GreenLake Cloud Platform prioriza la seguridad desde su diseño. La plataforma cuenta con capacidades integradas de seguridad comenzando por la cadena de suministro, seguridad a nivel de silicio y una arquitectura basada en confianza cero para verificar continuamente la integridad del hardware, sistemas operativos, plataformas y cargas de trabajo para garantizar su seguridad. GLCP mantiene una constante verificación de la identidad mediante un enfoque basado en privilegios para el acceso y autoridad de los usuarios. Adicionalmente, todas las operaciones del proveedor de servicios se separan por defecto de las cargas de trabajo del usuario y se registran todas las actividades de gestión con fines de auditoría.

Y es importante destacar que la plataforma Greenlake de HPE no almacena los datos del cliente, ya que estos residen en Cloud Modules on-premises. La plataforma solo recoge telemetría y metadatos para garantizar una gestión eficiente de los servicios y recursos. De esta forma, se asegura que el usuario retiene la propiedad completa de sus datos.

Y la seguridad en HPE GLCP no se detiene ahí. Como recordamos de publicaciones anteriores, la plataforma también integra el Proyecto Aurora en 3 pasos:

  • El primer paso, es importante destacar que la verificación de la integridad del hardware, firmware y núcleo en cada inicio de dispositivo no es realizada directamente por la plataforma GLCP de HPE. Esta verificación es una funcionalidad intrínseca de los Cloud Modules que se montan on-premises, y se basa en la tecnología Integrated Lights-Out (ILO). De esta forma, se garantiza de manera remota y comprobable la integridad de los componentes críticos del sistema en cada inicio del dispositivo.
  • Una vez iniciado, se monitorea continuamente la integridad del dispositivo y cualquier código crítico que se ejecute en él para detectar posibles manipulaciones.
  • Y, por último, se garantiza que cada pieza de software que se ejecute en cualquier plataforma verificada reciba claves criptográficas de corta duración, que se utilizan para la autenticación y el cifrado de los datos enviados.

Con esta combinación de pilares de seguridad, Zero Trust, Zero Touch y Proyecto Aurora, GLCP es capaz de detectar amenazas en segundos en todas las plataformas y servicios desplegados, haciendo que GLCP sea una solución de nube altamente segura y confiable.

No obstante, aunque HPE GreenLake Cloud Platform ofrece un modelo ideal para externalizar operaciones y optimizar la flexibilidad de recursos, nunca es posible externalizar completamente el riesgo dentro de la organización. Por lo tanto, a diferencia de un modelo de IT heredado, un enfoque híbrido y multicloud distribuye la responsabilidad de seguridad entre múltiples partes. Este enfoque se conoce como el «modelo de responsabilidad compartida de seguridad» y se basa en una visión integral del ecosistema y una clara delimitación de la responsabilidad de seguridad, definida por la ubicación de recursos, el uso, la gestión y la operación, dividido en 3 grupos.

  • Plataforma, la seguridad y gestión de usuarios en la nube híbrida de HPE son responsabilidades compartidas entre la empresa y sus clientes. HPE se encarga de la seguridad de la plataforma y la experiencia en la nube híbrida, utilizando las mejores prácticas de codificación segura y manteniendo procesos rigurosos de revisión y evaluación de medidas. Por otro lado, los clientes son responsables de la gestión de usuarios, incluyendo el acceso al entorno de HPE GreenLake y los permisos definidos para cada usuario. Para garantizar la protección de los datos y activos en la plataforma, es fundamental que los clientes configuren adecuadamente las políticas de acceso y seguridad, por ello, se recomienda el uso de medidas como la autenticación multifactorial (MFA) y la autorización dual para evitar modificaciones no autorizadas de servicios. Asimismo, se sugiere la implementación de un modelo de control de acceso basado en roles (RBAC) que permita definir permisos específicos para cada usuario según su función y responsabilidades en la organización. De esta forma, se puede garantizar una gestión segura y eficiente de la nube híbrida de HPE que más adelante entraremos en detalle.
  • Por el lado de la infraestructura, HPE tiene la responsabilidad principal de la seguridad de la infraestructura de la plataforma GreenLake. Esto se logra a través de la protección de la cadena de suministro, la implementación de tecnología de seguridad como HPE Integrated Lights-Out (iLO), la raíz de confianza de silicio de HPE y la verificación mediante la certificación de confianza cero antes del inicio y el Proyecto Aurora. Aunque la mayoría de las medidas de seguridad, incluidos los parches, se aplican automáticamente, algunos parches requieren que los clientes los implementen, por ejemplo, aquellos que involucran parches de almacenamiento que deben programarse para garantizar la disponibilidad de los datos.
  • Con respecto a los servicios, la responsabilidad varía según el tipo de compromiso del servicio. En HPE GreenLake Private Cloud Enterprise BareMetal as a service, la seguridad de los datos, el sistema operativo y las aplicaciones reside en el cliente. En cambio, en contenedores y para máquinas virtuales, HPE es responsable de la orquestación de contenedores, el sistema operativo subyacente, las redes definidas por software y los hipervisores. Y en el caso de las cargas de trabajo como servicio, la responsabilidad de seguridad de HPE se extiende más allá para incluir aplicaciones, sistema operativo invitado e imágenes de contenedor.
Por otro lado, el cliente siempre es responsable de la seguridad de los datos dentro de la nube híbrida. Esto incluye qué datos se deben almacenar en la nube, así cómo se deben proteger esos datos.

