Lionel GAIROARD, responsable del área de DevOps en Squad, asistió a la tercera edición de la WAX CONF, el evento que reúne a expertos en DevSecOps y ciberseguridad. Revive las ponencias que más le llamaron la atención en este apasionante resumen:
«Estoy intentando implementar microservicios en las instalaciones, ¿es grave, doctor? O cómo industrializar la implementación de aplicaciones de microservicios en las instalaciones », por Ludovic Blass, de IKKI LEAGUE, y Gérald Roncajolo, de SOFTWAY MEDICAL
¿Cuál es el reto? Industrializar la implementación de microservicios en una arquitectura obsoleta. ¿Y quién mejor para guiarnos que Ludovic Blass y Gérald Roncajolo, de Softway Medical, una empresa integral dedicada al desarrollo, la integración y el alojamiento?
Su proyecto de pasar de ser un editor a un proveedor de alojamiento se inscribe en el contexto de 34 equipos funcionales que desarrollan productos, servicios o funcionalidades, con el apoyo de equipos transversales y de infraestructura.
Nos hablaron de «Hospital Manager», una herramienta de gestión de historiales clínicos que es una aplicación monolítica en Java. Para hacerla más flexible, decidieron dividirla en una arquitectura de microservicios con el fin de ganar en modularidad y escalabilidad.
La solución Red Hat OpenShift fue la elegida para orquestar los contenedores, con el código alojado en una instancia privada de GitLab. Las actualizaciones se gestionan mediante pipelines continuos de GitLab.
Tuvieron que combinar dos modalidades de implementación: clústeres locales alojados directamente en las instalaciones de algunos clientes para reducir la latencia, y el uso de toda la solución SaaS y los microservicios.
Se creó un equipo DevOps temporal para formar a los grupos de trabajo y responsabilizar a los equipos de la implementación de la industrialización. Para la gestión del empaquetado y la implementación, utilizaron Helm y ArgoCD.
Consiguieron validar una prueba de concepto (POC) con un primer servicio crítico que debe actualizarse cada semana; a continuación, generalizaron y definieron una estrategia de plantillas para que las acciones de integración y despliegue fueran homogéneas y fácilmente reutilizables.
¿Cuál es el resultado? Actualizaciones seguras y rápidas, sitios web locales siempre al día y equipos autónomos a la hora de actualizar e implementar sus servicios. ¡20 microservicios industrializados de un total de 50 servicios: es un buen comienzo!
Queda por completar la industrialización de los microservicios, seguir promoviendo el modelo de equipos de trabajo, crear paneles de control con métricas clave de infraestructura, añadir más pruebas automatizadas a la integración continua (CI) e implementar pruebas A/B o pruebas Blue/Green.
« Hemos puesto Chaos en producción en Carrefour », por François Berthault, FGTECH
¿Os suena el «Chaos Engineering» en la WAX CONF? Es obra de François Berthault, experto en K8s y responsable de la implantación del Chaos Engineering en Carrefour. ¡Preparaos, que va a dar mucho que hablar!
Para empezar, una pequeña lección: ¿ qué es la ingeniería del caos? Es el arte de la imprevisibilidad en un sistema complejo. Este concepto lo popularizó Netflix durante su migración a la nube de AWS.
¿Cómo funciona? Se parte de un estado estable, luego se formula una hipótesis sobre ese estado, se introduce una variación y se refuta o se confirma la hipótesis. Es una forma de poner a prueba la resiliencia de un sistema. Ojo, no se trata de una prueba a ciegas, ni de un sistema antifrágil.
La ingeniería del caos es como una vacuna: se introducen fallos en el sistema para simular averías antes de que se produzcan en producción. Es una forma de reforzar la resiliencia del sistema, un poco como nuestro cuerpo se vuelve más resistente tras recibir una vacuna.
¿Por qué el caos? Porque se está extendiendo. Desde Netflix hasta OuiSNCF, muchas empresas están adoptando este enfoque para mejorar su resiliencia. ¿Y en Carrefour? El caos ha llegado en forma de «Chaos Night»: sesiones nocturnas de depuración en producción.
¿Y cuál es el balance? Es toda una aventura de aprendizaje, intercambio y mejora. Con la ingeniería del caos, nos hacemos más fuertes y resilientes, simulamos situaciones realistas y minimizamos el impacto de las averías gracias a un profundo conocimiento de las aplicaciones y sus interacciones. En resumen, experimentamos, fallamos, corregimos y mejoramos. ¡Eso es la agilidad!
«Cuando Ansible ya no es suficiente: la orquestación de 236 cortafuegos en una infraestructura crítica de Enedis », por Lucas Galton y Henri Sourdet, Enedis
¿Crees que Ansible lo puede hacer todo? ¡Pues te equivocas! Lucas Galton y Henri Sourdet nos explican cómo desarrollaron FOOGaaS, un cortafuegos lógico, para gestionar de forma eficaz 236 cortafuegos de una infraestructura crítica en Enedis.
FOOGaaS, desarrollado en GoLand, es un cortafuegos lógico que agrupa varios cortafuegos físicos y aplica reglas para implementar fácilmente configuraciones en cortafuegos de distintos proveedores. La aplicación no mantiene estado; solo se genera la versión de la aplicación que se va a implementar.
Pero, ¿por qué no usar simplemente Ansible?
- La complejidad: Ansible tiene dificultades para gestionar los distintos fabricantes de cortafuegos y el manejo de los datos OSP.
- Rendimiento: Ansible tardaría 425 minutos en actualizar todas las reglas del cortafuegos de la zona (55 000 reglas que escribir a 850 ms por regla), lo cual es demasiado tiempo.
- Gestión de derechos: resulta difícil mantener la segmentación de derechos con Ansible.
