Patrones de diseño en la nube – Seguridad

Menú principal de Patrones de diseño en la nube

Los patrones de diseño en la nube relacionados a la seguridad son aquellos relacionados a proporcionar garantía de confidencialidad, integridad de información y disponibilidad contra ataques maliciosos a los sistemas y de la infraestructura.

Patrón de identidad federada:

Este patrón lo que indica es que la seguridad de autenticación de usuarios debemos delegarla a una entidad o proveedor externo para simplificar el desarrollo, mantenimiento y experiencia de seguridad de los usuarios en nuestras aplicaciones.
En la nube es común que las aplicaciones, servicios y recursos interactúen con distintas plataformas u otros sistemas y tener la seguridad o los usuarios por cada uno de los sistemas, seria engorroso y difícil de mantener y sincronizar, incluso para la experiencia del usuario para trabajar en cada uno de los sistemas.
La idea es usar proveedores externos existentes, crear uno para que utilicen todos los sistemas en nuestro ecosistema (hoy ya no es tendencia), o integrar a servicios de las plataformas.
Grandes proveedores de la nube, como por ejemplo Microsoft, nos ofrece migrar o utilizar de forma híbrida varios de sus servicios de autenticación en la nube, como por ejemplo, Active Directory.
Muchos de los servicios federados de identidad trabajan también con Single Sing-On (SSO) y servidores de identidad (IdP).
Federar la autenticación también nos permite separar la misma de la autorizaciones, como realizan los servicios con OpenID o OAuth.
También se puede delegar ambas partes a servicios de terceros como los de Facebook, Google, Microsoft, etc.

(Proximamente capítulo dedicado a este patrón)

Patrón de guardián de puerta:

Este patrón lo que nos proporciona es una capa mas de seguridad, creando un servicio intermediario entre las aplicaciones y los proveedores de identidad.
Sin este patrón por ejemplo en la nube donde los servicios y accesos normalmente están expuestos entre plataformas o distintos tipos de usuarios por varios puntos de accesos públicos, podría permitir a los malintencionados una vez que quiebren la seguridad acceder a los sistemas sin problema. En cambio, con un servicio intermediario, seria mas difícil lograr vulnerar los sistemas ya que siempre el perpetrador debería acceder primero por el servicio guardián.
El servicio guardián debería lograr que toda petición a un sistema deba ser validada por el guardián, lo que no cumple requisitos sera rechazado o incluso hasta bloqueado, deberá también desconocer la información de autenticación del usuario, con lo que si se ve comprometido el mismo guardián, no podrían obtenerse o accederse a información de usuarios, ademas debe ser ejecutado con privilegios mínimos, evitando que acceda el mismo guardián a información sensible o si es vulnerado no permitir que se pueda acceder a dicha información.
Si lo vemos desde el lado de la infraestructura o los componentes, el guardián lo que estaría haciendo es trabajar como un cortafuegos/antivirus el cual analiza el trafico que quiere acceder y evaluá que hacer con ese acceso.

(Proximamente capítulo dedicado a este patrón)

Patrón clave de aparcamiento:

Este patrón es el comúnmente utilizado en el que se asignan tokens de seguridad para distintos recursos por un determinado tiempo a los usuarios o servicios/componentes clientes para interactuar en un entorno con un determinado recurso.
Por ejemplo, si un servicio quiere acceder a un archivo o a un dato en la base de datos, este patrón nos dice que debemos crear un token de acceso especifico para que ese servicio a ese recurso en ese momento con una determinada validez de tiempo.
Una practica muy común en los sistemas era que una clave y contraseña sea unicamente utilizada para acceder a la base de datos, a pesar de ser un anti-patrón. Pero esa estrategia es muy contraproducente en la nube, ya que implica consumos y vulnerabilidades extras al acceder a los datos.
Con el patrón de llave de aparcamiento, un servicio es el encargado de autenticar y autorizar al usuario o servicio y generar un token para esa actividad, con ese token se opera hasta que termina la operación o caduca el token.

(Proximamente capítulo dedicado a este patrón)

Menú principal de Patrones de diseño en la nube

About the author:

Matías Creimerman

I’m a specialist in design, development and management of software solutions with 20 years of experience. Microsoft Certificated Professional (MCP). Expert in dot net and Microsoft technologies. Experience and skills in designing solutions in a wide range of commercial, industrial and production areas. Design of architectures, software applications and processes. Skills in leadership and team management. Tech trainer. Technology researcher. Self-taught and dedicated to continuous learning. Skills in estimation, quotation, projects proposals and solutions design. Entrepreneurial spirit. Strong Tech profile but also customer oriented. I perform roles as fullstack dev, tech consultant, technical referent, development leader, team leader, architect, cross leader, tech manager, tech director, trainer, ramp-up & follow-up teams, software factory manager, DevOps and release manager. Regular chess player and musician.

Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License

This content is property of Matias Creimerman Any misuse of this material will be punishable This work is licensed under a International Copyright Law protects «original works of authorship» including photographs, videos, and blog posts posted on social media sites The content has no rights to be shared without authorization or citation to the author. This content cannot be sold be adapted or modified partially or totally. All content shared outside this blog that doesn’t belong to the author must have citations to the author.