Hablemos ahora sobre los datos del usuario y la privacidad en GLCP.

La recopilación, procesamiento y almacenamiento de datos es una preocupación constante para todos los usuarios de GLCP. Para garantizar la privacidad y seguridad de los datos personales, HPE ha establecido un Programa Global de Privacidad que cumple con las leyes y regulaciones aplicables en todo momento. Por ejemplo, cuenta con certificaciones y cumplimientos de seguridad como ISO 27001, SOC 2 Type II, HIPAA y PCI-DSS, lo que asegura que la plataforma cumple con los estándares y requisitos de seguridad más rigurosos.

Es importante recalcar que GLCP solo actúa como controlador de telemetría y metadato para el procesamiento de la información de la cuenta de usuario u organización. Los datos se almacenan a nivel regional, on-premise, escritos en dispositivos locales. Tomemos como ejemplo las máquinas virtuales, estas permanecen en el dispositivo y no se exponen, y además, solo los usuarios autorizados dentro de la cuenta del cliente pueden enviar comandos de API a las matrices locales para su gestión, y cada acción ejecutada en Data Service Cloud Console (DSCC), la consola de HPE para la gestión de datos, se archiva en los registros de auditoría.

Es decir, el equipo de operaciones de HPE mantiene GreenLake y DSCC y no tiene acceso a la información de la cuenta del cliente. El proceso de actualización se realiza implementando las últimas versiones de software y gestionando las funciones de monitoreo y auditoría. Como parte del ciclo de vida seguro de desarrollo de software, cualquier cambio de versión, ya sea nuevo o una actualización, debe ser revisado y probado por pares antes de su implementación.

Un ejemplo práctico de la información que se almacenan en GLCP incluyen; el nombre del usuario, información de la organización, dirección, tipo de producto y modelo, información del nodo (cantidad de discos, CPUs, memoria, etc.), opciones de configuración, versiones de software, historial de actualizaciones, monitorización de recursos, reportes de alerta y logs de auditoría.

Otra de las cuestiones que surge está relacionada con la agregación o activación de los dispositivos hardware en el entorno.

Cuando un equipo, dispositivo o conjunto de dispositivos HPE se agrega a GLCP, debe registrarse para poder ser gestionado desde DSCC. Una vez completado el proceso de registro, se crea un túnel seguro TLS (mTLS) para su activación, utilizando una conexión cifrada y segura a través de VPN, lo que significa que los datos se transmiten de forma segura entre la plataforma y los equipos del cliente, generando un certificado de cliente único por dispositivo que es firmado por una autoridad de certificación. Este certificado se utiliza para establecer una conexión que identifica de forma única al dispositivo, validando constantemente el certificado de cliente.

Con esta seguridad en la agregación de equipos, los clientes disponen de diferentes herramientas de gestión, como la CLI y la API RESTful, lo que mejora la experiencia de usuario y proporciona una gestión unificada del entorno y de usuarios seguros. Estos últimos no obtienen automáticamente acceso o permiso al entorno.

El acceso a GLCP o DSCC requiere una credencial de usuario única dentro de HPE GreenLake, la cual está vinculada a un nombre y dirección de correo electrónico registrados previamente en la plataforma. Una vez registrado el usuario, se verifican los datos proporcionados y, una vez finalizado el proceso de comprobación, la cuenta del usuario debe unirse a una cuenta de organización.

Cuando se activa la suscripción de software, los usuarios deben crear tanto su propia cuenta de usuario en HPE GreenLake como una cuenta de organización. Esta cuenta de organización, o cuenta de la compañía en HPE GreenLake, es la única cuenta a la que se asocian todos los usuarios y dispositivos de una sola organización, es decir, la cuenta de la organización tiene al menos un usuario con el rol de administrador de cuenta.

Al creador de la cuenta de organización se le asigna automáticamente el rol de administrador de cuenta con privilegios de administrador para esa organización, y tiene la opción de invitar a usuarios adicionales y configurar permisos de acceso. Todo ello, sin olvidar la importancia de establecer fuertes políticas de contraseña y añadir una capa adicional de autenticación mediante la implementación de Multifactor authentication (MFA).