- La capacidad de respuesta: Ansible no es lo suficientemente ágil para las necesidades de Enedis.
Así que crearon FOOGaaS: un MVP con definición «as code», validación en dos pasos y el objetivo de lograr una cierta agilidad en la gestión de las reglas de firewall.
El lenguaje de las políticas (policy) se parece mucho al lenguaje HCL de Terraform.
¿Y cuál es el resultado? Una disponibilidad muy alta para gestionar y actualizar 55 000 reglas en 236 cortafuegos en las instancias de clúster de OpenStack de AURA (Enedis). ¡Una solución que cumple con su cometido, y de sobra!
« Mi vida a la venta en una oferta relámpago en la Dark Web », por Nicolas Comet, Ubisoft Burdeos
Nicolas Comet, ingeniero sénior de nube en Ubisoft Burdeos, compartió una historia personal fascinante durante la WAX CONF. Con un toque de humor, relató el inquietante descubrimiento de que su información personal y profesional se estaba vendiendo en la Dark Web.
Mientras disfrutaba tranquilamente de su fin de semana en familia, una llamada del departamento de tecnología de la información de Ubisoft convirtió ese momento de relax en un auténtico episodio de una serie policíaca.
«Hola, Nicolas, solo quería decirte que más de 400 de tus cuentas de usuario están ahora mismo a la venta en una oferta relámpago en la Dark Web...» Y ahí está nuestro amigo Nicolas, en modo pánico...
No importa; tras intercambiar unas palabras con el equipo de seguridad de Ubisoft y restablecer rápidamente todas sus cuentas comprometidas, Nicolas compartió con humor su aventura en el gran escenario de la conferencia, convirtiendo su percance en una lección de seguridad informática para todos.
Ubisoft ha colaborado con una empresa externa para adquirir toda la información que se vendía en la Dark Web con el fin de evaluar la magnitud de los daños.
A continuación, Nicolas compartió algunos consejos para no caer en la trampa, como: aplicar una política eficaz de contraseñas (método diceware, frases de contraseña, autenticación multifactorial, rotación de contraseñas) y utilizar gestores de contraseñas (KeePass, BitWarden, Keeper...).
Un consejo que resumió con el humor que le caracteriza: «¡Haced lo que digo, no lo que hago!».
¿Lo más destacado del espectáculo? La confesión de que la falla se originó en su propio ordenador personal, tras descargar una versión no oficial de CPU-Z. Un consejo para los gamers: ¡descargad siempre el software oficial!
Nicolas concluyó su discurso haciendo referencia al estándar WebAuthn del W3C, que permite una autenticación fuerte sin contraseña mediante el uso de claves asimétricas.
Esta memorable presentación nos ha recordado que se puede aprender y reír al mismo tiempo, pero sobre todo lo importante que es aplicar una política de seguridad estricta y sensibilizar a todo el personal de nuestras organizaciones.
« El análisis del comportamiento al servicio de la seguridad de su producción» , por Rachid Zarouali, SevenSphere
Cuando Rachid Zarouali, embajador de la CNCF, Docker Captain y MVP de Microsoft Azure, habla de seguridad, ¡todos le escuchamos!
En la WAX CONF, Rachid nos ofreció una fascinante presentación de la herramienta Falco, que incluyó una demostración en directo. Para quienes no la conozcan, Falco es una herramienta de código abierto que permite la detección de amenazas y el análisis de comportamiento en entornos de contenedores y orquestación, como Kubernetes.
Es tu espía de confianza, que trabaja en tiempo real para supervisar las actividades del sistema y aplicar normas de seguridad con el fin de identificar comportamientos sospechosos o maliciosos.
Falco puede hacer mucho más que limitarse a jugar a ser espía:
- Detección de comportamientos anómalos: Falco analiza los eventos del sistema y, si detecta una actividad que se ajusta a una regla de seguridad definida, activa una alerta para señalar un comportamiento potencialmente peligroso.
- Reglas de seguridad personalizables: ¿Necesitas reglas específicas para tu entorno? Falco tiene lo que necesitas. Te ofrece la posibilidad de crear y personalizar reglas de seguridad según tus necesidades.
- Integración con otras herramientas: Falco se puede integrar con otros sistemas de seguridad para mejorar la detección de amenazas y la respuesta ante incidentes.
- Notificaciones en tiempo real: cuando se detecta una actividad sospechosa, Falco avisa inmediatamente a los administradores o a los equipos de seguridad para que puedan actuar con rapidez y llevar a cabo una investigación exhaustiva.
- Auditoría y cumplimiento normativo: Al supervisar y registrar las actividades del sistema, Falco puede ayudar a cumplir los requisitos normativos.
- Compatibilidad con contenedores y Kubernetes: Falco se ha diseñado específicamente para entornos de contenedores y orquestación, como Kubernetes, lo que le permite detectar amenazas específicas de estos entornos.
La conferencia concluyó con una demostración de cómo aplicar una regla de comportamiento al acceso a un sitio web a través de un puerto concreto.
Si un usuario intenta realizar una solicitud, Falco registra automáticamente las acciones, impide que el usuario vuelva a acceder a la máquina virtual de destino y, a continuación, puede agregar los registros y ponerlos a disposición en un SIEM para su análisis y la detección de posibles amenazas. ¡Imprescindible en materia de ciberseguridad!
Para concluir, la WAX CONF 2023 ha sido un encuentro increíble de profesionales y expertos en los campos de DevSecOps y la ciberseguridad.
Los participantes tuvieron la oportunidad de aprender, intercambiar ideas y establecer contactos, todo ello bajo el lema de la mejora continua y la innovación tecnológica.
¡Estamos deseando volver el año que viene para disfrutar de otra dosis de aprendizaje, inspiración e intercambio!
Lionel GAIROARD
Responsable de DevOps
