Administración de plataformas Cloud

Cuando hablamos de administración de nuestros sistemas tenemos que diferenciar entre la gestión de las contraseñas root/admin de los sistemas operativos de los diferentes servidores, y de todos aquellos mecanismos que nos permiten acceder a las propias máquinas y los sistemas que las hacen funcionar.

En un entorno físico, esta clase de mecanismos serían las cerraduras, sistemas de vigilancia y demás métodos que permiten controlar el acceso al hardware físico de servidores y componentes de red que conforman nuestra infraestructura. En el caso de un Cloud, en cambio, no tenemos controles físicos como tal, una gran ventaja al tener todos los controles físicos al estar en un centro de datos con todas las garantías. Todos los elementos de nuestra infraestructura están virtualizados y, por tanto, su securización y control es un área que deberemos de controlar de manera cuidadosa.

A continuación vamos a centrarnos en el tipo de estrategia que deberíamos establecer en una infraestructura Cloud, y la clase de precauciones que debemos tomar a la hora de gestionar todos nuestros sistemas desde la nube.

Lista de usuarios y atribuciones

Al igual que hemos hecho en artículos anteriores, vamos a tomar como referencia el producto Cloudbuilder de Arsys, una plataforma de CPDs virtuales que nos ofrece prácticamente todo lo que podamos imaginar para virtualizar toda nuestra infraestructura, incluida la gestión avanzada de usuarios/grupos de usuario al entorno.

Lo principal es que, tal y como haríamos en un entorno tradicional, preparemos un listado de personas que tienen que acceder a la infraestructura, estableciendo claramente qué funciones deberá realizar cada una de ellas. Así, al margen del súper administrador que tenga todas las atribuciones posibles, quizá tengamos personas que sólo necesiten acceder a los servidores para realizar tareas de mantenimiento o control básico, por lo que ni siquiera será preciso que accedan al propio entorno Cloud. Igualmente, tendremos que personas encargadas de las copias de seguridad, o del control de los sistemas de red/seguridad. Sea como fuere, lo importante es establecer un listado de accesos necesario, y tener claro el nivel de acceso que tendrá que tener cada uno.

Este listado nos servirá para asignar los roles a nivel de sistema operativo, y para asignar los permisos a nivel del acceso al Panel de control de toda la infraestructura Cloud. Al igual que ocurre en los sistemas operativos, no es recomendable que tengamos un usuario administrador que usen las diferentes personas para conectarse. Al contrario, deberíamos crear tantos usuarios como personas tengamos trabajando para la organización, asignándoles a cada uno los permisos adecuados. Esto nos proporciona dos ventajas: a nivel de control de cambios, siempre podremos saber quién accedió o quién modificó un determinado elemento con sólo revisar los logs. Y a nivel de seguridad, en caso de que una persona abandone la empresa o surja cualquier problema, basta deshabilitar su usuario para controlar las posibles consecuencias.

Establecimiento de roles

Teniendo claro lo anterior, vamos al Cloudbuilder de Arsys, y veamos cómo estableceríamos nuestros permisos y roles de usuario. Para ello, una vez dentro del Panel de control, deberíamos ir al bloque Herramientas de la parte izquierda, y bajo Configuración, pinchar en el apartado Roles.

Aquí tendremos una de serie de roles ya predefinidos como Administración, Creación, Lectura, etc. Sin embargo, si pinchamos en Crear aparecerá una ventana donde, además de tener que indicar el nombre del rol que vamos a crear, podemos definir de manera extremadamente detallada, que clase de atribuciones tendrán los usuarios asignados a este grupo. Así, por ejemplo, podemos crear uno que sólo permita encender, apagar o reiniciar servidores, teniendo el resto de atribuciones totalmente desactivadas. También podemos crear otros específicos para realizar tareas de gestión de los Backup, políticas del Firewall o gestión de las plantillas.

Esto no abre todo un mundo de posibilidades. Así, podemos tener a personal externo trabajando en áreas tan concretas como la seguridad o la conectividad vía VPN, pero sin que puedan acceder a la gestión o visualización de las máquinas instaladas. Por tanto, podríamos decir que el escalado que podemos llegar a realizar es incluso mejor que el de un entorno físico, donde el acceso a la clásica sala de servidores da acceso total a todos los componentes allí presentes.

Al final, deberíamos crear tantos roles como tipos de usuarios diferentes vayamos a necesitar, incluso cuando sólo asignemos un único usuario a dicho rol. La creación de estos grupos de permisos es gratuita, así deberíamos tener tantas como vayamos a necesitar para controlar de manera específica que puede hacer cada uno.

Asignación de usuarios

Una vez generados los diferentes roles, iremos a Configuración / Usuarios dentro de ese mismo bloque de Herramientas. Aquí pincharemos en Crear para generar tantos usuarios como personas tengamos dentro de la organización que necesiten acceder a la plataforma Cloud. Se nos pedirán algunos datos básicos, siendo el más importante el que atañe al Rol. Aquí seleccionaremos el que corresponda y que habremos creado durante el punto anterior.

Como curiosidad, en el caso de Arsys, todos los usuarios comenzarán con el ID de nuestra plataforma Cloud, seguido del nombre de usuario asignado. Esto nos ayudará a que, en caso de gestionar diferentes plataformas Cloud, podamos diferenciar claramente unos usuarios de otros.

Una vez terminado el proceso de crear los diferentes usuarios, tendremos toda la infraestructura perfectamente controlada. Guardaremos a buen recaudo el usuario maestro o principal, y repartiremos el resto entre las diferentes personas que conforman nuestro equipo técnico. Y si en cualquier momento necesitamos dar nuevas a atribuciones a un miembro del equipo, basta con cambiarle el rol para que, de manera inmediata, pueda realizar las tareas para las que esté autorizado dicho rol.