MFA puede habilitarse en dos niveles: a nivel de la cuenta de la organización y a nivel de la cuenta del usuario individual. Si se habilita a nivel de la organización, debe configurarse para todas las cuentas de usuario y no puede desactivarse a nivel de usuario individual. Si no está habilitada a nivel de organización, los usuarios pueden habilitarla por su cuenta.

HPE GreenLake admite autenticadores basados en software estándar y, durante el proceso de configuración de MFA, se muestra un código QR en la interfaz de usuario de HPE GreenLake que el usuario puede escanear con una aplicación de MFA. Si un usuario es miembro de varias organizaciones en HPE GreenLake y al menos una de ellas requiere MFA, entonces el usuario debe configurar la MFA la próxima vez que inicie sesión en HPE GreenLake.

Adicionalmente, GLCPcuenta con una capa adicional de seguridad: la autorización dual. Esta función requiere que un segundo usuario apruebe solicitudes específicas, como eliminar recursos o desactivar funciones. Por ejemplo, en el servicio de Backup y Recuperación de HPE, cualquier solicitud para eliminar instantáneas y copias de seguridad debe ser aprobada por un segundo usuario con un rol de administrador o equivalente antes de ejecutarse.

Cualquier solicitud que requiera autorización dual se coloca en un estado de espera hasta que un segundo usuario pueda aprobarla o denegarla. Si una solicitud pendiente no se aprueba o deniega explícitamente en siete días, se denegará automáticamente.

Cuando se habilita la autorización dual, los usuarios no pueden aprobar sus propias solicitudes y se requiere una autorización secundaria para desactivar la autorización dual en DSCC.

Para aprobar o denegar una solicitud, el administrador secundario debe confirmar explícitamente la acción ingresando «YES» o «NO». De esta forma, se aumenta la seguridad y se evita la realización de acciones no autorizadas en el entorno.

No podemos olvidar la importancia de los registros de auditoría y el soporte con la API.

Los registros de auditoría son esenciales para garantizar la seguridad de un sistema, ya que facilitan un registro de eventos y cambios en el mismo. DSCC ofrece un servicio de registro de auditoría que permite monitorear y prevenir vulnerabilidades y el uso inapropiado de datos. Estos registros también pueden servir como evidencia en casos de ataques cibernéticos o como prueba de cumplimiento con regulaciones y leyes. El acceso a los registros de auditoría puede ser configurado por el cliente para propósitos de auditoría de cumplimiento.

Por otro lado, HPE GreenLake permite a los desarrolladores realizar llamadas a la API en todos los recursos y capacidades de DSCC. La API pública de DSCC está desarrollada en el formato OpenAPI 3.0 y proporciona certificados x.509 para la autenticación del servidor. Se presenta como una única API con una única versión que cubre todos los grupos de recursos de la API, donde las nuevas versiones son compatibles con las versiones antiguas hasta que se anuncia la descontinuación de la versión.

Para finalizar, recordemos las preguntas del principio y demos una respuesta rápida con los puntos fuertes y destacados de HPE GLCP:

  • No se almacenan los datos del cliente, únicamente se recopila telemetría y metadatos.
  • Para acceder a la plataforma, los usuarios pasan por un proceso de registro, comprobación y asignación de permisos y roles. Además, se ofrece la posibilidad de configurar la autenticación de múltiples factores (MFA) para iniciar sesión, por ejemplo, con Google Authenticator.
  • Considerando que se pueden realizar operaciones críticas como backup, borrado de Luns o de VMs, se ofrece la opción de la Doble Autorización, donde un segundo administrador debe aprobar el proceso.
  • Toda la comunicación se encripta a través de TLS 2.0, y se realiza una constante comprobación de credenciales entre los dispositivos para asegurar su integridad.
  • No se abren puertos de entrada en los dispositivos, el socket IP lo abre el dispositivo, ya sea un servidor, una cabina o switch. Solo se conecta a Internet la red de gestión out-of-band de los dispositivos o paneles de control, nunca exponiendo los datos del cliente.

Esperamos haber resuelto todas las dudas e inquietudes, sintiéndote más seguro dentro de GreenLake Cloud Platform. Recuerda que la seguridad es una prioridad y compromiso para HPE, ofreciendo los más altos estándares en este ámbito.

No dudes en ponerte en contacto con nosotros si necesitas cualquier información adicional sobre GreenLake Cloud Platform, Data Service Cloud Console o la seguridad en entornos híbridos, el equipo de Pleiades estaremos encantados de poder ayudarte.

Comparte este artículo

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *