Noticias

Cloud PaaS a través de la lente del código abierto – opinión

Opinión de Rob Gibbon, director de productos de Canonical. Todas las opiniones expresadas son opiniones propias del autor.

La perspectiva del código abierto, a saber. PaaS

El software de código abierto, como su nombre indica, se desarrolla al aire libre. El software puede ser visto libremente por cualquier persona y, si es necesario, parcheado libremente para cumplir con los requisitos de seguridad de la organización que lo ejecuta. Todos los problemas de seguridad identificados públicamente se visualizan y controlan de forma centralizada. Los parches de software asociados también se desarrollan y distribuyen de manera coordinada. El proceso se basa en una amplia colaboración entre agencias gubernamentales, proveedores de software de código abierto, investigadores de seguridad, colaboradores de la comunidad y, a menudo, en las obligaciones establecidas en la licencia de software de código abierto GPL, ampliamente utilizada.

Las soluciones de plataforma como servicio (PaaS) se desarrollan generalmente como soluciones patentadas de caja negra. Si bien el software que ofrece la solución PaaS es a veces software gratuito de código abierto, la solución de implementación y administración del software casi siempre es propiedad del proveedor de PaaS. El cliente puede tener poca o ninguna información sobre la base del código del motor de aprovisionamiento y administración y los problemas que pueden existir con él, y es probable que confíe en el proveedor de PaaS para cumplir con muchas de sus obligaciones de seguridad.

Los proveedores de PaaS han tenido una excelente postura de seguridad durante muchos años. Los exploits son raros y, una vez identificados, el proveedor suele ser rápido y decisivo. Sin embargo, PaaS sigue siendo una tecnología relativamente nueva en términos de adopción general, y si se identifica un exploit en PaaS, su alcance puede ser devastador para los usuarios del servicio en cuestión.

LEER  Slackware, la distribución de Linux con mantenimiento activo más antigua, lanza la versión 15.0

Por ejemplo, «ChaosDB» era una vulnerabilidad de escalada de privilegios identificada en la popular plataforma Microsoft Azure CosmosDB que potencialmente permitía a los atacantes obtener acceso a instancias de bases de datos en las que la función «Jupyter Notebook» estaba habilitada. Si bien Microsoft actuó de manera responsable y abordó rápidamente la amenaza ChaosDB, este es un ejemplo de una vulnerabilidad de PaaS con consecuencias potencialmente de gran alcance y de gran alcance. Creo que Microsoft ha actuado de manera encomiable, pero Microsoft también tiene el tamaño y los recursos para actuar con decisión, algo con lo que los proveedores de PaaS más pequeños o menos experimentados pueden tener dificultades.

Juju – motor de aplicaciones componibles de código abiertoJuju es un motor de código abierto gratuito de Canonical, el editor de Ubuntu, para crear aplicaciones componibles. Al proporcionar a los proveedores e integradores de aplicaciones la capacidad de ensamblar rápidamente soluciones de implementación y administración de aplicaciones PaaS, Juju se ha utilizado para implementar y operar varios sistemas como Apache Spark, Kubernetes y MatterMost.

Obtenga más información sobre juju y cirugías basadas en modelos.

PaaS y el modelo de responsabilidad compartida

En el modelo de responsabilidad compartida de la computación en la nube pública, el proveedor de PaaS suele ser responsable de muchos más procedimientos y controles de seguridad que con una provisión clásica de infraestructura como servicio (IaaS) en las instalaciones o incluso en la nube, como una basada en una provisión probada y madura. software de código abierto. Por lo tanto, con PaaS, el cliente suele dar mucho más control y transparencia, pero sigue siendo la parte responsable.

Para muchas empresas (por ejemplo, empresas que operan en industrias con licencia y estrictamente reguladas, como servicios financieros, telecomunicaciones o instituciones y organizaciones que son directamente responsables ante el público que brindan servicios críticos para la seguridad), existe el riesgo de que un atacante pueda obtener acceso completo. a las plataformas de datos, especialmente aquellas que albergan datos de ciudadanos secretos, sensibles o de identificación personal, probablemente sean inaceptables. Para muchos otros, quizás menos en juego, los riesgos de una brecha de seguridad con una solución PaaS siguen siendo, sin duda, incomibles.

PaaS como software de código abierto: mi opinión

Desde el punto de vista de la seguridad, creo que PaaS aún tiene un largo camino por recorrer antes de que pueda alcanzar la madurez procesal y la confianza que las implementaciones de software de código abierto brindan a los responsables de la seguridad de la información corporativa. Si bien creo firmemente en la premisa complementaria de PaaS como una opción flexible y conveniente para el cliente, como proponente del código abierto, defiendo que los proveedores desarrollen sistemas de administración y entrega de PaaS como software de código abierto en el dominio público.

Al poner sus soluciones a disposición del público, los proveedores de PaaS pueden promover la transparencia, la trazabilidad y la corrección oportuna de vulnerabilidades críticas. El software de código abierto proporciona una forma probada para que los proveedores de PaaS generen confianza a largo plazo y ayuda a los clientes a cumplir con su responsabilidad.

Al construir una cartera diversificada de proveedores de servicios y soluciones, creo que los clientes pueden minimizar proactivamente su riesgo. Las arquitecturas de soluciones híbridas y multinube que van más allá de los proveedores de servicios en la nube pueden basarse en tecnologías robustas de código abierto y reforzarse de acuerdo con los requisitos individuales y las mejores prácticas de los clientes.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba